Podemos efetuar outras configurações relacionadas com segurança, no servidor IIS. Existem algumas opções que limitam o tipo de ação que o usuário pode tomar em uma determinada pasta virtual ou em uma página especificamente. Neste item iremos estudar diversas destas opções. Dividiremos as mesmas em dois grupos:

• Opções gerais de segurança.
• Opções relacionadas com uma aplicação Web.

Configurando opções gerais de segurança

Estas configurações são definidas, normalmente, a nível de pasta virtual. Para configurar estas opções faça o seguinte:

1.         Faça o log on no Windows 2000 Server, com permissões de administrador.

2.         Abra o Gerenciador do Internet Services: Iniciar -> Programas -> Ferramentas administrativas -> Gerenciador do Internet Services.

3.         É aberto o console de gerenciamento do IIS.

4.         Dê um clique duplo no nome do computador. No nosso exemplo o nome é Servidor.

5.         Dê um clique no sinal de + ao lado de Site Web padrão. Serão exibidas as diversas pastas virtuais disponíveis no servidor.

6.         A título de exemplo, vamos configurar as opções gerais de segurança para a pasta Capitulo6, conforme indicado na Figura 9.33.

Figura 9.33 Configurando opções gerais de segurança para – Capitulo6.

Caso você não tenha criado uma pasta virtual Capítulo6, utilize qualquer pasta virtual disponível no seu servidor IIS.

7.         Clique com o botão direito do mouse sobre a opção Capitulo6. No menu de opções que surge dê um clique em Propriedades.

8.         Será exibida a janela “Propriedades de Capitulo6”.

9.         Na guia Pasta (que já deve estar sendo exibida), existem diversas opções de configuração. Abaixo descrevemos cada uma destas opções.

• Acesso ao código fonte do Script: Selecione esta opção para permitir que os usuários acessem o código fonte se a permissão de leitura ou gravação estiver definida.  O código fonte inclui scripts nos aplicativos ASP.
• Leitura: Selecione esta opção para permitir que os usuários leiam ou façam o download dos arquivos ou diretórios e de suas propriedades associadas.
• Gravação: Selecione esta opção para permitir que os usuários carreguem os arquivos e suas propriedades associadas no diretório ativado no servidor ou alterem o conteúdo de um arquivo ativado para gravação. A gravação só poderá ser feita com um navegador que dê suporte ao recurso PUT do protocolo padrão HTTP 1.1. Cuidado com esta permissão. Dificilmente você precisará habilitar permissão de Gravação para áreas em que é permitida a autenticação com usuário anônimo.
• Pesquisa em Pasta: Selecione esta opção para permitir que o usuário veja uma listagem em hipertexto dos arquivos e subdiretórios deste diretório virtual. Os diretórios virtuais não aparecerão nas listagens de diretórios; os usuários devem saber o alias do diretório virtual. Caso o usuário digite o endereço para o caminho da pasta e não especifique um documento a ser carregado, será exibida uma listagem semelhante a indicada na Figura 9.34.

Figura 9.34 Listagem exibida quando a opção Pesquisa em Pasta está habilitada.

Caso esta opção não esteja marcada e o usuário digite o endereço para a pasta, sem especificar um arquivo a ser carregado, será retornada a mensagem de erro indicada na Figura 9.35.

Figura 9.35 Mensagem de erro quando a opção Pesquisa em Pasta estiver desabilitada 

• Criar log de visitantes: Selecione esta opção para registrar as visitas feitas a este diretório em um arquivo de log. As visitas serão registradas somente se o log estiver ativado para este site da Web.
• Indexar este recurso: Para permitir que o Serviço de indexação da Microsoft (Index Services) inclua este diretório em um índice de texto completo do site da Web, selecione esta opção.

De uma maneira geral, recomendo que as opções Gravação e Pesquisa em pasta somente sejam marcadas em situações especiais e para áreas que não contenham dados confidenciais.

Uma questão importante é sobre a combinação entre as permissões definidas no IIS e as permissões NTFS. Por exemplo, vamos supor que o usuário tenha sido autenticado como usuário anônimo e está tentando gravar conteúdo em  uma pasta virtual na qual o IIS possui permissão de gravação , porém as permissões NTFS não permitem que o usuário anônimo faça gravações. Como fica esta combinação ?

Quando uma página é solicitada, o IIS segue a seqüência indicada na Figura 9.36.

Figura 9.36 Seqüência de verificação do IIS.

Observe que primeiro o IIS verifica se o usuário tem permissões da Web para o recurso solicitado. Se o usuário não tiver, a solicitação falha e o usuário recebe uma mensagem "403 Acesso proibido". O IIS verifica as permissões do NTFS para o recurso. Se o usuário não tiver permissões do NTFS para o recurso, a solicitação falha e o usuário recebe uma mensagem "401 Acesso negado".

Então a resposta para o nosso exemplo é que o usuário não conseguiria gravar o conteúdo, pois o mesmo não teria as permissões NTFS necessárias e o mesmo acabaria recebendo a mensagem de erro “401 Acesso negado”.

Configuração de segurança para aplicativos Web no IIS

Estas configurações são definidas, também utilizando a guia Pasta da janela de propriedades para a pasta virtual que representa a aplicação Web. Para configurar estas opções faça o seguinte:

1.         Faça o log on no Windows 2000 Server, com permissões de administrador.

2.         Abra o Gerenciador do Internet Services: Iniciar -> Programas -> Ferramentas administrativas -> Gerenciador do Internet Services.

3.         É aberto o console de gerenciamento do IIS.

4.         Dê um clique duplo no nome do computador. No nosso exemplo o nome é Servidor.

5.         Dê um clique no sinal de + ao lado de Site Web padrão. Serão exibidas as diversas pastas virtuais disponíveis no servidor.

6.         A título de exemplo, vamos configurar as opções de aplicação para a pasta Capitulo6, conforme indicado na Figura.

Caso você não tenha criado uma pasta virtual Capítulo6, utilize qualquer pasta virtual disponível no seu servidor IIS.

7.         Clique com o botão direito do mouse sobre a opção Capitulo6. No menu de opções que surge dê um clique em Propriedades.

8.         Será exibida a janela “Propriedades de Capitulo6”.

9.         Certifique-se de que estão sendo exibidas as opções da guia Pasta.

10.       Na parte de baixo da guia Pasta, temos um grupo de opções chamado Configurações do aplicativo. Abaixo temos uma descrição de cada uma destas opções.

Conforme descrito anteriormente, um aplicativo da Web do IIS é definido pela estrutura de diretórios em que está localizado. Para obter mais informações, consulte o Capítulo 8 deste livro.

• Nome do aplicativo: Normalmente utilizamos o mesmo nome da pasta virtual.
• Botão Remover: Se clicarmos neste botão removemos todas as opções de aplicativo, e transformamos o aplicativo Web em uma simples pasta virtual, para a qual não se aplicam os conceitos dos objetos Application, Session e do arquivo global.asa. Para maiores informações sobre os objetos Application, Session e o arquivo global.asa, consulte o Capítulo 8 deste livro, bem como para informações sobre as opções do botão Configuração...
• Permissões de execução: Esta opção determina o nível de execução de programa permitido para recursos de diretórios virtuais ou deste site. Temos as seguintes opções:

1.         Nenhum   Somente arquivos estáticos, como os arquivos HTML (Hypertext Markup Language, linguagem de marcação de hipertexto) ou os arquivos de imagem, podem ser acessados. Não permite que scripts ASP sejam executados.

2.         Somente scripts   Somente scripts, como os scripts ASP, podem ser executados. Este é o padrão normalmente definido.

3.         Scripts e executáveis   Todos os tipos de arquivos podem ser acessados ou executados. Cuidado com esta configuração. Muitos dos ataques conhecidos consiste em enviar e executar arquivos executáveis no servidor a ser atacado. Os executáveis enviados, normalmente abrem portas de segurança que estavam fechadas pelo Administrador.

• Proteção do aplicativo: Temos as seguintes opções:

1. Baixa: Selecione esta opção para que os aplicativos sejam executados no mesmo processo que os serviços da Web (opção baixo), nesta caso se um dos aplicativos apresentar problema e desativar o processo do servidor Web, todos os aplicativos ficarão indisponíveis até que o servidor Web tenha sido normalizado.

2. Média (em pool): Selecione esta  opção para que a aplicação Web seja executada em um processo em pool isolado em que outros aplicativos também são executados.

3. Alta (isolada): Neste caso a aplicação Web será executada em seu próprio espaço de endereçamento e se a mesma apresentar problemas, as outras aplicações Web, bem como o servidor IIS continuam funcionando normalmente. A execução isolada aumenta a disponibilidade do servidor Web, pois problemas em uma aplicação não irão afetar todo o servidor, porém consomem mais recursos, como memória, pois cada aplicação é executada em seu próprio espaço de memória.

Para determinar qual opção representa uma aplicação Web e qual é simplesmente uma pasta virtual é só observar o ícone ao lado do nome, no Gerenciador do Internet Services. Opções que são simplesmente uma pasta virtual são representadas por um envelope amarelo, já aplicações Web possuem um ícone que parece uma caixa aberta, conforme indicado na Figura 9.37.

Figura 9.37 Ícones para uma pasta virtual e para uma aplicação Web.