Como configurar carregamentos para aplicações Web de IIS

INTRODUÇÃO
Este artigo descreve como configurar Serviços de Informação Internet (IIS) de forma a permitir carregamentos de ficheiros mais seguros através de uma aplicação Web.Várias aplicações Web como, por exemplo, a aplicação Sistemas de Gestão de Conteúdo, necessitam de suportar carregamentos de ficheiros para o servidor Web que utiliza a aplicação Web. Permitir que os ficheiros sejam carregados para o servidor Web que utiliza a aplicação Web implica ramificações de segurança para o servidor e o utilizador deve compreender todas as implicações deste processo. Este artigo orienta o utilizador sobre como manter os carregamentos para a aplicação Web seguros através da configuração de IIS. Se a aplicação Web tiver um programa de instalação automático, o utilizador pode incorporar a configuração descrita neste artigo no respectivo programa de instalação.

Nota Algumas aplicações Web utilizam bases de dados para gerir o conteúdo carregado. No entanto, este artigo concentra-se nas aplicações que utilizam o sistema de ficheiros.
Mais Informação

Criar uma pasta separada para o conteúdo carregado e alterar as permissões de ficheiros NTFS na pasta de carregamento

Ao proceder desta forma, é possível configurar o comportamento do conteúdo carregado de forma diferente do resto da aplicação Web. Conceda as permissões de leitura e de escrita da pasta de carregamento para a identidade do processo de trabalho IIS. Para o IIS 6.0 no Windows Server 2003, é possível utilizar o grupo de utilizadores IIS_WPG para este procedimento. Para o IIS 7.0 e versões posteriores, é possível utilizar o grupo de utilizadores IIS_IUSRS.

Para mais informações sobre IIS_WPG, visite a seguinte página Web da Microsoft: Para mais informações sobre IIS_ISURS, visite a seguinte página Web da Microsoft: Para mais informações sobre como ajudar a manter os ficheiros protegidos com permissões de NTFS, visite a seguinte página Web da Microsoft: Nota Em alguns casos como, por exemplo quando é utilizada representação, será necessário conceder também acesso de escrita ao contexto de utilizador autenticado.

Não permitir as Permissões de Script na pasta de carregamento

O conteúdo carregado para a maioria de aplicações Web é estático como, por exemplo, imagens e documentos. Conteúdo carregado não significa que seja conteúdo que possa ser executado como, por exemplo, scripts ou ficheiros executáveis. Por este motivo, é importante não conceder Permissões de Script a esta pasta. Caso contrário, os utilizadores que podem carregar conteúdo podem executar scripts no contexto da respectiva identidade do processo de trabalho no servidor. Se a aplicação Web tem a lógica de limitar os carregamentos por extensões de nome dos ficheiro, o utilizador deve utilizar esta restrição como medida secundária. O utilizador deve continuar a assegurar-se de que o directório de carregamento da respectiva aplicação tem as permissões de script desactivadas.

Para desactivar as permissões de script na Interface de Utilizador do Gestor de IIS (inetmgr) no IIS 5.x e 6.0, siga estes passos:
  1. Clique em Iniciar e, em seguida, clique em Executar.
  2. Escreva inetmgr na caixa Abrir e, em seguida, clique em OK.
  3. Na vista de árvore no painel de navegação, seleccione o caminho do directório de carregamento da aplicação Web.
  4. Clique com o botão direito do rato neste caminho e, em seguida, clique em Propriedades.
  5. Clique no separador Directório e, em seguida, seleccione Nenhuma na lista Permissões de Execução.
Para obter mais informações sobre como definir permissões IIS para objectos específicos, clique no número de artigo que se segue para visualizar o artigo na Base de Dados de Conhecimento Microsoft:
324068 Como definir permissões IIS para objectos específicos
Em alternativa, é possível desactivar as permissões de script utilizando a configuração da metabase no IIS 6.0, definindo o sinalizador AccessScript da propriedade AccessFlags para Falso ao nível do directório de carregamento. Para mais informações e para obter scripts de exemplo que possam ser alterados para esta utilização, visite a página Web da Microsoft: Para desactivar permissões de script na configuração do IIS 7.0 e versões posteriores, o utilizador deve definir o sinalizador accessPolicy na secção processadores de forma a não incluir o valor Script.

Para mais informação sobre como fazer esta operação no IIS 7.0 e em versões posteriores, visite a seguinte página Web da Microsoft: Nota Certifique-se de que lê o valor de Script para os sinalizadores de acesso.

Para mais informações sobre como definir permissões, visite a seguinte página Web da Microsoft:

A aplicação Web deve limitar os carregamentos apenas a utilizadores autorizados e autenticados

Esta regra confere ao administrador do servidor a capacidade de efectuar uma auditoria aos carregamentos através da aplicação Web. No caso de um utilizador tentar actividades maliciosas, proporciona ao administrador do servidor um mecanismo fácil para manter a aplicação funcional enquanto bloqueia essas actividades maliciosas. Quando os utilizadores podem carregar e executar scripts através da aplicação Web, deve ser solicitada autenticação e a identidade do agrupamento de aplicações IIS que aloja a aplicação Web não deve ser uma conta Administrativa.

Para mais informações sobre como configurar identidades do agrupamento de aplicações, visite as seguintes páginas Web da Microsoft:

Seguir as melhores práticas de segurança para a aplicação Web

É importante seguir as melhores práticas de segurança para todas as partes da sua aplicação Web e não apenas a lógica de carregamento. Para mais informações sobre as melhores práticas, visite as seguintes páginas Web da Microsoft:
update security_patch security_update security bug flaw vulnerability malicious attacker exploit registry unauthenticated buffer overrun overflow specially-formed scope specially-crafted denial of service DoS TSE
Propriedades

ID do Artigo: 979124 - Última Revisão: 01/11/2010 15:44:41 - Revisão: 2.2

  • Microsoft Internet Information Services 7.5
  • Microsoft Internet Information Services 7.0
  • Microsoft Internet Information Services 6.0
  • Serviços de informação Internet 5.1 da Microsoft
  • Serviços de informação Internet 5.0 da Microsoft
  • kbhowto kbexpertiseinter kbsecurity kbsecvulnerability kbsurveynew KB979124
Esta informação foi útil?