Como proteger o site IIS, adicionar e habilitar a autenticação do Windows

Por padrão, quando você cria um novo site do Internet Information Services (IIS), ele fica aberto para todos com acesso anônimo ativado — qualquer pessoa pode acessar e visualizar os dados hospedados por esse site. Obviamente, isso é uma preocupação de segurança para a maioria das organizações. De fato, clientes e colegas frequentemente me perguntam como restringir um site IIS para que apenas as pessoas desejadas possam acessá-lo.

A resposta é bastante simples: Para proteger um site IIS, tudo o que se precisa fazer é alterar as permissões padrão, habilitar a Autenticação do Windows para contas de usuário e desabilitar a Autenticação Anônima no IIS Manager. Aqui estão os passos:

Como proteger seu site IIS

1.Selecione seu site e clique em “Autenticação”. Na captura de tela abaixo, você pode ver que tenho vários sites IIS, incluindo um chamado “Default Web Site”.

2. Se você tem a Autenticação do Windows instalada para o IIS, prossiga para a etapa 3. Se você não tem a Autenticação do Windows integrada no IIS, adicione esse recurso pelo Gerenciador do Servidor em “Funções / Serviços” para o IIS”EX. IIS Windows Authentication Feature of IIS.

3. Enable the Windows Authentication option for your site:

4. Reconfigure as permissões do site. Primeiro, vamos interromper a herança e depois removeremos o acesso dos “Usuários”:

4.1 Clique com o botão direito do mouse no site e selecione “Editar Permissões”

4.2 Clique em “Avançado”.

4.3 Clique em “Alterar Permissões.”

4.4 Desmarque a caixa “Incluir permissões herdáveis do objeto pai deste”. Quando receber um aviso, selecione ADICIONAR. Isso simplesmente copia as permissões existentes de volta sem herança; isso é muito importante para não comprometer o site para você e o sistema como um todo.

4.5 Exclua a permissão para Usuários. Isso desabilitará a capacidade de qualquer usuário do domínio simplesmente se autenticar em seu site para visualizar os relatórios, permitindo que administradores locais e membros do IIS_IUSRS façam login e vejam os relatórios. (O conjunto de permissões básicas pode variar de sistema operacional para sistema operacional.) Certifique-se também de que princípios de segurança como “Todos” e “Usuários Autenticados” não tenham nenhum acesso.

4.6 Por último, agora você pode usar o botão básico “Editar” para adicionar acesso Somente Leitura para usuários e grupos selecionados. No meu caso, eu concedi acesso de Leitura aos meus relatórios para Frank. Para uso básico do site, nada mais do que acesso de Leitura é realmente necessário; não dê a ninguém acesso Modificar ou Controle Total a menos que haja alguma necessidade especial.

Observe que eu fiz esses testes no Windows 2008 e Win 7, e não precisei reiniciar o IIS para que qualquer uma dessas alterações de configuração começasse a funcionar.

Como a Netwrix pode ajudar?

Netwrix Access Analyzer pode ajudá-lo a melhorar a segurança da sua infraestrutura Windows e minimizar o risco de uma violação de dados. Ele permite que você:

• Identifique vulnerabilidades que possam ser exploradas por atacantes para comprometer sistemas Windows e acessar seus dados.
• Garanta a segurança e as políticas operacionais por meio da análise de baseline configuration.
• Audite e governe contas privilegiadas.
• Comprove a conformidade mais facilmente com relatórios pré-construídos e total transparência do sistema.

FAQ

O que é Autenticação do Windows no IIS?

A autenticação do Windows no IIS é um tipo seguro de autenticação no qual as credenciais da conta do usuário são criptografadas antes de serem transmitidas pela rede.

A autenticação do Windows é a mesma coisa que o Active Directory?

Não. Você pode usar a Autenticação do Windows mesmo se o seu servidor não for membro de an Active Directory domain.

A autenticação do IIS Windows utiliza LDAP?

Não. IIS Windows Authentication suporta apenas os protocolos Kerberos e NTLM.