2. Chiudere a chiave IIS

Code Red si basava sul supporto offerto da IIS per il protocollo IPP (Internet Printing Protocol). Per quanto ne sappia non conosco nessuno che lo usi il protocollo IPP, ma le mappature degli script di IIS (mappature applicative e filtri ISAPI - Internet Server Application Programming Interface) lo attivano per default. Riguardo ai computer su cui occorre installare IIS, bisogna tener presente che la maggior parte degli exploit di IIS dipendono da funzionalità in genere inutilizzate dagli utenti; sulla maggioranza dei Server Web andrebbero quindi disattivate tutte queste funzionalità. Microsoft offre un buon tool per automatizzare questo processo: la procedura guidata IIS Lockdown Wizard.

Essa installa l'IIS Lockdown Tool, atto a scovare e disabilitare quelle funzionalità superflue che rischiano di mettere in pericolo l'integrità e la sicurezza di un Web Server; il tool elimina mappature di file, servizi superflui e rafforza i permessi di base. Con la procedura guidata viene anche installato URLScan, un filtro ISAPI che cerca e blocca i contenuti sospetti nelle richieste di URL. Il tool iislockd.exe è reperibile all'indirizzo Microsoft
Eseguire quindi:

in moda da far espandere nella cartella C:\iislockd i files della procedura guidata. Il file iislockd.chm ha tutta la documentazione necessaria. Se la protezione va eseguita su molti computer con IIS, vale la pena automatizzare la procedura (documentata nel file runlockdunattended.doc). Se ci si trova in un dominio Active Directory si può invece configurare uno script di avvio in un oggetto GPO.

Dato che Windows 2000 esegue in automatico gli script di avvio ogni volta che un computer viene riavviato, sarà giusto aggiungere una logica particolare al fine di impedire che la procedura guidata parta ad ogni riavvio della macchina. Per fare un esempio, modificare C:\iislockd\iislockd.ini con Notepad o qualsiasi altro editor di testo; impostiamo poi l'opzione UnattendedServerType sul modello di Server che si desidera usare.

Un modello di server definisce le opzioni da attivare o da disattivare, a seconda dell'uso che si necessita di IIS; ad esempio per Frontpage sarà opportuno disattivare alcune funzionalità. Inoltre il file iislockd.ini contiene, dopo la sezione Info, 14 modelli di selezione dei più comuni tipi di server di IIS. Nel nostro esempio impostiamo UnattendedServerType su Frontpage così: UnattendedServerType=frontpage. Poi mettiamo UnattendedServerType=TRUE e salviamo il file. Quindi creiamo un file batch chiamato LockDownIfNotAlreadyDone.bat e aggiungiamo le seguenti linee:
Apriamo la console MMC Group Policy per modificare il GPO FrontPageWorkstationPolicies. Nel riquadro di sinistra selezioniamo Computer Configuration\Windows Settings\Scripts ( Startup/Shutdown ), e facciamo doppio clic su Startup nel riquadro di destra, quello con i dettagli cioè. Per aprire la finestra di dialogo Startup Properties. Se andiamo su Show Files visualizzeremo i contenuti della cartella Startup. Creiamo una nuova sottocartella chiamandola iislockd.

Copiamo i contenuti di C.\iislockd in Startup\iislockd, torniamo alla finestra di dialogo Startup Properties e premiamo Add e quindi Browse, entriamo in Startup\iislockd e poi doppio clic su LockDownIfNotAlreadyDone.bat. Diamo OK e a questo punto, la lista nella finestra di dialogo Startup Properties comprenderà LockDownIfNotAlreadyDone.bat.

Ora, tutti i computer che applicano l'oggetto GPO FronPageWorkstationspolicies eseguiranno in automatico la procedura guidata di IIS Lockdown Wizard, ma all'avvio successivo la macchina eseguirà LockDownIfNotAlreadyDone.bat, accorgendosi così che la cartella iisalreadylockeddown esiste già terminando l'esecuzione.