Cómo asegurar el sitio IIS, agregar y habilitar la autenticación de Windows

De forma predeterminada, cuando creas un nuevo sitio web de Internet Information Services (IIS), está abierto para todos con el acceso anónimo habilitado — cualquiera puede acceder y ver los datos que ese sitio aloja. Obviamente, esto es una preocupación de seguridad para la mayoría de las organizaciones. De hecho, a menudo me preguntan clientes y colegas cómo restringir un sitio de IIS para que solo las personas deseadas puedan acceder a él.

La respuesta es bastante simple: Para asegurar un sitio IIS, todo lo que se necesita hacer es cambiar los permisos predeterminados, habilitar la Autenticación de Windows para las cuentas de usuario y deshabilitar la Autenticación Anónima en el Administrador de IIS. Aquí están los pasos:

Cómo asegurar tu sitio IIS

1.Seleccione su sitio y haga clic en “Autenticación”. En la captura de pantalla a continuación, puede ver que tengo muchos sitios IIS, incluido uno llamado “Default Web Site”.

2. Si tiene instalada la autenticación de Windows para IIS, continúe con el paso 3. Si no tiene la autenticación de Windows integrada en IIS, agregue esta característica desde el Administrador del Servidor en “Roles / Servicios” para IIS”EX. IIS Windows Authentication Feature of IIS.

3. Active la opción de autenticación de Windows para su sitio:

4. Reconfigure los permisos del sitio web. Primero, romperemos la herencia y luego eliminaremos a los “Usuarios” de tener cualquier acceso:

4.1 Haga clic derecho en el sitio y seleccione “Editar permisos”

4.2 Haga clic en “Avanzado”.

4.3 Haga clic en “Cambiar permisos.”

4.4 Desmarque la casilla “Incluir permisos heredables del objeto padre de este”. Cuando aparezca una advertencia, seleccione AGREGAR. Esto simplemente copia los permisos existentes de nuevo sin herencia; esto es muy importante para no interrumpir el funcionamiento del sitio web para usted y el sistema en general.

4.5 Elimine el permiso para Usuarios. Esto deshabilitará la capacidad de cualquier usuario del dominio para autenticarse simplemente en su sitio y ver los informes, mientras permite que los administradores locales y miembros de IIS_IUSRS inicien sesión y vean los informes. (El conjunto de permisos base puede variar de un sistema operativo a otro.) Asegúrese también de que los principios de seguridad como “Todos” y “Usuarios Autenticados” no tengan ningún acceso.

4.6 Por último, ahora puedes utilizar el botón básico “Editar” para añadir acceso de solo lectura para usuarios y grupos seleccionados. En mi caso, le di acceso de lectura a mis informes a Frank. Para el uso básico del sitio, realmente no se necesita más que acceso de lectura; no des a nadie acceso de Modificación o Control total a menos que haya alguna necesidad especial.

Tenga en cuenta que realicé estas pruebas en Windows 2008 y Win 7, y no necesité reiniciar IIS para que cualquiera de estos cambios de configuración comenzara a funcionar.

¿Cómo puede ayudar Netwrix?

Netwrix Access Analyzer puede ayudarte a mejorar la seguridad de tu infraestructura Windows y minimizar el riesgo de una violación de datos. Te permite:

• Identifique vulnerabilidades que puedan ser utilizadas por atacantes para comprometer sistemas Windows y acceder a sus datos.
• Haga cumplir las políticas de seguridad y operativas a través del análisis de baseline configuration.
• Audite y gobierne las cuentas privilegiadas.
• Demuestre el cumplimiento más fácilmente con informes preconstruidos y transparencia completa del sistema.

FAQ

¿Qué es la autenticación de Windows en IIS?

La autenticación de Windows en IIS es un tipo seguro de autenticación en el que las credenciales de la cuenta de usuario se cifran antes de ser transmitidas a través de la red.

¿Es la autenticación de Windows lo mismo que Active Directory?

No. Puede usar la autenticación de Windows incluso si su servidor no es miembro de an Active Directory domain.

¿La autenticación de Windows de IIS utiliza LDAP?

No. IIS Windows Authentication solo admite los protocolos Kerberos y NTLM.