Si tiene una PC que tiene IIS instalado en su sistema operativo Windows y desea participar en el diseño web, es posible que esté considerando cómo mantener seguro su servidor web. Probablemente esté pensando que puede sumergirse en el mundo del desarrollo web y olvidarse del servidor web subyacente. Aunque IIS es un producto de Microsoft, aún necesita implementar funciones de seguridad para que su servidor sea más seguro.

Esto es necesario porque estas funciones de seguridad a menudo no están configuradas de forma predeterminada. Para mantener sus instalaciones de IIS seguras, en este artículo le daremos consejos y pasos que debe seguir para proteger sus instalaciones de IIS.

SUGERENCIA 1: Mueva la carpeta Inetpub a otra unidad

La carpeta Inetpub es la ubicación predeterminada para el contenido de su sitio web, el inicio de sesión de IIS y mucho más. Microsoft IIS7 y las versiones más recientes vienen con la configuración predeterminada para la carpeta Inetpub en la unidad del sistema. Para aumentar la seguridad de su sistema, se recomienda mover la carpeta Inetpub de esta posición a otra partición para aislar el contenido web del sistema operativo Windows. Por lo general, deberá transferir esto una vez que haya completado la instalación.

Consejo 2: configure módulos IIS adecuados

IIS viene con más de treinta elementos o módulos. No es necesario instalarlos todos. Solo debe instalar los módulos que realmente necesita para sus aplicaciones web. Para aumentar la seguridad de su sitio, desactive cualquier módulo que no necesite para detectar la posibilidad de exponer su servidor web al riesgo de ataques de piratería. De vez en cuando, debe verificar los módulos instalados y eliminar los módulos que ya no son necesarios. Utilice el Administrador de IIS para realizar un seguimiento de los módulos que ha instalado y activado. para enumerar todos los módulos activados. Para hacer esto, proceda de la siguiente manera:

  • Navegue hasta el Administrador de IIS y ábralo
  • Haga clic en el nombre del motor para examinar todos sus elementos. Alternativamente, puede navegar al sitio web en particular para revisar todos los módulos permitidos para ese sitio web en particular.
  • Haga clic en ‘Módulos ‘ dos veces
  • Si desea desactivar un componente, haga clic en él en la lista completa de componentes y haga clic en ‘Eliminar’ desde la ventana de acción.
  • A continuación, confirme que realmente desea eliminar el elemento haciendo clic en

Cómo proteger las instalaciones de IIS

Consejo 3: deshabilite el método OPTIONS

El método OPTIONS proporciona una lista de los métodos admitidos por el servidor web. Si bien esto parece útil, también actúa como un vínculo potencial entre su servidor web y los atacantes. Proporciona al atacante potencial la información que necesita para investigar y explorar su sitio web y descubrir posibles vectores de ataque. Por lo tanto, se recomienda deshabilitar completamente el método OPTIONS. Puede hacer esto prohibiendo el verbo OPTIONS de las reglas de filtrado para solicitudes de verbos HTTP en IIS. Para hacer esto:

  • Vaya al Administrador de IIS y ábralo
  • Elija el nombre del motor para configurarlo globalmente. Alternativamente, cambie la configuración en el sitio web específico en el que desea configurar esto.
  • Haga clic dos veces en ‘Solicitar filtrado’
  • Vaya al botón Verbos HTTP
  • Navegue hasta el Panel de acciones y haga clic en Denegar verbo.
  • Luego haga clic en Insertar ‘OPCIONES ‘ en el verbo y haga clic en Aceptar. Esto guardará los cambios que ha realizado.

Cómo proteger las instalaciones de IIS

SUGERENCIA 4: Permita restricciones de IP dinámicas

El módulo de Restricciones de IP dinámicas permite a un atacante potencial bloquear el acceso a direcciones IP que procesan una cierta cantidad de solicitudes y, por lo tanto, ayuda a prevenir ataques de denegación de servicio (DoS). Este componente verifica la dirección IP de cada solicitud enviada al servidor web y filtra estas solicitudes para poder desactivar temporalmente las direcciones IP que ilustran una estructura de ataque específica. Puede configurar el componente Restricciones de IP dinámicas de tal manera que el acceso a las direcciones IP esté restringido después de varias consultas simultáneas o bloqueando las direcciones IP que envían una cierta cantidad de consultas durante un período de tiempo determinado. Debe activar la función “Seguridad IP” o “Restricciones de dominio e IP”. Cuál de estos active dependerá de la versión de IIS con la que esté trabajando.

Cómo proteger las instalaciones de IIS

De esta forma, integra el componente “Restricciones de dominio y dirección IP” en el administrador de IIS. Desde allí, puede configurar las restricciones de IP dinámicas. Siga los pasos a continuación para lograr esto:

  • Vaya a Open IIS Manager y presione para abrirlo
  • Elija el nombre del dispositivo que necesita configurar para poder configurarlo globalmente.

Alternativamente, puede hacer esto cambiando el sitio web en particular para el que necesita configurarlo.

  • Presiona “Restricciones de dominio y dirección IP” dos veces.
  • Navegue hasta el panel Acciones y seleccione Editar configuración de restricción dinámica.
  • Cambie y ajuste la configuración de restricción de IP dinámica según sus necesidades y haga clic en OK para asegurarse de guardar los cambios que haya realizado.

Cómo proteger las instalaciones de IIS

Consejo 5: Permita y configure reglas para el filtrado de solicitudes

También es una buena idea limitar los tipos de solicitudes HTTP que realiza el proceso IIS. Para evitar que se procesen consultas potencialmente maliciosas, debe configurar excepciones y reglas. Esto es importante porque IIS puede bloquear estas solicitudes al definir las reglas de filtrado de consultas. Por ejemplo, puede establecer una regla para filtrar el tráfico que muestre evidencia de pruebas de inyección de SQL. Si bien la vulnerabilidad de inyección de SQL debería ser fundamental, el filtrado de ataques de inyección de SQL es esencial para minimizar dichos ataques. Por lo general, puede configurar esto a través del botón Reglas que ve en la interfaz de filtrado de solicitudes del Administrador de IIS. Para hacer esto, siga los pasos a continuación:

  • Haga clic aquí para abrir el Administrador de IIS
  • Haga clic en el nombre del dispositivo para el que desea configurarlo para configurarlo globalmente o cambie la configuración en el sitio web específico para el que desea configurarlo. Para hacer esto, siga los pasos a continuación:
  • Haga clic dos veces en “Solicitar filtrado”.
  • Cambiar el botón Regla de reglas
  • Vaya al panel Acciones y seleccione Integrar regla de filtro.
  • Configure las reglas necesarias y haga clic en Aceptar para asegurarse de guardar los cambios que realizó.

La regla configurada en la captura de pantalla a continuación le indicaría a IIS que busque los subprocesos ofrecidos para consultar las páginas ASP y ASPX. Esto le indicaría a IIS que bloquee la consulta de subprocesos como este si están siendo observados.

Cómo proteger las instalaciones de IIS

También puede filtrar solicitudes que constan de funciones como secuencias de comandos de bits altos o secuencias de comandos de doble escape.

Consejo 6: permitir el atributo de registro

La configuración del registro de IIS crea datos de registro de IIS a partir de consultas HTTP que provienen del servidor. Esto es de gran ayuda y puede ayudarlo a comprender cualquier problema que su sitio web pueda haber encontrado si encuentra problemas. También puede monitorear los registros almacenados por su servidor constantemente o en intervalos para verificar el rendimiento de su servidor y darle una idea de cuándo optimizar para funciones de seguridad adicionales.

Esto se puede automatizar utilizando herramientas de verificación del servidor. Por lo tanto, es importante hacer una copia de seguridad de los registros de su servidor.

Microsoft también ofrece la herramienta Log Parser, que le ayuda a consultar y rescatar determinados datos de los registros de IIS. Además, las herramientas de consolidación de registros son muy importantes para fortalecer significativamente la consolidación y el archivo de datos de los registros del servidor.

Se puede permitir el registro de IIS y se puede configurar el administrador de IIS. En el Administrador, haga clic en el nombre del dispositivo para el que está configurando la funcionalidad y luego haga clic en Registrar. Dado que estos archivos de registro pueden ser muy grandes, es aconsejable abrir un nuevo archivo de vez en cuando.

Cómo proteger las instalaciones de IIS

Consejo 7: Utilice el Asistente de configuración de seguridad (SCW) y el Administrador de cumplimiento de seguridad (SCM)

Estas son dos herramientas proporcionadas por Microsoft que puede utilizar para verificar la seguridad de sus instalaciones de IIS. El Asistente de configuración de seguridad (SCW) realiza varias pruebas y ofrece sugerencias sobre cómo puede aumentar la seguridad de su servidor web.

El instrumento Security Compliance Manager (SCM), por otro lado, realiza comprobaciones e investigaciones de seguridad en su servidor y compara la configuración de su servidor con las plantillas preestablecidas y sugerencias de la guía de seguridad requerida para cada estándar de la industria.

Cómo proteger las instalaciones de IIS

Por último, pero no menos importante: mantenga su servidor web constantemente actualizado

Finalmente, asegúrese de mantener actualizado su servidor web para asegurarse de que tenga las últimas actualizaciones y parches de seguridad. Muy a menudo pasamos por alto y descuidamos esta seguridad básica, pero se necesita con urgencia. La mayoría de los ataques al servidor registrados a menudo ocurren en servidores que no están debidamente parcheados.

Esta es una indicación de que mantener actualizado su servidor web es un consejo de seguridad extremadamente importante. La mayoría de los ataques que afectan al servidor web se producen en servidores sin parches. Esto solo demuestra la importancia de mantener actualizado su servidor web IIS.