Compartir a través de

Paquete de administración

por Walter Oliver

Introducción

El Paquete de administración proporciona a los proveedores de hospedaje y a sus clientes un conjunto de módulos Administradores de IIS que les ayudarán a hacer lo siguiente:

  • Editar los ajustes de configuración del servidor (solo administradores).
  • Administrar la configuración de FastCGI.
  • Administrar la autorización de ASP.NET.
  • Administrar los errores personalizados.
  • Editar las reglas de filtrado de solicitudes HTTP.

El propósito de este artículo es proporcionar a los proveedores de hospedaje la información que necesitan para obtener información sobre cómo implementar el Paquete de administración en entornos de hospedaje. La siguiente imagen resalta los iconos del nuevo módulo que se encuentran en el Administrador de IIS después de instalar el Paquete de administración.

Captura de pantalla que muestra el panel De inicio de WALTER O H P W S. Se seleccionan cinco módulos.

Implementación del Paquete de administración

Al implementar el Paquete de administración en entornos de Hospedaje compartidos <vínculo: al artículo de configuración del Hospedaje compartido>, debe instalarse en cada servidor web de la granja. Si usa imágenes precompiladas, el Paquete de administración debería formar parte de la imagen usada para la compilación de los servidores de la granja. Siga las instrucciones descritas en este artículo para descargar e instalar el Paquete de Administración.

Obtenga información sobre el Paquete de Administración

Configuration Editor

El módulo Editor de configuración le ayudará a administrar sus archivos de configuración. Esta herramienta está disponible solo para administradores de servidores. Le permite editar cualquier sección, atributo, elemento o colección de su archivo de configuración, incluidos los ajustes de configuración de IIS, como system.webServer, o los de ASP.NET, como system.web. Además de editar estos valores, puede bloquearlos y desbloquearlos. El Editor de configuración también le permite generar guiones basados en las acciones que realice, así como buscar en el archivo para ver dónde se están usando los valores.

Captura de pantalla que muestra el panel Editor de configuración. La lista Sección se expande.

Cuando escribe valores para una configuración, el Editor de configuración valida el tipo de datos para asegurarse de que es compatible. En el caso de opciones de valores específicos como booleanos (Verdadero/Falso) o enumeraciones, se usa un cuadro combinado para presentar solo las opciones disponibles. El Editor de configuración también le permite generar guiones basados en las acciones que realice, así como buscar en el archivo para ver dónde se están usando los valores. El siguiente vídeo <vínculo: https://blogs.msdn.com/carlosag/archive/2008/03/31/IISAdminPackConfigurationEditor.aspx> ofrece demostraciones de las distintas características del Editor de configuración:

  • Controlado por esquema: el Editor de configuración está controlado totalmente por el esquema de configuración que se encuentra en \windows\system32\inetsrv\config\schema. Esto significa que si amplía el sistema de configuración que crea sus secciones, las secciones estarán disponibles para su administración dentro del Editor de configuración. No es necesario compilar una interfaz de usuario adicional para estas secciones.
  • Información adicional: el Editor de configuración expone información, como la ubicación en la que se está usando la sección, de dónde se hereda un elemento concreto de una colección, etc.
  • Generación de scripts: el Editor de configuración le permite realizar cambios y genera el código para automatizar tareas. El Editor de configuración genera código administrado usando Microsoft.Web.Administration, JavaScript usando AHADMIN, o línea de comandos usando la herramienta AppCmd.exe.
  • Búsqueda: el Editor de configuración le permite realizar rápidamente búsquedas de ámbito en el sistema de configuración de todas las secciones y en el lugar donde se están usando. Esto lo hace útil para revelar una imagen más amplia del servidor, para evitar infracciones de bloqueo de la configuración y para muchas otras funciones de búsqueda.
  • Bloqueo: el Editor de configuración le permite realizar bloqueos avanzados, como bloquear atributos específicos para que no puedan usarse en ubicaciones más profundas, bloquear elementos individuales de una colección o bloquear toda una sección.

Utilización del editor de configuración

Generación de scripts

Este artículo <vínculo: https://www.iis.net/learn/manage/managing-your-configuration-settings/using-configuration-editor-generate-scripts> explica cómo aprovechar el Editor de configuración para generar scripts que ayuden a automatizar las tareas de configuración. Hay tres tipos de script compatibles: C#, Jscript y la herramienta AppCmd.exe.

Colecciones de configuración

Algunos ajustes de configuración de IIS vienen en forma de colección. Este artículo <vínculo: https://www.iis.net/learn/manage/managing-your-configuration-settings/editing-collections-with-configuration-editor> explica cómo editar la colección de perfiles de almacenamiento en caché de salida. Este artículo <vínculo: https://www.iis.net/learn/manage/managing-your-configuration-settings/editing-collections-using-configuration-editor-complex-sections> muestra cómo agregar una nueva regla de seguimiento de solicitudes fallidas para una solicitud .aspx que devuelva un código de estado 401, o que tarde más de un minuto en responder, o que devuelva este código de estado y responda al cabo de un minuto.

Configuración de FastCGI

El módulo FastCGI le permite establecer la configuración de FastCGI que usan los sitios web del servidor. Permite al usuario agregar y eliminar aplicaciones de FastCGI y cambiar estas configuraciones. La siguiente imagen muestra el cuadro de diálogo Añadir aplicación de FastCGI.

Captura de pantalla que muestra el panel fast C G I Configuración. El cuadro de diálogo Agregar aplicación de C G I rápido está abierto.

Módulo de reglas de autorización .NET

El módulo Reglas de autorización .NET es uno de los dos módulos de ASP.NET del Paquete de administración. Al usar este módulo, el administrador del sitio puede especificar reglas para autorizar a los usuarios a acceder a sitios y aplicaciones web. En concreto, el módulo de reglas de autorización .NET proporciona una interfaz gráfica de usuario para la creación de reglas de Permitir y Denegar para administrar el acceso de los usuarios al contenido web. La siguiente imagen muestra el cuadro de diálogo Agregar regla de autorización de Permitir.

Captura de pantalla que muestra el cuadro de diálogo Agregar regla de autorización permitida.

Para obtener instrucciones sobre cómo bloquear las reglas de autorización de ASP.NET, consulte esta guía <vínculo: https://msdn.microsoft.com/library/ms178693.aspx>.

Este artículo <vínculo: https://learn.iis.net/page.aspx/142/understanding-iis-7-url-authorization/#Differences> explica las diferencias entre la autorización de URL de ASP.NET y la autorización de URL de IIS.

Páginas de errores de .NET

Las páginas de error de .NET proporcionan una interfaz gráfica de usuario para configurar las respuestas de error HTTP. Habilitan la configuración de páginas de error personalizadas y de configuraciones predeterminadas. La siguiente imagen muestra el cuadro de diálogo Agregar página de error personalizada.

Captura de pantalla que muestra el cuadro de diálogo Agregar página de error personalizada.

Filtrado de solicitudes HTTP

El módulo de Filtrado de solicitudes HTTP es un componente de equipo selector que protege al servidor web de solicitudes maliciosas. Las reglas de filtrado incluyen:

  • Bloquear o desbloquear solicitudes de archivos con determinadas extensiones de nombre de archivo.
  • Agregar o eliminar segmentos de configuración en la lista "Segmentos ocultos".
  • Agregar o eliminar secuencias de URL específicas de la lista "Denegar secuencia de dirección URL".
  • Bloquear o desbloquear verbos HTTP.
  • Agregar encabezados con un límite de tamaño específico.

Cuando se lanzó IIS 7.0 como parte de Windows Server 2008, incluía esta característica pero no incluía el módulo Administrador de IIS que se podía usar para administrar esta característica. Por lo tanto, no se disponía de una interfaz gráfica de usuario para facilitar la configuración del filtrado de solicitudes. Para ver ejemplos de cómo usar el filtrado de solicitudes simplemente añadiendo una nueva configuración al archivo Web.config, consulte este artículo <vínculo: https://learn.iis.net/page.aspx/143/how-to-use-request-filtering/>.

Esta publicación de blog <vínculo: https://blogs.iis.net/bills/archive/2008/03/23/how-to-un-block-directories-with-iis7-web-config.aspx> muestra cómo puede usar el filtrado de solicitudes para bloquear o desbloquear el acceso a secciones de un sitio. Esta publicación de blog <vínculo: https://blogs.msdn.com/carlosag/archive/2008/03/24/IISAdminPackRequestFiltering.aspx> realiza la misma tarea usando el módulo Administrador de IIS incluido en el Paquete de administración.

En las secciones siguientes se describen las características más recientes del Filtrado de solicitudes HTTP.

Creación de reglas para no permitir patrones de cadenas en partes de las solicitudes

Esta nueva característica le permite crear una lista de reglas. Puede especificar reglas para rechazar solicitudes basadas en patrones que coincidan con determinadas partes de una solicitud HTTP. La configuración principal para esta característica es la sección filteringRules bajo la sección system.webServer/security/requestFiltering en el archivo ApplicationHost.config o en el archivo Web.config. Si se rechaza una solicitud debido a esta regla, se registra el estado HTTP 404.19 en el registro de IIS.

Creación de una lista segura para URL o cadenas de consulta

Esta nueva característica le permite especificar URL o cadenas de consulta seguras que pueden eludir todas las reglas de denegación definidas. Por ejemplo, puede permitir siempre la URL "/my.login.page.asp", aunque esta URL pueda desencadenar una regla de denegación definida. La configuración básica de esta característica incluye el atributo alwaysAllowedUrls y el atributo alwaysAllowedQueryStrings. Estos atributos se encuentran en la sección system.webServer/security/requestFiltering del archivo ApplicationHost.config o en el archivo Web.config.

Creación de una lista de denegación de cadenas de consulta

Los ataques de inyección SQL más comunes se realizan manipulando las cadenas de consulta. Esta nueva característica le permite filtrar solicitudes maliciosas inspeccionando las cadenas de consulta.

Para denegar una lista de secuencias de URL para todas las solicitudes, cree una sección denyQueryStringSequences en el archivo ApplicationHost.config o en el archivo Web.config, y después agregue la lista de cadenas que no quiere permitir en las URL de sus solicitudes. Si se rechaza una solicitud debido a esta regla, el estado HTTP 404.18 se registra en el registro de IIS.

Comprobación de cadenas de consulta con escape y sin escape

El uso de esta nueva característica le permite examinar tanto las cadenas de consulta con escape como sin escape usando el atributo unescapeQueryString en la sección system.webServer/security/requestFiltering del archivo ApplicationHost.config o en el archivo Web.config. Si se rechaza una solicitud debido a esta regla, el estado HTTP 404.18 se registra en el registro de IIS.

La siguiente imagen muestra la lista de extensiones de nombre de archivo bloqueadas:

Captura de pantalla que muestra el panel Filtrado de solicitudes en el Administrador de I I S.

Tenga en cuenta que el Filtrado de solicitudes HTTP está diseñado y optimizado solo para escenarios de seguridad, mientras que la Reescritura de URL <vínculo: https://learn.iis.net/page.aspx/531/url-rewrite-for-hosters/> puede aplicarse para un conjunto más amplio de escenarios; los escenarios de seguridad son un subconjunto de ellos. Para más detalles sobre las diferencias entre estos dos módulos, consulte este artículo <vínculo: https://learn.iis.net/page.aspx/501/iis-70-request-filtering-and-url-rewriting/>.

Conclusión

Este artículo proporciona una introducción del Paquete de administración y un mapa de los recursos disponibles para que los hospedadores puedan implementarlo y configurarlo en entornos de Hospedaje compartido.

  • Last updated on