Compartilhar via

Pacote de administração

  • Artigo

por Walter Oliver

Introdução

O Administration Pack fornece aos hosters e seus clientes um conjunto de módulos do Gerenciador do IIS que os ajudará a fazer o seguinte:

  • Editar as definições de configuração do servidor (somente administradores).
  • Gerenciar configurações de FastCGI.
  • Gerenciar autorização ASP.NET.
  • Gerenciar erros personalizados.
  • Editar regras de filtragem de solicitação HTTP.

A finalidade deste artigo é fornecer aos hosters as informações necessárias para saber mais sobre como implantar o Administration Pack em ambientes de hospedagem. A imagem a seguir realça os novos ícones de módulo encontrados no Gerenciador do IIS após a instalação do Administration Pack.

Captura de tela que mostra o painel WALTER O H P W S Home. São selecionados cinco módulos.

Implantar o Administration Pack

Ao implantar o Administration Pack em ambientes de hospedagem compartilhada <link: para o artigo de configuração de hospedagem compartilhada>, ele deve ser instalado em cada servidor Web no farm. Ao usar imagens predefinidas, o Administration Pack deve fazer parte da imagem usada para compilar os servidores de farm. Siga as instruções descritas neste artigo para baixar e instalar o Administration Pack.

Saiba mais sobre o Administration Pack

Configuration Editor

O módulo Editor de Configuração ajudará você a gerenciar seus arquivos de configuração. Essa ferramenta está disponível somente para administradores do servidor. Ele permite que você edite qualquer seção, atributo, elemento ou coleção no arquivo de configuração, incluindo configurações do IIS, como system.webServer ou configurações de ASP.NET, como system.web. Além de editar esses valores, você pode bloqueá-los e desbloqueá-los. O Editor de Configuração também permite que você gere scripts com base nas ações executadas, bem como pesquise o arquivo para ver onde os valores estão sendo usados.

Captura de tela que mostra o painel Editor de Configuração. A lista de seções é expandida.

Quando você insere os valores para uma configuração, o Editor de Configuração valida o tipo de dados para garantir que ele seja compatível. No caso de opções de valor específicas, como booliano (True/False) ou enumerações, uma caixa de combinação é usada para apresentar apenas as opções disponíveis. O Editor de Configuração também permite que você gere scripts com base nas ações executadas, bem como pesquise o arquivo para ver onde os valores estão sendo usados. O seguinte vídeo <link: https://blogs.msdn.com/carlosag/archive/2008/03/31/IISAdminPackConfigurationEditor.aspx> fornece demonstrações dos vários recursos do Editor de Configuração:

  • Controlado por esquema — O Editor de Configuração é totalmente controlado pelo esquema de configuração encontrado em \windows\system32\inetsrv\config\schema. Isso significa que, se você estender o sistema de configuração que cria suas seções, elas estarão disponíveis para gerenciamento dentro do Editor de Configuração. Não é necessário criar uma interface do usuário adicional para essas seções.
  • Informações adicionais — O Editor de Configuração expõe informações, como o local em que a seção está sendo usada, onde um determinado elemento em uma coleção é herdado etc.
  • Geração de script — O Editor de Configuração permite que você faça alterações e gere o código para automatizar tarefas. O Editor de Configuração gera código gerenciado usando Microsoft.Web.Administration, JavaScript usando AHADMIN ou Linha de Comando usando a ferramenta AppCmd.exe.
  • Pesquisar — O Editor de Configuração permite que você execute rapidamente pesquisas com escopo do sistema de configuração para todas as seções e onde elas estão sendo usadas. Isso torna útil revelar uma imagem maior do servidor, evitar violações de bloqueio de configuração e para muitas outras funções de pesquisa.
  • Bloqueio — O Editor de Configuração permite que você faça o bloqueio antecipado, como bloqueio de atributos específicos para que eles não possam ser usados em locais mais profundos, bloqueio de itens individuais em uma coleção ou bloqueio de uma seção inteira.

Como usar do Editor de Configuração

Geração de script

Este artigo <link: https://www.iis.net/learn/manage/managing-your-configuration-settings/using-configuration-editor-generate-scripts> explica como aproveitar o Editor de Configuração para gerar scripts para ajudar a automatizar tarefas de configuração. Há três tipos de script com suporte: C#, Jscript e a ferramenta AppCmd.exe.

Coleções de configuração

Algumas configurações do IIS vêm na forma de uma coleção. Este artigo <link: https://www.iis.net/learn/manage/managing-your-configuration-settings/editing-collections-with-configuration-editor> explica como editar a coleção de perfis de cache de saída. Este artigo <link: https://www.iis.net/learn/manage/managing-your-configuration-settings/editing-collections-using-configuration-editor-complex-sections> mostra como adicionar uma nova regra de rastreamento de solicitação com falha para uma solicitação .aspx que retorna um código de status 401 ou leva mais de um minuto para responder ou retorna esse código de status e responde após um minuto.

Definição de FastCGI

O módulo FastCGI permite que você defina as configurações do FastCGI que são usadas por sites no servidor. Ele permite que o usuário adicione e remova aplicativos FastCGI e altere essas configurações. A imagem a seguir ilustra a caixa de diálogo Adicionar Aplicativo FastCGI.

Captura de tela que mostra o painel Configurações rápidas de C G I. A caixa de diálogo Adicionar aplicativo rápido C G I está aberta.

Módulo de regras de autorização do .NET

O módulo Regras de Autorização do .NET é um dos dois módulos de ASP.NET no Administration Pack. Usando este módulo, o administrador do site pode especificar regras para autorizar os usuários a acessar sites e aplicativos. Especificamente, o módulo Regras de Autorização do .NET fornece uma interface gráfica do usuário para a criação de regras de permissão e negação para gerenciar o acesso do usuário ao conteúdo da Web. A imagem a seguir ilustra a caixa de diálogo Adicionar Regra de Autorização de Permissão.

Captura de tela que mostra a caixa de diálogo Adicionar regra de Autorização de Autorização.

Para obter instruções sobre como bloquear regras de autorização de ASP.NET, consulte este guia <link: https://msdn.microsoft.com/library/ms178693.aspx>.

Este artigo <link: https://learn.iis.net/page.aspx/142/understanding-iis-7-url-authorization/#Differences> explica as diferenças entre a autorização de URL do ASP.NET e autorização de URL do IIS.

Páginas de Erro do .NET

As Páginas de Erros do .NET fornecem uma interface gráfica do usuário para configurar respostas de erro HTTP. Eles habilitam a configuração de páginas de erro personalizadas e configurações padrão. A imagem abaixo mostra a caixa de diálogo Adicionar Página de Erro Personalizada.

Captura de tela que mostra a caixa de diálogo Adicionar Página de Erro Personalizada.

Filtragem de Solicitações HTTP

O módulo filtragem de solicitações HTTP é um componente gatekeeper que protege o servidor Web contra solicitações mal-intencionadas. As regras de filtragem incluem:

  • Bloqueio ou desbloqueio de solicitações de arquivos com extensões de nome de arquivo específicas.
  • Adição ou remoção de segmentos de configuração à lista "Segmentos Ocultos".
  • Adição ou remoção de sequências de URL específicas à lista "Negar Sequência de URLs".
  • Bloqueio ou desbloqueio de verbos HTTP.
  • Adicione cabeçalhos com limite de tamanho específico.

Quando o IIS 7.0 foi lançado como parte do Windows Server 2008, ele incluiu esse recurso, mas não incluiu o módulo Gerenciador do IIS que poderia ser usado para gerenciar esse recurso. Portanto, nenhuma interface gráfica do usuário estava disponível para facilitar a configuração de filtragem de solicitação. Para obter exemplos de como usar a filtragem de solicitação simplesmente adicionando uma nova configuração ao arquivo Web.config, consulte este artigo <link: https://learn.iis.net/page.aspx/143/how-to-use-request-filtering/>.

Esta postagem no blog <link: https://blogs.iis.net/bills/archive/2008/03/23/how-to-un-block-directories-with-iis7-web-config.aspx> mostra como você pode usar a filtragem de solicitações para bloquear ou desbloquear o acesso a seções de um site. Esta postagem no blog <link: https://blogs.msdn.com/carlosag/archive/2008/03/24/IISAdminPackRequestFiltering.aspx> realiza a mesma tarefa usando o módulo do Gerenciador do IIS incluído no Administration Pack.

As seções a seguir descrevem os recursos mais recentes da Filtragem de Solicitações HTTP.

Criação de regras para proibir padrões de cadeia de caracteres em partes das solicitações

Esse novo recurso permite que você crie uma lista de regras. Você pode especificar regras para rejeitar solicitações com base em padrões correspondentes a determinadas partes de uma solicitação HTTP. A configuração principal desse recurso é a seção filteringRules na seção system.webServer/security/requestFiltering no arquivo ApplicationHost.config ou no arquivo Web.config. Se uma solicitação for rejeitada devido a essa regra, o status HTTP 404.19 será registrado no log do IIS.

Criação de uma lista segura para URLs ou cadeias de caracteres de consulta

Esse novo recurso permite especificar URLs seguras ou cadeias de caracteres de consulta que podem ignorar todas as regras de negação definidas. Por exemplo, você sempre pode permitir a URL "/my.login.page.asp", mesmo que essa URL possa disparar uma regra de negação definida. A configuração básica para esse recurso inclui os atributos alwaysAllowedUrls e alwaysAllowedQueryStrings. Esses atributos estão localizados na seção system.webServer/security/requestFiltering no arquivo ApplicationHost.config ou Web.config.

Como criar uma lista de negação de cadeias de caracteres de consulta

Os ataques de injeção de SQL mais comuns são executados manipulando cadeias de caracteres de consulta. Esse novo recurso permite filtrar solicitações mal-intencionadas inspecionando cadeias de caracteres de consulta.

Para negar uma lista de sequências de URL para todas as solicitações, crie uma seção denyQueryStringSequences no arquivo ApplicationHost.config ou no arquivo Web.config e adicione a lista de cadeias de caracteres que você não deseja permitir nas URLs de suas solicitações. Se uma solicitação for rejeitada devido a essa regra, o status HTTP 404.18 será registrado no log do IIS.

Como verificar se há uma cadeia de caracteres de consulta com ou sem escape

Esse novo recurso permite que você examine cadeias de caracteres de consulta com escape e cadeias de caracteres de consulta sem escape usando o atributo unescapeQueryString na seção system.webServer/security/requestFiltering no arquivo ApplicationHost.config ou no arquivo Web.config. Se uma solicitação for rejeitada devido a essa regra, o status HTTP 404.18 será registrado no log do IIS.

A imagem a seguir ilustra a lista de extensões de nome de arquivo bloqueadas:

Captura de tela que mostra o painel Filtragem de Solicitações no Gerenciador I I S.

Observe que a Filtragem de Solicitações HTTP foi projetada e otimizada apenas para cenários de segurança, enquanto a Regravação de URL <link: https://learn.iis.net/page.aspx/531/url-rewrite-for-hosters/> pode ser aplicada a um conjunto mais amplo de cenários; cenários de segurança são um subconjunto desses cenários. Para obter mais detalhes sobre as diferenças entre esses dois módulos, consulte este artigo <link: https://learn.iis.net/page.aspx/501/iis-70-request-filtering-and-url-rewriting/>.

Conclusão

Este artigo forneceu uma visão geral do Administration Pack e um mapa dos recursos disponíveis para os hosters implantá-lo e configurá-lo em ambientes de hospedagem compartilhados.