IIS 7.0 (Internet Information Services) – Parte 4: Segurança


Um dos pilares do IIS 7, conforme vimos no post anterior  é Segurança. E isto não poderia ser diferente, dado a criticidade e sensibilidade de se expor informações ou sistemas via Web.


Debaixo do “guarda-chuva” Segurança, temos algumas características bem interessantes:



  • Modularidade: o IIS 7 possui cerca de 40 módulos disponíveis, já embutidos no sistema operacional, onde você pode granularmente escolher quais componentes estarão disponíveis. Assim, se por exemplo, você não vai executar a autenticação do tipo “Digest“, não precisa instalar esse módulo (DigestAuthModule), ou seja, seus binários não estarão em disco e você terá uma área de ataque reduzida. Apenas para se ter idéias de quais módulos estão disponíveis, o gráfico abaixo mostra de modo agrupado, quais são os mesmos:


Logicamente, há todo um controle de “dependências” entre os módulos. Assim, se você necessita executar aplicações ASP.NET, ao selecionar o módulo principal, automaticamente os demais serão acrescentados.



  • Gerenciamento Reduzido de Patches: pelo mesmo motivo acima, se os binários não estão fisicamente em disco, não há necessidade de patches. Assim, seguindo o mesmo exemplo, se o módulo DigestAuthModule não está instalado, e há um patch de correção para esse módulo em específico, sua aplicação não é necessária.

  • URLScan embutido: essa ferramenta, disponível como download separado para o IIS 6.0, utilizado para se assegurar que requisições HTTP válidas (por exemplo: tamanho máximo de string, caracteres inválidos, etc) estavam realmente sendo processadas, é agora um módulo (RequestFilteringModule) do IIS 7. Assim, simplesmente editando arquivos de configuração texto (como o web.config) você pode customizar e configurar esse módulo, acrescentando um nível de segurança em seu WebServer