Implantação segura do Web Studio

Este artigo destaca as áreas de configuração que podem afetar a segurança do sistema ao implantar o Web Studio.

Observação:

Para proteger a comunicação entre os navegadores da web dos usuários e o Web Studio, consulte Habilitar TLS no Web Studio e no Director.

Configurar as configurações do IIS

Como uma prática recomendada de segurança, configure o Web Studio com uma configuração restrita do IIS:

1. Restrinja a filtragem de solicitações:

   • Se você instalar o Web Studio com o Director, o IIS será configurado automaticamente com as seguintes regras de filtragem.

   • Se você instalar o Web Studio como um componente autônomo, configure manualmente o IIS da seguinte forma:

     • Permita apenas as seguintes extensões de nome de arquivo:

       ., .aspx, .css, .eot, .html, .ico, .js, .png, .svc, .svg, .jpg, .gif, .json, .woff, .woff2, .ttf

       Para obter mais informações, consulte este artigo da Microsoft.

     • Permita apenas os seguintes verbos HTTP:

       GET, POST, HEAD

       Para obter mais informações, consulte este artigo da Microsoft.

2. Remova mapeamentos de manipulador desnecessários.

   O Web Studio requer apenas o mapeamento de manipulador StaticFile. Remova todos os outros. Para obter mais informações, consulte este artigo da Microsoft.

3. Remova filtros ISAPI não utilizados.

   O Web Studio não requer nenhum filtro ISAPI. Você pode remover todos eles. Para obter mais informações, consulte este artigo da Microsoft.

   Observação:

   O ASP.NET requer o recurso ISAPI do Windows.

4. Exclua os seguintes arquivos de página inicial padrão do IIS de C:\inetpub\wwwroot:

   • iisstart.htm
   • welcome.png

5. Certifique-se de que o Nível de Confiança do .NET permaneça definido como Confiança Total. Essa configuração é feita automaticamente durante a instalação e é necessária para que o Web Studio funcione corretamente. Não a altere.

Remover direitos de pool de aplicativos não utilizados

Durante a instalação, o pool de aplicativos do Web Studio recebe os seguintes direitos de usuário:

• Fazer logon como um serviço
• Ajustar cotas de memória para um processo
• Gerar auditorias de segurança
• Substituir um token de nível de processo

Esses direitos são padrão para pools de aplicativos do IIS. O Web Studio não os utiliza, e você pode removê-los.

Isolar a implantação do Web Studio

Você pode implantar quaisquer aplicativos web no mesmo domínio web (nome de domínio e porta) que o Web Studio. No entanto, quaisquer riscos de segurança nesses aplicativos web podem potencialmente reduzir a segurança da sua implantação do Web Studio. Onde um maior grau de separação de segurança é necessário, recomendamos que você implante o Web Studio em um domínio web separado de quaisquer outros aplicativos de terceiros.