Come proteggere il sito IIS, aggiungere e abilitare l'autenticazione Windows

Per impostazione predefinita, quando si crea un nuovo sito Internet Information Services (IIS), è aperto a tutti con l'accesso anonimo abilitato: chiunque può accedere e visualizzare i dati ospitati da quel sito. Ovviamente, questo rappresenta una preoccupazione per la sicurezza della maggior parte delle organizzazioni. Infatti, mi viene spesso chiesto da clienti e colleghi come rendere un sito IIS accessibile solo alle persone desiderate.

La risposta è piuttosto semplice: per proteggere un sito IIS, tutto ciò che serve è cambiare i permessi predefiniti, abilitare l'Autenticazione Windows per gli account utente e disabilitare l'Autenticazione Anonima nel Gestore IIS. Ecco i passaggi:

Come proteggere il tuo sito IIS

1.Seleziona il tuo sito e clicca su “Autenticazione”. Nello screenshot qui sotto, puoi vedere che ho molti siti IIS, incluso uno chiamato “Default Web Site”.

2. Se hai installato l'autenticazione Windows per IIS, procedi al passaggio 3. Se non hai integrato l'autenticazione Windows in IIS, aggiungi questa funzionalità dal Server Manager sotto “Ruoli / Servizi” per IIS”ES. Funzionalità di autenticazione Windows di IIS.

3. Attiva l'opzione di autenticazione Windows per il tuo sito:

4. Riconfigura i permessi del sito web. Prima interromperemo l'ereditarietà e poi rimuoveremo gli “Utenti” dall'avere qualsiasi accesso:

4.1 Fare clic con il pulsante destro del mouse sul sito e selezionare “Modifica autorizzazioni”

4.2 Fai clic su “Avanzate.”

4.3 Fai clic su “Modifica autorizzazioni”.

4.4 Deseleziona la casella “Include inheritable permissions from this objects parent”. Quando appare un avviso, seleziona AGGIUNGI. Questo semplicemente copia i permessi esistenti senza ereditarietà; questo è molto importante per non compromettere il sito web per te stesso e per il sistema in generale.

4.5 Eliminate il permesso per gli Utenti. Questo disabiliterà la capacità per qualsiasi utente del dominio di autenticarsi semplicemente al tuo sito per visualizzare i rapporti, permettendo invece agli amministratori locali e ai membri di IIS_IUSRS di accedere e visualizzare i rapporti. (L'insieme di permessi di base può variare da OS a OS.) Assicurati inoltre che principi di sicurezza come “Everyone” e “Authenticated Users” non abbiano alcun accesso.

4.6 Infine, ora puoi utilizzare il pulsante “Modifica” di base per aggiungere l'accesso in sola lettura per utenti e gruppi selezionati. Nel mio caso, ho dato l'accesso in lettura ai miei rapporti a Frank. Per un utilizzo di base del sito, non è davvero necessario più dell'accesso in lettura; non dare a nessuno l'accesso Modifica o Controllo completo a meno che non ci sia una necessità speciale.

Da notare che ho eseguito questi test su Windows 2008 e Win 7, e non è stato necessario riavviare IIS affinché queste modifiche di configurazione iniziassero a funzionare.

Come può Netwrix aiutare?

Netwrix Access Analyzer può aiutarti a migliorare la sicurezza della tua infrastruttura Windows e a ridurre il rischio di una violazione dei dati. Ti consente di:

• Identificate vulnerabilità che possono essere sfruttate dagli attaccanti per compromettere i sistemi Windows e accedere ai vostri dati.
• Applica politiche di sicurezza e operative attraverso l'analisi della baseline configuration.
• Esegui l'audit e governa gli account privilegiati.
• Dimostrate la conformità più facilmente con report predefiniti e completa trasparenza del sistema.

FAQ

Cos'è l'autenticazione di Windows in IIS?

L'autenticazione Windows in IIS è un tipo sicuro di autenticazione in cui le credenziali dell'account utente vengono hashate prima di essere trasmesse sulla rete.

L'autenticazione Windows è la stessa cosa di Active Directory?

No. Puoi utilizzare l'autenticazione di Windows anche se il tuo server non è membro di an Active Directory domain.

IIS Windows Authentication utilizza LDAP?

No. IIS Windows Authentication supporta solo i protocolli Kerberos e NTLM.