Tutorial: Crear una zona de seguridad (segunda parte)
Actualización: noviembre 2007
Este tutorial se basa en Tutorial: Crear una zona de seguridad (primera parte). En este tutorial aprenderá a realizar las siguientes tareas:
Establecer directivas para las aplicaciones hospedadas en el servidor web HardenedIIS.
Importar la configuración de un servidor de IIS configurado existente a HardenedIIS.
Evaluar la implementación de un servicio web en HardenedIIS.
Para establecer directivas para aplicaciones alojadas en un servidor Web
Haga clic en el servidor web HardenedIIS para ver el Editor de configuración y restricciones.
Active la casilla Seguridad de ASP.NET en Restricciones de la aplicación.
Seleccione el encabezado Seguridad de ASP.NET junto a la casilla.
Aparece el cuadro de diálogo de la restricción Seguridad de ASP.NET en el panel derecho del Editor de configuración y restricciones.
En Modos de seguridad permitidos, seleccione Formularios.
Asegúrese de que es el único valor seleccionado.
Seleccione Requiere suplantación.
Nota: En función del tamaño del Editor de configuración y restricciones, es posible que necesite utilizar las barras de desplazamiento en el panel derecho del editor para ver esta opción.
En el panel izquierdo del Editor de configuración y restricciones, active la casilla Estado de sesiones ASP.NET.
Seleccione el encabezado Estado de la sesión de ASP.NET junto a la casilla.
En Modo de estado de sesión en el panel derecho del editor, asegúrese de que Servidor SQL Server es el único valor seleccionado.
Estas dos restricciones requieren que cualquier aplicación Web alojada en este servidor utiliza la autenticación de formularios Windows Forms con suplantación y utilice el estado de sesión SQL para almacenar la información de la sesión. Estos dos cuadros de diálogo de restricciones son ejemplos de restricciones predefinidas. Las restricciones que creó anteriormente para las asignaciones de secuencias de comandos y los enlaces seguros son ejemplos de restricciones definidas por el usuario. Para obtener más información sobre los tipos de restricciones disponibles y cómo crearlas, vea Restringir las relaciones de aplicación y de host de aplicación y Tareas comunes de configuración de aplicaciones, sistemas y servidores lógicos.
El paso siguiente es importar la configuración a HardenedIIS desde un servidor Web de IIS existente. Este paso es opcional. Si no dispone de ningún servidor Web de IIS, omita al procedimiento siguiente.
Para importar la configuración de un servidor Web de IIS existente
Haga clic con el botón secundario del mouse en HardenedIIS y elija Importar configuración.
Aparece el Asistente para importar configuración de IIS. Importe la configuración del servidor Web que desee mediante el procedimiento especificado en Cómo: Importar una configuración desde un servidor de IIS. Si no se puede importar la configuración, aparece un error indicando el motivo. Para obtener más información, vea Solucionar problemas de importación de configuración ASP.NET e IIS.
Con el Asistente para importar IIS, puede importar la configuración global, todos los sitios Web o los grupos de aplicaciones si los está importando de Windows Server 2003. Los grupos de aplicaciones no se admiten en Windows XP o en IIS anterior a la versión 6.0.
Una vez importada la configuración, puede verla en el Editor de configuración y restricciones seleccionando HardenedIIS y luego explorando el nodo Configuración del servidor lógico. Para buscar la configuración con más facilidad, utilice la característica Buscar. Para obtener más información, vea Cómo: Buscar valores de configuración.
El paso siguiente es generar un servicio Web y evaluar su implementación en esta zona.
Para generar un servicio Web
En el Explorador de soluciones, haga clic con el botón secundario del mouse en el nodo de la solución, haga clic en Agregar y, a continuación, haga clic en Nuevo diagrama de sistemas distribuidos.
Aparece el cuadro de diálogo Agregar nuevo elemento - Elementos de la solución.
Bajo Plantillas, haga clic en Diagrama de aplicaciones y, a continuación, haga clic en Agregar.
Se abre el nuevo diagrama de aplicaciones en el Diseñador de aplicaciones.
Desde el Cuadro de herramientas, arrastre un ASP.NETWebService hasta el diagrama y denomínelo MyWebService.
Nota: Aparece la ventana Detalles del servicio Web cuando se crea el diagrama de aplicaciones. Para obtener más información sobre cómo utilizar esta ventana para ver y crear las operaciones del servicio Web, vea Definir operaciones para servicios web ASP.NET.
Haga clic con el botón secundario del mouse en MyWebService y, a continuación, elija Definir implementación.
Aparece el cuadro de diálogo Definir implementación, con el diagrama de centros de datos lógicos existente seleccionado.
Haga clic en Aceptar.
Se abre el diagrama de implementación en el Diseñador de implementación. El diagrama de implementación es una réplica exacta del diagrama de centros de datos lógicos de referencia y se utiliza para evaluar la implementación de aplicaciones en el centro de datos.
En la ventana Vista de sistemas, arrastre MyWebService hasta HardenedIIS.
Esta acción indica que MyWebService debe implementarse en el servidor web HardenedIIS en el centro de datos. Con el diagrama de implementación, evalúe el éxito de esta implementación en función de lo que se conoce sobre el tipo y la configuración de los servidores lógicos y las zonas del centro de datos, así como el tipo y la configuración de las aplicaciones que propone alojar aquí.
Haga clic con el botón secundario del mouse en el diagrama de implementación y elija Validar diagrama.
Aparecen las siguientes advertencias de validación en la ventana Lista de errores:
"El parámetro de restricción 'Allowed Security Modes' requiere que la configuración 'Mode' se establezca en 'Forms', pero actualmente está establecida en 'Windows'.
"El parámetro de restricción 'Requires Impersonation' requiere que la configuración 'Impersonate' se establezca en 'True', pero actualmente está establecida en 'False'.
"El parámetro de restricción 'Session State Mode' requiere que la configuración 'Mode' se establezca en 'SQLServer', pero actualmente está establecida en 'InProc'.
La configuración debe tener establecido por lo menos uno los siguientes valores: '{IPAddress="", Port="443")' Current value is '<null>'.
La configuración no puede tener ninguno de los siguientes valores establecidos: '{FileExtension=".asmx", ScriptProcessor="%WINDIR%\Microsoft.NET\Framework\v2.0.40420\aspnet_isapi.dll"…
Estas advertencias aparecen porque los requisitos de configuración especificados para las aplicaciones hospedadas en HardenedIIS o en la zona PerimeterNetwork están en conflicto con la configuración actual de MyWebService, la aplicación hospedada. Estos requisitos se establecen al establecer las restricciones Seguridad de ASP.NET y Estado de sesiones ASP.NET en HardenedIIS mediante el Editor de configuración y restricciones.
El paso siguiente es corregir estas advertencias.
Para corregir las advertencias de la validación
Haga clic con el botón secundario del mouse en la primera advertencia que figura en la ventana Lista de errores, elija Ir a y, a continuación, elija Configuración de modo en MyWebService (diagrama de aplicaciones).
Esta acción selecciona el valor de Modo en MyWebService en el Editor de configuración y restricciones.
Cambie la configuración de "Windows" a "Forms".
Haga clic con el botón secundario del mouse en el archivo DefaultSystem1.dd en el Explorador de soluciones y seleccione Abrir para mostrar el diagrama de implementación.
Corrija la segunda y tercera advertencias utilizando el mismo enfoque.
La cuarta advertencia indica que hay una restricción de comunicación en el centro de datos que requiere tráfico en el puerto 443. Como creador del diagrama de centros de datos lógicos, sabe por qué aparece esta restricción. Como consumidor del diagrama de centros de datos lógicos, debe determinar por qué aparece esta advertencia con el mismo proceso utilizado para resolver las otras advertencias.
El último error es el resultado de la restricción de las asignaciones de secuencias de comandos en archivos .asmx. Esta restricción evita que los servicios web se hospeden en la zona PerimeterNetwork independientemente de si los servidores web en la zona permiten que se hospeden servicios web.
Vuelva a validar el diagrama de implementación.
Corrija cualquier advertencia que surja.
Vea también
Otros recursos
Tutoriales de diseño y configuración de centros de datos lógicos