Administração de Servidores

WEB

Aula 05 – Segurança no IIS

Prof. Esp. André Negreiros 1

Sumário

 Introdução
 Como administrar a segurança
 Segurança de endereço IP e nome de
domínio
 Autenticação
 Permissões IIS
 Permissões NTFS

Prof. Esp. André Negreiros 2

Sumário

 Introdução
 Como administrar a segurança
 Segurança de endereço IP e nome de
domínio
 Autenticação
 Permissões IIS
 Permissões NTFS

Prof. Esp. André Negreiros 3

Introdução
 A Segurança é a principal preocupação dos
administradores de rede, e o Internet
Information Services executado no Windows
2000 ou 2003 oferece um ambiente
“confiável” e escalável para hospedar com
segurança Web sites Internet, intranet e
extranet;
 O IIS fornece alguns mecanismos para se
garantir uma maior segurança ao servidor
WEB.

Prof. Esp. André Negreiros 4

Sumário

 Introdução
 Como administrar a segurança
 Segurança de endereço IP e nome de
domínio
 Autenticação
 Permissões IIS
 Permissões NTFS

Prof. Esp. André Negreiros 5

Como Administrar a segurança
 Os Administradores podem controlar a segurança dos
Web sites hospedados em seu servidor de quatro
maneiras principais:
 Segurança de Endereço IP e nome de domínio:

Controle de acesso de clientes a Web sites, diretórios

virtuais e arquivos individuais com base no endereço
IP ou nome do domínio;
 Autenticação de Segurança IIS:

Controle de acesso de clientes a Web sites, diretórios

virtuais e arquivos individuais com base em métodos
de autenticação de usuário configurados para o
recurso;

Prof. Esp. André Negreiros 6

...Como Administrar a segurança...
 Permissões IIS:
Controle de acesso de clientes a Web sites ,
diretórios virtuais e arquivos individuais com base
em permissões de acesso a Web;
 Autenticação de Segurança IIS:
Controle de acesso de clientes a Web sites ,
diretórios virtuais e arquivos individuais com base
em permissões NTFS de acesso ao recurso.

Prof. Esp. André Negreiros 7

...Como Administrar a segurança

 Das quatro alternativas anteriores, o método

mais fundamental para proteção de acesso a
Web sites é o NTFS. O IIS é tão seguro
quanto o sistema de arquivos no qual ele é
executado.

Prof. Esp. André Negreiros 8

Processo de aplicação dos métodos de
Segurança

O Endereço IP do Não
usuário é permitido? Acesso Negado!
Sim
O Usuário foi Não
Autenticado? Acesso Negado!
Sim
As permissões IIS Não
permitem acesso? Acesso Negado!
Sim
As permissões NTFS Não
Permitem acesso? Acesso Negado!
Sim

Acesso Concedido!

Prof. Esp. André Negreiros 9

Sumário

 Introdução
 Como administrar a segurança
 Segurança de endereço IP e nome de
domínio
 Autenticação
 Permissões IIS
 Permissões NTFS

Prof. Esp. André Negreiros 10

Segurança de endereço de IP e
nome de domínio
 O IIS pode ser configurado para conceder ou negar
acesso a Web sites, diretórios virtuais ou arquivos
individuais, dependendo do endereço IP ou nome de
domínio internet do cliente;
 Restringe por IP individual ou endereço de rede;
 Pode ser configurado na guia Segurança de Diretório
das propriedades do Web site;
 Para se configurar arquivos ou diretórios basta clicar
com o botão direito no item desejado dentro do IIS,
selecionar Propriedades e depois file security.

Prof. Esp. André Negreiros 11

Segurança de endereço de IP e
nome de domínio
 Dentro da guia File Security temos 02
opções:
 Conceder acesso a todos os hosts, exceto os que
forem especificados;
 Negar acesso a todos os hosts, exceto os que
forem especificados.
 Para configurar os hosts ou dominios basta
clicar em add e escolher uma das opções:
 Computador Individual;
 Grupo de Computadores;
 Nome de domínio.

Prof. Esp. André Negreiros 12

Segurança de endereço de IP e
nome de domínio
 Exemplos de uso:
 Temos uma extranet configurada na matriz de
uma empresa X e queremos permitir acesso
apenas às maquinas da filial Y;
 Se foi detectado a tentativa de invasão de um
endereço IP X, este pode ser bloqueado para
evitar acessos indevidos;
 Temos uma intranet configurada e queremos que
apenas as máquinas da rede local acessem o
Web site.

Prof. Esp. André Negreiros 13

Sumário

 Introdução
 Como administrar a segurança
 Segurança de endereço IP e nome de
domínio
 Autenticação
 Permissões IIS
 Permissões NTFS

Prof. Esp. André Negreiros 14

Autenticação de segurança no IIS...

 O IIS pode ser configurado para controlar o

acesso a Web sites, diretórios virtuais ou
arquivos individuais, dependendo do método
de autenticação de logon usado pelo cliente.

Prof. Esp. André Negreiros 15

...Autenticação de segurança no IIS...
 Temos quatro esquemas de autenticação IIS
disponíveis:
 Acesso anônimo: Qualquer usuário pode acessar o

recurso;
 Autenticação básica: Os usuários precisam fornecer

uma conta e senha válidas de usuário Windows em

resposta a uma caixa de logon;
 Autenticação condensada: Utilizada somente em

dominios windows;
 Autenticação Windows Integrada: Usuários já logados

com uma conta de usuário válida, são autenticados e

tem acesso ao Web site.

Prof. Esp. André Negreiros 16

...Autenticação de segurança no IIS...
 Os quatro esquemas de autenticação citados
podem controlar acesso em:
 Todo conteudo Web hospedado no servidor IIS;
 Web sites individuais;
 Diretórios virtuais individuais;
 Subdiretórios físicos individuais;
 Arquivos em um Web site.
 É possível configurar um controle de autenticação
padrão e alterar somente os Web sites que se
desejar.

Prof. Esp. André Negreiros 17

Configurar acesso anônimo...
 Quando o IIS é instalado a conta IUSR é criada. Esta
conta permite acesso de convidado a todos os
usuários que acessam seu servidor sem exigir login;
 Esta conta tem algumas características:
 Nome: IUSR_nome da maquina;

 Usuário não pode alterar a senha;

 A senha nunca expira;

 Membro do grupo convidados;

 Possui permissão de logar localmente (checar na

diretivas de segurança);
 Outras contas podem ser configuradas para permitir
acesso anônimo;

Prof. Esp. André Negreiros 18

...Configurar acesso anônimo
 Quando se usar acesso anônimo?
 Onde a segurança necessária é baixa e o site
dedicar-se ao público em geral na internet;
 Em uma intranet corporativa sem conexão com a
internet;
 Quando não se queira transmitir credenciais de
usuários através da conexão.

Prof. Esp. André Negreiros 19

Configurar Autenticação Básica...
 Método padrão HTTP de autenticação de usuário e é
suportado pela maioria dos browsers da Web;
 Ao ser habilitado, quando o cliente acessa o Web site
é exibida uma caixa de diálogo: Enter Network
Password;
 Deve ser fornecida uma cota de usuário Windows
válida;
 Possui uma baixa segurança, pois as credenciais
transmitidas possuem uma codificação facilmente
decifrável (Não é clear text);
 O IIS pode ser configurado para encaminhar uma
solicitação de autenticação básica a outro domínio.

Prof. Esp. André Negreiros 20

...Configurar Autenticação Básica

 Quando usar Autenticação básica?

 Redes heterogêneas que necessitem de baixa
segurança;
 Em ambientes de baixa segurança onde os
browsers não são Internet Explorer;
 Em um ambiente de alta segurança, desde que
seja combinado com o SSL.

Prof. Esp. André Negreiros 21

Configurar Autenticação Condensada

 Envia senhas através da rede divididas em

várias partes;
 Funciona apenas em clientes Internet
Explorer acessando um controlador de
domínio Windows 2000;

Prof. Esp. André Negreiros 22

Configurar Autenticação integrada
Windows...
 O servidor faz a autenticação do cliente através de um
intercâmbio de pacotes criptografados e nenhum contém a
senha de qualquer forma;
 Este é o mais seguro dos quatro esquemas de autenticação do
IIS;
 Se o usuário estiver logado em um domínio Windows com uma
conta válida, o processo de segurança é transparente ao
usuário. Quando o usuário tenta acessar o recurso, uma série de
pacotes HTTP faz a autenticação automática com base em suas
atuais credenciais, permitindo que o usuário acesse a página.
 Para garantir uma maior segurança, os administradores devem
reforçar a política de segurança das contas windows nas
diretivas de segurança;

Prof. Esp. André Negreiros 23

...Configurar Autenticação integrada
Windows
 Quando a Autenticação integrada Windows deve
ser usada?
 Onde a segurança precisa ser alta e apenas os usuários
de domínio terão permissão para acessar o site;
 Em uma intranet corporativa composta de estações
windows, para oferecer segurança e evitar que os usuário
sempre fiquem entrando com informações de usuário ao
acessar o site.

Prof. Esp. André Negreiros 24

Combinação dos métodos de autenticação

 Qualquer de dois ou todos os quatro métodos de

autenticação podem ser habilitados no mesmo
recurso;
 Se estiver habilitado o acesso anônimo e outro
método de autenticação, o acesso anônimo é
tentado primeiro, se falhar o outro é checado;
 Se os métodos de autenticação básica, condensada
e integrada estiverem todos habiltados, a
autenticação integrada tem a precedência.

Prof. Esp. André Negreiros 25

Sumário

 Introdução
 Como administrar a segurança
 Segurança de endereço IP e nome de
domínio
 Autenticação
 Permissões IIS
 Permissões NTFS

Prof. Esp. André Negreiros 26

Permissões IIS...

 O IIS pode ser configurado para controlar o

acesso a Web sites, diretórios virtuais ou
físicos ou a arquivos individuais baseados
em permissões de acesso a Web atribuídas
ao recurso. É feito configurando permissões
IIS para o recurso.

Prof. Esp. André Negreiros 27

...Permissões IIS

 Permissões de acesso IIS disponíveis:

 Read: Permite que clientes exibam o seu conteúdo;

 Write: Permite que clientes gravem no diretório do Web site ou

sobrescevam um arquivo existente;

 Permissões de execução IIS disponíveis:
 None: nenhum executável ou script pode ser executado neste

Web site;
 Scripts: Scripts como ASP podem ser executados;

 Scripts e Executáveis: Tanto scripts quanto executáveis tem

permissão para serem executados no servidor;

Prof. Esp. André Negreiros 28

Sumário

 Introdução
 Como administrar a segurança
 Segurança de endereço IP e nome de
domínio
 Autenticação
 Permissões IIS
 Permissões NTFS

Prof. Esp. André Negreiros 29

Permissões NTFS

 O controle de acesso a diretórios e a arquivos físicos

podem ser feito com base em permissões NTFS
atribuídas ao recurso;
 Oferece um maior nível de controle;
 Existem 06 permissões básicas: Read (R), Write (W),
Execute (E), Delete (D), Change permissions (P) e
Take Ownership (O);
 Quando permissões NTFS são combinadas (usuário e
grupo), a permissão efetiva é a menos restritiva, com
exceção de quando se combina nenhum acesso +
Qualquer permissão NTFS, prevalecendo a opção
nenhum acesso;

Prof. Esp. André Negreiros 30

Permissões NTFS

 Estratégias para configurar permissões

NTFS:
 Remover usuário Everyone;
 Se a autenticação for integrada ao windows,
atribuir permissões personalizadas para cada
usuário;

Prof. Esp. André Negreiros 31

Outros métodos para proteger servidores
IIS
 Proteger o IIS desabilitando serviços
desnecessários, protocolos e ligações:
 Melhora o desempenho, menos erros
administrativos e menos vulnerabilidades;
 Desabiltar serviço Server, evitando que usuários
visualizem compartilhamentos de rede;
 Remover protocolos desnecessários;
 Proteger o IIS desabilitando a navegação no
diretório;

Prof. Esp. André Negreiros 32