Seguridad de Servicios de Internet Information Server 6.0
En esta página
Introducción
Los servidores Web son objetivo frecuente de distintos tipos de ataques de seguridad. Algunos de estos ataques son lo suficientemente graves como para causar daños importantes en factores como activos empresariales, productividad o relaciones con el cliente; todos ellos son inoportunos y resultan frustrantes. La seguridad de los servidores Web es fundamental para el éxito de su empresa.
En este documento se analiza cómo comenzar el proceso de seguridad de un servidor Web que ejecuta Servicios de Internet Information Server (IIS) 6.0 con el sistema operativo Microsoft® Windows Server 2003, Standard Edition. En primer lugar, en esta sección se describen algunas de las amenazas más frecuentes que afectan a la seguridad del servidor Web. Posteriormente se proporcionan indicaciones con carácter normativo sobre la adopción de medidas de seguridad para el servidor Web frente a estos ataques.
IIS 6.0 adopta una postura más proactiva frente a los usuarios malintencionados y atacantes con las siguientes modificaciones respecto a versiones anteriores de IIS:
| • | IIS 6.0 no se instala de forma predeterminada con la instalación de Windows Server 2003, Standard Edition. |
| • | Si IIS 6.0 se instala en primer lugar, el servidor Web ofrece o muestra únicamente páginas Web estáticas (HTML), lo cual reduce el riesgo que plantea el proporcionar contenido dinámico o ejecutable. |
| • | El Servicio de publicación World Wide Web (servicio WWW) es el único que se habilita de forma predeterminada cuando IIS 6.0 se instala por primera vez. Se pueden habilitar los servicios específicos que sean necesarios y en el momento en que se precisen. |
| • | De forma predeterminada, ASP y ASP.NET se deshabilitan cuando IIS 6.0 se instala por primera vez. |
| • | Para obtener protección adicional, todos los valores de configuración de seguridad predeterminados en IIS 6.0 cumplen o sobrepasan los valores de configuración creados por IIS Lockdown Tool. Esta herramienta, diseñada para reducir el ámbito de ataque deshabilitando características innecesarias, se ejecuta en las versiones anteriores de IIS. Para obtener más información sobre IIS Lockdown Tool, consulte "Seguridad de Servicios de Internet Information Server 5.0 y 5" en el Kit de orientaciones sobre seguridad. |
Debido a que la configuración predeterminada en IIS 6.0 deshabilita muchas de las características utilizadas frecuentemente por los servicios Web, en este documento se explica el modo de configurar características adicionales del servidor Web, al mismo tiempo que se reduce el ámbito en el que el servidor se expone a posibles ataques.
Para aumentar la seguridad en el servidor Web se proporcionan las siguientes indicaciones:
| • | Reducción del ámbito de ataque o de exposición del servidor frente a posibles atacantes, del servidor Web |
| • | Configuración de cuentas de grupo y usuario para el acceso anónimo |
| • | Seguridad de los archivos y directorios frente al acceso no autorizado |
| • | Seguridad de los sitios Web y directorios virtuales frente al acceso no autorizado |
| • | Configuración del nivel de sockets seguro (Secure Sockets Layer, SSL) en el servidor Web |
Importante: todas las instrucciones paso a paso incluidas en este documento se han elaborado utilizando el menú Inicio que aparece de forma predeterminada una vez instalado el sistema operativo. Si ha modificado dicho menú, puede que los pasos varíen un poco.
Tras completar los procedimientos de este documento, el servidor Web podrá proporcionar contenido dinámico en forma de páginas .asp y aún dispondrá de protección importante frente a los siguientes tipos de ataques que en ocasiones suponen una amenaza para los servidores en Internet:
| • | Ataques de perfil que recopilan información sobre el sitio Web. Se pueden reducir bloqueando puertos innecesarios y deshabilitando protocolos que no resultan imprescindibles. |
| • | Ataques de denegación del servicio que inundan el servidor Web con solicitudes. Se pueden reducir aplicando revisiones de seguridad y actualizaciones de software. |
| • | Acceso no autorizado por parte de un usuario sin los permisos adecuados. Se puede eliminar configurando permisos Web y NTFS. |
| • | Ejecución arbitraria de código malintencionado en el servidor Web. Se puede reducir impidiendo el acceso a las herramientas y comandos del sistema. |
| • | Aumento de privilegios que permiten a usuarios malintencionados utilizar una cuenta de elevado privilegio para ejecutar programas. Se puede reducir con un servicio y cuentas de usuario menos privilegiados. |
| • | Daños procedentes de virus, gusanos y troyanos. Para hacerles frente, se puede deshabilitar funcionalidad innecesaria, utilizar cuentas menos privilegiadas y aplicar de inmediato las revisiones de seguridad más recientes. |
Nota: la seguridad de un servidor Web supone un proceso complejo y continuo, por lo que no se puede garantizar una seguridad total.
Antes de comenzar
En esta sección se explican los requisitos previos del sistema, así como las características del servidor Web descritas en este documento.
Requisitos del sistema
El servidor Web de ejemplo en este documento presenta los siguientes requisitos del sistema:
| • | El servidor ejecuta Windows Server 2003, Standard Edition. |
| • | El sistema operativo se encuentra instalado en una partición NTFS. Para obtener más información sobre NTFS, consulte "NTFS" en el Centro de ayuda y soporte técnico de Windows Server 2003. |
| • | Todas las revisiones y actualizaciones necesarias para Windows Server 2003 se han aplicado al servidor. Para comprobar que las actualizaciones de seguridad más recientes se han instalado en el servidor Web, visite la página Windows Update del sitio Web de Microsoft Web en http://go.microsoft.com/fwlink/?LinkId=22630 y haga que el servicio Windows Update explore el servidor para buscar las actualizaciones disponibles. |
| • | Las medidas de seguridad de Windows Server 2003 se han aplicado al servidor. |
En este documento se proporciona información de introducción que puede servir de ayuda para adoptar los primeros pasos a la hora de configurar un servidor Web más seguro. No obstante, para que el servidor sea lo más seguro posible, debe comprender el funcionamiento de las aplicaciones que se ejecutan en él. No se incluye información sobre la configuración de seguridad específica de las aplicaciones.
Características del servidor Web
El servidor Web de ejemplo en este documento presenta las siguientes características:
| • | Ejecuta IIS 6.0 en modo de aislamiento del proceso de trabajo. |
| • | Aloja un sitio Web en Internet. |
| • | Está tras un servidor de seguridad que permite el tráfico únicamente en los puertos HTTP 80 y HTTPS 443. |
| • | Es un servidor dedicado, es decir, sólo se emplea como tal y no para otros propósitos como, por ejemplo, servidor de archivos, de impresión o de base de datos que ejecuta Microsoft SQL Server™. |
| • | Se permite el acceso anónimo al sitio Web. |
| • | Muestra páginas HTML y ASP. |
| • | Las Extensiones de servidor de FrontPage® 2002 de Microsoft no están configurados en el servidor Web. |
| • | Las aplicaciones del servidor no requieren conectividad de base de datos. |
| • | No admite los protocolos FTP (carga y descarga de archivos), SMTP (correo electrónico) ni NNTP (grupos de noticias). |
| • | No utiliza Internet Security and Acceleration Server. |
| • | Un administrador debe iniciar la sesión localmente para administrar el servidor. |
Reducción del ámbito de ataque en el servidor Web
Inicie el proceso de aplicación de seguridad en el servidor reduciendo el ámbito de ataque o el campo al que se expone el servidor frente a atacantes potenciales. Por ejemplo, habilite únicamente aquellos componentes, servicios y puertos que sean necesarios para el funcionamiento correcto del servidor.
Deshabilitación de SMB y NetBIOS
Los ataques de enumeración de host exploran la red para determinar la dirección IP de posibles objetivos. Para reducir la probabilidad de éxito de estos ataques contra los puertos expuestos a Internet del servidor Web, deshabilite todos los protocolos de red excepto el Protocolo de control de transporte (TCP). Los servidores Web no requieren Bloques de mensajes de servidor (SMB) ni NetBIOS en sus adaptadores de red expuestos a Internet.
En esta sección se incluyen las siguientes instrucciones paso a paso para reducir el ámbito de ataque del servidor:
| • | Deshabilitación de SMB en una conexión expuesta a Internet |
| • | Deshabilitación de NetBIOS a través de TCP/IP |
Nota: al deshabilitar SMB y NetBIOS, el servidor no puede funcionar como servidor de archivos ni de impresión; tampoco es posible la exploración de red y el servidor no puede administrarse de forma remota. Si el servidor es dedicado y requiere que los administradores inicien la sesión localmente, estas restricciones no deben afectar su funcionamiento.
SMB utiliza los siguientes puertos:
| • | Puerto TCP 139 |
| • | Puerto TCP y UDP 445 (Host directo SMB) |
NetBIOS hace uso de los siguientes puertos:
| • | Puerto TCP y de protocolo de datagrama de usuario (UDP) 137 (servicio de nombres de NetBIOS) |
| • | Puerto TCP y UDP 138 (servicio de datagramas de NetBIOS) |
| • | Puerto TCP y UDP 139 (servicio de sesiones de NetBIOS) |
La deshabilitación de NetBIOS como medida única no impedirá la comunicación de SMB, ya que SMB utiliza el puerto TCP 445 (denominado Host directo SMB) si no está disponible un puerto de NetBIOS estándar. NetBIOS y SMB se deben deshabilitar por separado.
Requisitos
| • | Credenciales: la sesión se debe iniciar como miembro del grupo de administradores en el servidor Web. |
| • | Herramientas: Mi PC, Herramientas del sistema y Administrador de dispositivos. |
| • | Para deshabilitar SMB en una conexión expuesta a Internet
|
| • | Para deshabilitar NetBIOS a través de TCP/IP
|
Nota: las capturas de pantalla que se muestran en este documento reflejan un entorno de prueba, por lo que la información puede ser distinta a la que aparezca en realidad en su pantalla.
Con el procedimiento anterior se desactiva el proceso de escucha de host directo SMB en los puertos TCP 445 y UDP 445. También se deshabilita el controlador Nbt.sys y es necesario reiniciar el sistema.
Comprobación de la nueva configuración
Asegúrese de que se ha aplicado la configuración de seguridad adecuada al servidor Web.
| • | Para comprobar que SMB está deshabilitado
|
| • | Para comprobar que NetBIOS está deshabilitado
|
Selección de componentes y servicios de IIS fundamentales
IIS 6.0 incluye subcomponentes y servicios además del servicio WWW como, por ejemplo, los servicios FTP y SMTP. Para reducir el riesgo de ataques cuyo objetivo son servicios y subcomponentes específicos, se recomienda seleccionar únicamente aquellos que los sitios y aplicaciones Web necesiten para funcionar correctamente.
En la siguiente tabla se muestra la configuración recomendada en Agregar o quitar programas para los subcomponentes y servicios de IIS en el servidor Web de ejemplo en este documento.
Configuración recomendada para subcomponentes y servicios IIS
| Subcomponente o servicio | Configuración predeterminada | Configuración del servidor Web |
| Extensiones de Servicio de transferencia inteligente en segundo plano (BITS) | Deshabilitado | Sin cambio |
| Archivos comunes | Habilitado | Sin cambio |
| Servicio FTP | Deshabilitado | Sin cambio |
| Extensiones de servidor de FrontPage 2002 | Deshabilitado | Sin cambio |
| Administrador de servicios de Internet Information Server | Habilitado | Sin cambio |
| Impresión de Internet | Deshabilitado | Sin cambio |
| Servicio NNTP | Deshabilitado | Sin cambio |
| Servicio SMTP | Habilitado | Deshabilitado |
| Servicio World Wide Web | Habilitado | Sin cambio |
Requisitos
| • | Credenciales: la sesión se debe iniciar como miembro del grupo de administradores en el servidor Web. |
| • | Herramientas: Agregar o quitar programas. |
| • | Para configurar componentes y servicios de IIS
|
Comprobación de la nueva configuración
Asegúrese de que se ha aplicado la configuración de seguridad adecuada al servidor Web.
| • | Para comprobar que los componentes y servicios de IIS se han seleccionado
|
Habilitación de las extensiones de servicio Web esenciales
Un servidor Web que ofrece contenido dinámico necesita extensiones de servicio Web. Cada tipo de contenido se corresponde con una extensión específica. Por razones de seguridad, IIS 6.0 permite habilitar y deshabilitar extensiones de servicio Web independientes, de modo que se habiliten únicamente las necesarias para el contenido.
ADVERTENCIA: no active todas las extensiones de servicio Web. Aunque con ello se asegura la mayor compatibilidad posible con los sitios Web y aplicaciones existentes, el ámbito de ataque del servidor Web aumenta considerablemente. Puede que sea necesario comprobar los sitios y aplicaciones Web por separado, para asegurar que sólo se habilitan las extensiones necesarias.
Supongamos que el servidor Web se configura para proporcionar el archivo Default.asp y su página predeterminada. Aunque se configure la página predeterminada, debe habilitar la extensión de servicio Web Páginas Active Server para poder visualizar la página .asp.
Requisitos
| • | Credenciales: la sesión se debe iniciar como miembro del grupo de administradores en el servidor Web. |
| • | Herramientas: Administrador de Internet Information Server (Iis.msc). |
| • | Para activar la extensión de servicio Web Páginas Active Server
|
Comprobación de la nueva configuración
Asegúrese de que se ha aplicado la configuración de seguridad adecuada al servidor Web.
| • | Para comprobar que la extensión de servicio Web Páginas Active Server está habilitada
|
Configuración de cuentas
Se recomienda eliminar las cuentas no utilizadas, ya que un atacante podría descubrirlas y emplearlas para obtener acceso a los datos y aplicaciones Web del servidor. Se debe solicitar siempre contraseñas seguras, ya que, de lo contrario, aumentará la probabilidad de ataques de fuerza bruta o de diccionarios con los que el atacante intenta averiguar las contraseñas. Se deben utilizar cuentas de usuario que se ejecuten con privilegios mínimos. De no hacerlo así, un atacante puede obtener acceso a recursos no autorizados haciendo uso de una cuenta que se ejecute con un nivel elevado de privilegio.
En esta sección se proporcionan las siguientes instrucciones paso a paso para la configuración de cuentas:
| • | Deshabilitación de cuentas no utilizadas |
| • | Aislamiento de aplicaciones con grupos de ellas |
Deshabilitación de cuentas no utilizadas
Un atacante puede hacer uso de cuentas que no se utilizan y sus privilegios, a fin de obtener acceso al servidor. Es necesario auditar de forma periódica las cuentas locales del servidor y deshabilitar las cuentas que no se empleen. Deshabilite las cuentas en un servidor de prueba antes de hacerlo en un servidor de producción; de este modo, se asegurará de que no se afecta negativamente el funcionamiento de la aplicación. Si la deshabilitación de la cuenta no causa ningún problema en el servidor de prueba, realice la misma operación en el servidor de producción.
Nota: si decide eliminar una cuenta no utilizada en lugar de deshabilitarla, tenga en cuenta que no se podrá recuperar y que no se pueden eliminar las cuentas Administrador e Invitado. Asimismo, asegúrese de eliminar la cuenta en un servidor de prueba antes de hacerlo en uno de producción.
En esta sección se proporcionan las siguientes instrucciones paso a paso para la eliminación o deshabilitación de cuentas que no se utilizan:
| • | Deshabilitación de la cuenta de invitado |
| • | Cambio de nombre de la cuenta de administrador |
| • | Cambio de nombre de la cuenta IUSR_NombreEquipo |
Deshabilitación de la cuenta de invitado
La cuenta de invitado se utiliza cuando se realiza una conexión anónima al servidor Web. Durante una instalación predeterminada de Windows Server 2003, esta cuenta se deshabilita. Para restringir las conexiones anónimas al servidor, compruebe que la cuenta de invitado se ha deshabilitado.
Requisitos
| • | Credenciales: la sesión se debe iniciar como miembro del grupo de administradores en el servidor Web. |
| • | Herramientas: Administración de equipos |
| • | Para deshabilitar la cuenta de invitado
|
Cambio de nombre de la cuenta de administrador
La cuenta de administrador local predeterminada es uno de los objetivos de los usuarios malintencionados debido a sus elevados privilegios en el equipo. Para mejorar la seguridad, se debe cambiar el nombre predeterminado y asignarle una contraseña segura.
Requisitos
| • | Credenciales: la sesión se debe iniciar como miembro del grupo de administradores en el servidor Web. |
| • | Herramientas: Mi PC. |
| • | Para cambiar el nombre de la cuenta de administrador y asignarle una contraseña segura
|
Advertencia: no utilice el elemento de menú Establecer contraseña en el menú contextual para cambiar la contraseña a no ser que la haya olvidado y no disponga de un disco para restablecer contraseña. Si utiliza este método para cambiar la contraseña de administrador, puede causar la pérdida irreversible de información que haya protegido mediante esta contraseña.
Cambio de nombre de la cuenta IUSR
La cuenta de usuario anónima predeterminada de Internet, IUSR_NombreEquipo, se crea durante la instalación de IIS. El valor de NombreEquipo será el nombre de NetBIOS del servidor cuando se instale IIS.
Requisitos
| • | Credenciales: la sesión se debe iniciar como miembro del grupo de administradores en el servidor Web. |
| • | Herramientas: Mi PC. |
| • | Para cambiar el nombre de la cuenta IUSR
|
| • | Para cambiar el valor de la cuenta IUSR en la metabase de IIS
|
Comprobación de la nueva configuración
Asegúrese de que se ha aplicado la configuración de seguridad adecuada al servidor Web.
| • | Para comprobar que una cuenta está deshabilitada
|
| • | Para comprobar el cambio de nombre de una cuenta
|
Aislamiento de aplicaciones con grupos de ellas
Con IIS 6.0, las aplicaciones se pueden aislar en grupos. Un grupo de aplicaciones es un grupo de una o varias direcciones URL que ofrece un proceso de trabajo o un conjunto de ellos. Estos grupos pueden ayudar a mejorar la confiabilidad del servidor Web, ya que cada aplicación funciona de forma independiente respecto a las demás.
Todos los procesos de ejecución en un sistema operativo Windows disponen de una identidad, que determina el modo en que el proceso tiene acceso a los recursos del sistema. Cada grupo de aplicaciones cuenta además con una identidad de este tipo, que es una cuenta ejecutada con los permisos mínimos que requiere la aplicación. Esta identidad de proceso se puede utilizar para permitir el acceso anónimo al sitio Web o a las aplicaciones.
Requisitos
| • | Credenciales: la sesión se debe iniciar como miembro del grupo de administradores en el servidor Web. |
| • | Herramientas: Mi PC. |
| • | Para crear un grupo de aplicaciones
|
| • | Para asignar un sitio Web o aplicación a un grupo de aplicaciones
|
Comprobación de la nueva configuración
Asegúrese de que se ha aplicado la configuración de seguridad adecuada al servidor Web.
| • | Para comprobar que se ha creado un grupo de aplicaciones
|
| • | Para comprobar que un sitio Web o aplicación se ha asignado a un grupo de aplicaciones específico
|
Configuración de seguridad para archivos y directorios
Para proteger archivos y directorios importantes se deben emplear controles de acceso seguros. En la mayoría de las situaciones, permitir el acceso a determinadas cuentas resulta más eficaz que denegarlo. El acceso se debe establecer en el nivel de directorio, siempre que sea posible. A medida que los archivos se agregan a la carpeta, heredan permisos de la misma, por lo que no es necesario realizar ninguna acción adicional.
En esta sección se proporcionan las siguientes instrucciones paso a paso para la configuración de seguridad de archivos y directorios:
| • | Reubicación y definición de permisos para archivos de registro de IIS |
| • | Configuración de permisos de metabase de IIS |
| • | Deshabilitación del componente FileSystemObject |
Reubicación y definición de permisos para archivos de registro de IIS
Con el fin de aumentar la seguridad de los archivos de registro de IIS, es necesario reubicarlos en una unidad que no sea de sistema y con formato para utilizar el sistema de archivos NTFS. Esta ubicación no debe ser la misma que la del contenido del sitio Web.
Requisitos
| • | Credenciales: la sesión se debe iniciar como miembro del grupo de administradores en el servidor Web. |
| • | Herramientas: Mi PC y el Administrador de Internet Information Server (IIS) (Iis.msc). |
| • | Para desplazar la ubicación de los archivos de registro de IIS a una partición que no sea de sistema
|
Nota: si ya dispone de archivos de registro de IIS en la ubicación original en Windows\System32\Logfiles, debe moverlos a la nueva ubicación de forma manual. IIS no realizará la operación por sí mismo.
| • | Para establecer listas de control de acceso (ACL) en archivos de registro de IIS
|
Comprobación de la nueva configuración
Asegúrese de que se ha aplicado la configuración de seguridad adecuada al servidor Web.
| • | Para comprobar que los archivos de registro se desplazan y los permisos se definen
|
Configuración de permisos de metabase de IIS
La metabase de IIS es un archivo XML que incluye la mayor parte de la información de configuración de IIS.
Requisitos
| • | Credenciales: la sesión se debe iniciar como miembro del grupo de administradores en el servidor Web. |
| • | Herramientas: Mi PC y el archivo MetaBase.xml. |
| • | Para restringir el acceso al archivo MetaBase.xml
|
Comprobación de la nueva configuración
Asegúrese de que se ha aplicado la configuración de seguridad adecuada al servidor Web.
| • | Para comprobar el acceso restringido al archivo MetaBase.xml
|
Deshabilitación del componente FileSystemObject
ASP, Windows Script Host y otras aplicaciones de secuencias de comandos utilizan el componente FileSystemObject (FSO) para crear, eliminar, obtener información y manipular unidades, carpetas y archivos. Considere la deshabilitación del componente FSO, aunque tenga en cuenta que con ello también se eliminará el objeto Dictionary. Asimismo, compruebe que ningún otro programa necesita este componente.
Requisitos
| • | Credenciales: la sesión se debe iniciar como miembro del grupo de administradores en el servidor Web. |
| • | Herramientas: símbolo del sistema. |
| • | Para deshabilitar el componente FileSystemObject
|
Seguridad en sitios Web y directorios virtuales
Los directorios raíz Web y los directorios virtuales se deben reubicar en una partición que no sea del sistema para ayudar a protegerse de los ataques transversales de directorio. Estos ataques permiten al atacante ejecutar herramientas y programas del sistema operativo. Debido a que no es posible atravesar unidades, la reubicación del contenido del sitio Web en otra unidad ofrece protección adicional frente a este tipo de ataques.
En esta sección se proporcionan las siguientes instrucciones paso a paso para dotar de seguridad a los sitios Web y directorios virtuales:
| • | Desplazamiento del contenido del sitio Web a una unidad que no es del sistema |
| • | Configuración de permisos del sitio Web |
Desplazamiento del contenido del sitio Web a una unidad que no es del sistema
No utilice el directorio predeterminado \Inetpub\Wwwroot como ubicación para el contenido del sitio Web. Por ejemplo, si el sistema se instala en la unidad C:, puede mover el directorio del contenido y sitio a la unidad D: para poder eliminar los riesgos asociados con los ataques transversales de directorio, en los que un atacante intenta examinar la estructura de directorio de un servidor Web. Asegúrese de comprobar que todos los directorios virtuales señalan a la nueva unidad.
Requisitos
| • | Credenciales: la sesión se debe iniciar como miembro del grupo de administradores en el servidor Web. |
| • | Herramientas: Administrador de Internet Information Server (Iis.msc) y un símbolo del sistema. |
| • | Para desplazar el contenido del sitio Web a una unidad que no es del sistema
|
Comprobación de la nueva configuración
Asegúrese de que se ha aplicado la configuración de seguridad adecuada al servidor Web.
| • | Para comprobar que el contenido del sitio Web se ha movido a una unidad que no es del sistema
|
| • | Para eliminar el contenido del sitio Web de la unidad del sistema
|
Comprobación de la nueva configuración
Asegúrese de que se ha aplicado la configuración de seguridad adecuada al servidor Web.
| • | Para comprobar que el contenido del sitio Web se ha eliminado de la unidad del sistema
|
Configuración de permisos del sitio Web
Los permisos de acceso se pueden configurar para el servidor Web para directorios, archivos y sitios específicos. Estos permisos se aplican a todos los usuarios independientemente de sus derechos de acceso concretos.
Configuración de permisos en directorios del sistema de archivos
IIS 6.0 depende de los permisos NTFS para ayudar a proteger los archivos y directorios independientes de accesos no autorizados. A diferencia de los permisos del sitio Web, aplicados a los usuarios que intentan tener acceso al sitio, se pueden utilizar los permisos NTFS para definir qué usuarios pueden tener acceso al contenido y el modo en que se permite su manipulación. Para mejorar la seguridad, utilice los permisos de sitio Web y NTFS.
Las listas de control de acceso (ACL) indican qué usuarios o grupos tienen permisos para tener acceso o modificar un archivo concreto. En lugar de establecer listas ACL en cada archivo, cree nuevos directorios para cada tipo de archivo, establezca listas ACL en cada directorio y, posteriormente, permita que los archivos hereden permisos del directorio en el que residen.
Requisitos
| • | Credenciales: la sesión se debe iniciar como miembro del grupo de administradores en el servidor Web. |
| • | Herramientas: Mi PC y el Administrador de Internet Information Server (IIS) (Iis.msc). |
| • | Para desplazar el contenido del sitio Web a una carpeta independiente
|
Nota: si se han creado vínculos a estas páginas, éstos deben actualizarse para reflejar la nueva ubicación del contenido del sitio.
| • | Para establecer permisos para el contenido Web
|
Si un nodo secundario que pertenece al directorio que dispone de permisos del sitio Web modificados también ha establecido los permisos para una opción en concreto, los permisos del nodo secundario anularán a los definidos para el directorio. Si desea que los permisos del sitio Web del nivel de directorio se apliquen a los nodos secundarios, debe seleccionar los nodos en el cuadro Omitir herencia.
Comprobación de la nueva configuración
Asegúrese de que se ha aplicado la configuración de seguridad adecuada al servidor Web.
| • | Para comprobar que el acceso de escritura se deniega en los directorios de contenido del sitio Web
|
Configuración del nivel de sockets seguro (Secure Sockets Layer, SSL) en el servidor Web
Configure características del nivel de sockets seguro (SSL) en el servidor Web para comprobar la integridad del contenido, la identidad de los usuarios y cifrar las transmisiones de red. La seguridad de SSL depende de un certificado de servidor que permite a los usuarios autenticar el sitio Web antes de que se transmita información personal como, por ejemplo, un número de tarjeta de crédito. Cada sitio Web puede disponer solamente de un certificado de servidor.
Obtención e instalación de certificados de servidor
Los certificados los envían organizaciones que no pertenecen a Microsoft y que se denominan entidades emisoras de certificados (CA). El certificado del servidor suele asociarse con el servidor Web, concretamente con el sitio donde se ha configurado SSL. Se debe generar una solicitud de certificado, enviarla a CA y, posteriormente, instalar el certificado tras ser recibido.
Para reforzar la seguridad, los certificados dependen de un par de claves de cifrado, una pública o otra privada. De hecho, al emitir la solicitud para un certificado de servidor, se está generando la clave privada. El certificado de servidor que se recibe de CA incluye la clave pública.
Requisitos
| • | Credenciales: la sesión se debe iniciar como miembro del grupo de administradores en el servidor Web. |
| • | Herramientas: Administrador de Internet Information Server (Iis.msc) y el Asistente para certificados de servidor Web. |
| • | Para generar una solicitud para un certificado de servidor
|
| • | Para enviar una solicitud para un certificado de servidor
|
Cuando reciba el certificado, podrá instalarlo en el servidor Web.
| • | Para instalar un certificado de servidor
|
Comprobación de la nueva configuración
Asegúrese de que se ha aplicado la configuración de seguridad adecuada al equipo local.
| • | Para comprobar que un certificado se ha instalado en un servidor Web
|
Aplicación y activación de conexiones SSL en el servidor Web
Tras instalar el certificado de servidor, se deben aplicar conexiones SSL en el servidor Web. A continuación, se deben habilitar las conexiones SSL.
Requisitos
| • | Credenciales: la sesión se debe iniciar como miembro del grupo de administradores en el servidor Web. |
| • | Herramientas: Administrador de Internet Information Server (Iis.msc). |
| • | Para aplicar las conexiones SSL
|
| • | Para habilitar conexiones SSL en el servidor Web
|
Comprobación de la nueva configuración
Asegúrese de que se ha aplicado la configuración de seguridad adecuada al servidor Web.
| • | Para comprobar conexiones SSL en el servidor Web
|
Comentarios
Publicar un comentario
Debes estar registrado en el blog para poder enviar tus comentarios.