Instalando e configurando o Windows Server 2003 e IIS 6.

0
Neste tutorial voc aprender a instalar e configurar o Windows Server 2003 e o IIS 6.0
16/02/04h

Instalando e configurando o Windows Server 2003 e IIS 6.0

Esta matria est dividida em trs tutoriais, que se complementam: 1. Instalando e configurando o Windows Server 2003 e IIS 6.0 (este tutorial) 2. Instalando e configurando o FTP no Windows Server 2003 3. Instalando e configurando o Terminal Server no Windows Server 2003 Ao l-los, voc ser capaz de: 1. Instalar 2. Instalar 3. Instalar 4. Instalar e e e e configurar configurar configurar configurar o Windows Server 2003 um site usando o IIS 6.0 o FTP com isolamento de usurios (um usurio no pode acessar a pasta de outro) o Terminal Server, permitindo acesso remoto aos Administradores ou usurios pr-determinados

No final do tutorial sobre Terminal Server h trs dicas de segurana que devem ser implementadas para aumentar a segurana do seu servidor.

Introduo O Windows Server 2003 (Win2003) o sucessor do Windows 2000 Server. Ele contm diversas novidades e melhorias nos quesitos segurana e performance e sem dvida alguma o sistema operacional mais seguro e rpido que a Microsoft lanou at o momento. O site da Microsoft Brasil contm diversas informaes sobre o Win2003 nos links abaixo: Informaes gerais sobre o Win2003 Informaes sobre o Windows Server 2003 Web Edition Informaes sobre o Windows Server 2003 Standard Edition Informaes sobre o Windows Server 2003 Enterprise Edition Informaes sobre o Windows Server 2003 Datacenter Edition Compare as quatro verses do Windows Server 2003 Principais benefcios para o Windows Server 2003 10 motivos para voc migrar do Windows 2000 Server para o Windows Server 2003 Conhea o Small Business Server 2003 (que contm o Win2003, ISA Server, Exchange e SQL Server)

Artigos tcnicos do Windows Server 2003 no site da TechNet Brasil A Microsoft disponibiliza para download uma verso de avaliao do Windows Server 2003 Enterprise Edition em ingls que funciona por 6 meses. Para obt-la, clique aqui. A vantagem da verso de avaliao que voc pode instalar e usar o Win2003 livremente durante este perodo e depois disso voc poder instalar a verso paga sobre a verso de avaliao sem necessidade de reconfigurar nada. Durante o perodo de avaliao, todos os updates disponveis para o Win2003 tambm podem ser instalados na verso de avaliao, bastando para isso acessar o site do Windows Update. Para os tutoriais, utilizamos a verso de avaliao do Windows Server 2003 Enterprise Edition em portugus (que ainda no est disponvel para download), instalando-o em um disco rgido vazio sem que houvesse nenhum outro sistema operacional instalado ali. Embora o Win2003 seja facilmente instalado em dual-boot (quando voc deseja manter o sistema operacional atual, instalando o Win2003 de maneira que voc possa escolher qual sistema operacional voc quer utilizar assim que voc liga o computador), instalamos ele em como stand-alone por questes didticas. Ento vamos l ! :) ...

Instalando o Windows Server 2003 A instalao do Win2003 bastante simples: basta voc inserir o CD-ROM dele no drive e configurar o computador de modo a acessar o drive antes de qualquer outra mdia. Desta maneira o programa de instalao do Win2003 ser iniciado. Detalhe: ao fazer o download da verso de avaliao do Win2003 disponvel no site da Microsoft (link fornecido acima), voc ter um arquivo com extenso .ISO. Para convert-lo em um CD-ROM, voc deve ter um drive de CD-R/CD-RW e um programa que leia este formato e crie um CD-ROM bootvel com os dados ali contidos. Praticamente todos os programas atuais de gravao de CD (incluindo o Nero 5, Nero 6 e o Easy CD Creator ...) realizam isso. Aps voc bootar o computador com o CD-ROM do Win2003 voc dever escolher uma partio (ou cri-la caso ela no exista) e a instalao ser iniciada. Aps voc selecionar a partio desejada e format-la, o Win2003 comear a ser instalado:

Durante a instalao voc dever fornecer algumas informaes bsicas para que o Win2003 seja instalado. Elas esto listadas abaixo na ordem que aparecem: 1. Nome e Organizao 2. Chave do Produto (sem ela a instalao no prosseguir) 3. Modo de licenciamento (por nmero de conexes ou por usurio; escolha por usurio caso voc no saiba qual usar) 4. Nome do Computador (tome cuidado nisso pois no poder haver um usurio com este mesmo nome) 5. Senha do Administrador (se voc deixar uma senha em branco aparecer uma tela de aviso informando-o do perigo que isso representa)

6. Data, hora e fuso horrio 7. Configurao tpica ou personalizada na configurao de rede (escolha tpica pois voc poder modificar isso mais tarde) 8. Nome do domnio ou grupo a qual este computador pertence Depois disso a instalao prosseguir automaticamente, sendo que o tempo total de instalao em mdia de 30-40 minutos (embora isso dependa muito da velocidade do disco rgido e quantidade de memria RAM).

Iniciando o Windows Server 2003 Aps finalizada a instalao, voc ver a tela de login. Voc dever digitar a senha do Administrador (digitado no item 5 acima) para que o Windows permita que voc utilize-o. Agora hora de modificarmos algumas configuraes iniciais para que voc possa utilizar o Win2003 de maneira mais eficiente. Inicialmente voc deve minimizar a janela "Gerenciar o servidor" que abre-se automaticamente. A primeira tarefa que voc deve realizar verificar as configuraes de rede para confirmar que ele ter acesso Internet. Isso deve ser feito para que voc possa atualizar o Win2003 via Windows Update, instalando todas as atualizaes crticas disponveis ali.

Dica importante: no incio da instalao, se o seu Win2003 for conectado diretamente na Internet sem haver nenhum firewall protegendo-o, altamente recomendvel voc habilitar o firewall do Win2003 para que ele no sofra ataque do Blaster (que se aproveita de uma vulnerabilidade no RPC corrigida aps o lanamento do Win2003) que pode reiniciar o seu Win2003 enquanto ele est fazendo o download das atualizaes. Para isso, clique no boto Iniciar > Painel de Controle > Conexes de Rede > Clique na conexo existente (normalmente "Conexo Local") > Propriedades > Avanado > Clique em Proteger o Computador ... e clique em OK.

Clique agora no boto Iniciar > Todos os programas > Windows Update. Se o Win2003 pedir para voc clicar para configurar a rede, faa isso para que voc possa acessar a Internet e o Windows Update.

O Win2003 tem uma novidade: a Configurao de Segurana reforada para o Internet Explorer , que impede o acesso a qualquer site que no esteja em uma Zona Segura (que ser explicado mais abaixo). Clique em OK e instale todas as atualizaes crticas existentes (o computador dever ser reiniciado aps isso). Agora que o seu Win2003 est atualizado, vamos mudar algumas configuraes dele para agilizar o seu uso.

Temas: na sua configurao default, o Win2003 no utiliza Temas, que permite que ele fique com o mesmo visual do WinXP. Embora isso seja no tenha utilidade em servidores, muito mais agradvel voc trabalhar com um tema - e voc pode habilit-los pois eles tm influncia irrisria na performance do servidor. Se voc quiser habilit-los, clique no boto Iniciar > Painel de Controle > Ferramentas Administrativas > duplo-clique em Servios > duplo-clique em Temas. Altere a configurao para Automtico e clique em Iniciar. Agora clique no boto Iniciar > Painel de Controle > Vdeo > Aparncia > Janelas e Botes > Estilo Windows XP e clique em Aplicar. Efeitos Visuais: permite desabilitar efeitos visuais, permitindo que se trabalhe mais rpido no desktop. Clique no boto Iniciar > Painel de Controle > Sistema > Avanado > Boto Configuraes (dentro de Desempenho) > em Efeitos visuais e clique em Personalizar. Apenas duas opes devem estar habilitadas: Usar estilos visuais em janelas e botes (para permitir o uso de temas) e Usar sombras subjacentes para rtulos de cones da na rea de trabalho. Clique em Aplicar. Acelerao de vdeo: permite uma maior performance da sua placa de vdeo. Clique com o boto da direita do mouse no desktop e escolha a opo Propriedades > Configuraes > Avanadas > tab Solucionar problemas >mova o apontador para Mxima e clique em OK. Para habilitar a acelerao 3D da sua placa de vdeo, clique no boto Iniciar > Executar > digite dxdiag e pressione a tecla <enter> > clique em Sim > tab Exibir > clique nosbotes Ativar e OK. Configurao de segurana reforada do Internet Explorer: esta opo importante pois evita o acesso a sites no-autorizados e usualmente no deve ser habilitada. Voc s deve desabilitar se voc confiar nos sites que voc for visitar (para fazer download de drivers dos sites do fabricante do perifrico, por exemplo) - e para isso voc deve clicar no boto Iniciar > Painel de Controle > Adicionar/Remover Programas > Adicionar/remover componentes do Windows > desabilite a opo Configurao de segurana reforada do Internet Explorer e clique em Avanar. Com isso teremos um visual mais agradvel para trabalhar, sem afetar o desempenho do servidor (a imagem no desktop pode afetar somente programas que estejam sendo executados em primeiro plano, algo que usualmente no ocorre em servidores):

Uma boa novidade no Win2003 aparece no shutdown (desligamento do computador): ali voc pode informar o motivo do shutdown, que criar um log no Visualizador de Eventos. Isso muito til quando voc for auditorar o servidor em busca dos motivos de desligamento do mesmo.

Para voc ter certeza que o Win2003 configurou corretamente o seu disco rgido, verifique se ele est configurado como UltraDMA 5 (ou o valor UltraDMA do seu disco rgido, algo que voc deve verificar no site do fabricante para saber o valor correto): clique no boto Iniciar > Painel de Controle > Sistema > Hardware > Gerenciador de Dispositivos > duploclique em Controladores IDE ATA/ATAPI > duplo-clique em Canal IDE primrio. Quando o Modo de transferncia atual for diferente de No aplicvel, o Modo de Transferncia dever estar configurado como DMA se disponvel (e no Somente PIO). Quando o Modo de transferncia atual for No aplicvel, configure o Tipo de dispositivo para Nenhum: desta maneira o seu Win2003 iniciar mais rpido. Voc s deve deixar o Tipo de dispositivo em Deteco automtica quando voc for instalar um novo perifrico (disco rgido, CD-ROM, DVD ...) ali. Clique em OK e faa o mesmo no Canal IDE secundrio. O Win2003 permite que voc ative um cache de gravao adicional somente quando voc tiver um sistema de no-break que garanta que o computador no ser desligado sem aviso. Isso permite um desempenho superior na gravao de dados. Para ativ-lo, clique no boto Iniciar > Painel de Controle > Sistema > Hardware > Gerenciador de Dispositivos > duplo-clique em Unidades de disco > duplo-clique em no disco rgido dali > clique em Ativar desempenho avanado e clique em OK. Faa o mesmo nos demais discos rgidos. Atualizaes automticas: essa opo muito importante para manter o seu Win2003 seguro, permitindo que ele faa automaticamente o download de atualizaes crticas do Windows Update, sem necessidade de interveno do usurio. Clique no boto Iniciar > Painel de Controle > Sistema > Atualizaes automticas. Confira se a opo Manter o seu computador atualizado est habilitada, bem como uma destas duas opes: Fazer o download das atualizaes automaticamente e avisar quando elas estiverem prontas para serem instaladas ouFazer o download automtico das atualizaes e instal-las de acordo com a agenda especificada (indicando abaixo o dia e horrio para isso, sendo que o Win2003 reiniciar automaticamente 5 minutos aps instalar as atualizaes). Clique em OK. Ativao do Win2003: o Win2003 exige ser ativado (via Internet ou telefone) at 14 dias depois da sua instalao para que ele funcione, sendo que nenhuma informao pessoal enviada neste procedimento. Isso indicado para ser feito somente quando voc instalou todos os perifricos internos do servidor: placas de vdeo, rede, discos rgidos ... pois se voc fizer muitas alteraes aps o Win2003 ser ativado, talvez voc tenha que ativ-lo novamente (embora usualmente isso ocorra se voc alterar mais de 8 perifricos, algo incomum). Antivrus: aps voc instalar todas as atualizaes do Win2003 e configur-lo para o seu uso, hora de instalar um antivrus. Voc deve instalar no Win2003 um antivrus que suporte servidores pois muitos antivrus conhecidos no permitem a sua instalao em servidores - entre eles esto o Norton Antivrus 2004 e o McAfee. Antivrus que funcionam no Win2003 incluem o AVG, NOD32 e Norton Antivrus Corporate Edition. Aps a instalao do antivrus, atualize-o imediatamente pois um antivrus desatualizado no tem muita utilidade ... Bem, agora que fizemos a configurao bsica do Win2003, vamos trabalhar nele instalando e configurando o IIS 6 !

Instalando e configurando o Windows Server 2003 e IIS 6.0

16/02/04h

Instalando e configurando o IIS 6.0 O IIS 6 o aplicativo que permite que o seu Win2003 funcione como servidor de pginas da web (e servios correlatos). O IIS 6.0 teve diversas melhorias em relao verso 5.0 presente no Windows 2000 Server, tornando-o muito mais seguro para hospedagem de sites. Ele foi praticamente reescrito "do zero" e o resultado que at hoje (dez meses aps o lanamento do Win2003), no h nenhuma vulnerabilidade relacionada com essa verso do IIS 6.0. A instalao default do Win2003 no instala o IIS por motivos de segurana e no exemplo abaixo mostrarei como installo e configur-lo para que ele hospede pginas .htm, .html e .asp, criando um site (BABOO 2) que ser gerenciado por ele. Para instalar o IIS, clique no boto Iniciar > Painel de Controle > Ferramentas Administrativas > clique emAssistente para configurar o Servidor > clique em Avanar e Avanar. Se aparecer uma mensagem avisando que uma das conexes de rede no est funcionando, isso normal pois indica que o seu computador tem duas placas de rede instaladas mas somente uma est conectada (imagem abaixo). Clique em OK.

Escolha a opo Servidor de aplicativos (IIS, ASP.NET) e clique no boto Avanar:

Na prxima tela voc informa se h Extenses de servidor do FrontPage e se deseja ativar ASP.NET. Clique em Avanar para iniciar a instalao do IIS e em alguns segundos a instalao ser finalizada. No se esquea de manter o CD do Win2003 no drive para que a instalao seja possvel.

Para voc comear a configurar o IIS, clique no boto Iniciar > Painel de Controle > Ferramentas Administrativas >clique em Gerenciador dos Servios de informaes da Internet:

Agora vamos criar o site BABOO 2 - e como o IIS automaticamente criou em Sites da Web um Site da Web padro, vamos elimin-lo pois no h necessidade de mant-lo: clique com o boto da direita do mouse em Site da Web padro e Excluir. Clique em Sim para confirmar a sua excluso. Agora clique com o boto da direita do mouse em Sites da Web e clique em Novo > Site da Web:

Clique em Avanar e comeamos a criar o novo site. No campo Descrio, digite o nome genrico do site (BABOO 2 no nosso caso) e clique em Avanar. No endereo IP a ser usado no site voc deve indicar o endereo de IP que responder por esse site. Deixando em (Todos os no atribudos) far com que o IP atualmente configurado seja automaticamente utilizado. Se voc quiser indicar o IP correto, feche a janela atual para cancelar a criao do site atual e clique no boto Iniciar >

Painel de Controle > Conexes de Rede > Clique na conexo existente (normalmente "Conexo Local") > Propriedades > Avanado > d um duplo-clique em Protocolo TCP/IP. Coloque ali as informaes desejadas (IP, Gateway e DNS) e clique em OK. Agora volte janela do Gerenciador do IIS, clique com o boto da direita do mouse em Sites da Web e clique em Novo > Site da Web, seguindo os passos anteriores. A diferena que agora o IP que voc forneceu na sua
conexo de rede est disponvel para ser configurado no IIS.

No campo Porta TCP, deixe como est (80) e se voc desejar, digite o cabealho de host do site no campo correto. Clique em Avanar. No campo Caminho: voc deve informar qual a pasta que conter os arquivos do seu site, tendo a certeza de manter ativada a opo Permitir acesso annimo a este site. Clique em Avanar. A prxima tela pergunta as permisses que sero aplicadas na pasta utilizada para armazenar os arquivos do seu site. recomendvel deixar apenas as opes Leitura e Executar scripts (ASP, por exemplo) ativadas. Clique emAvanar para finalizar a instalao:

Observao: embora o IIS crie por default a pasta /inetpub na partio principal para hospedar o arquivos dos site ali, no nosso caso utilizaremos C:\BABOO 2004 por questes de segurana. Ao evitar seguir o "padro de instalao do software", voc pode estar dificultando o ataque ou invaso por hackers caso ele ataque o seu servidor imaginando que os seus arquivos estejam em uma determinada pasta. O uso de caracteres especiais ( ...) tambm recomendado.

Agora que voc criou o seu site, vamos configur-lo ! D um duplo-clique em Sites da Web > clique com o boto da direita do mouse no site criado (BABOO 2) > Propriedades. Ao abrir uma nova janela, voc ter as seguintes opes:

Descrio: contm o nome genrico do site Endereo IP: indica o IP do site Porta TCP: a porta utilizada para acessar o site: 80 Porta SSL: utilizado somente quando houver necessidade de criptografia, sendo 443 o valor padro quando utilizado (neste caso deixamos vazio pois no usaremos SSL) Tempo limite de conexo: tempo que o servidor espera at desconectar um usurio inativo Ativar Keep-Alive de HTTP: permite que a conexo seja mantida aberta ao invs de abri-la a cada conexo realizada Ativar logs: permite criar arquivos de log de acesso ao servidor (algo importante para auditoria) Clique em Propriedades para configurar os logs:

Clique em Diariamente (para que se crie um arquivo de log por dia), clique em Usar hora local para nomeao e sobreposio de arquivo para que a data/hora do log seja o mesmo do servidor (ao usar a hora do W3C, que a mesma de Greenwich). Em Diretrio do arquivo de log, digite a pasta aonde sero salvos os arquivos de log. Compactao do contedo da pasta de log

O ideal que voc mantenha os arquivos de log em uma partio prpria pois eles costumam fragmentar muito a partio aonde esto localizados. Alm disso voc deve configurar a pasta de log para compactar os arquivos e subpastas ali existentes para que os arquivos de log ocupem menos espao no disco (essa dica pode dobrar o espao livre destinado aos logs pois o arquivo de log um arquivo texto que altamente compactvel). Para ativar a compactao, clique no boto Iniciar > Meu computador > duplo-clique na partio aonde os arquivos de

log esto localizados > clique com o boto da direita do mouse na pasta aonde os arquivos de log esto localizados > Propriedades > Avanados > clique em Compactar o contedo para economizar espao em disco >clique em OK > clique em Aplicar as alteraes a esta pasta, sub-pastas e arquivos e clique em OK. Quanto menor o nmero de arquivos ali,
mais rpida essa tarefa ser finalizada. Depois da compactao, a pasta ficar com a cor azul, indicando que os dados ali esto compactados. Para voc verificar a taxa de compactao, clique com o boto

da direita em qualquer arquivo dentro da pasta > Propriedades. O tamanho original do arquivo est indicado em Tamanho: e o tamanho utilizado no disco rgido est mostrado em Tamanho do disco:. Quanto maior a diferena

entre ambos, melhor, pois isso indica que o arquivo est bem compactado e voc est economizando bastante espao com isso. A compactao da pasta de log no influencia de modo notvel o desempenho do servidor. Clique agora na aba Propriedades e clique em Cookie ( cs (Cookie) ), que o penltimo item da lista. Clique em Aplicar e em OK. Em relao s demais opes, voc pode deix-las no modo default do IIS 6. So elas: Desempenho: que permite limitar a largura de banda e o nmero de conexes no site Filtros ISAPI: permite a configurao de filtros ISAPI (programa que responde a eventos) Pasta Base: indica as opes de configurao da pasta aonde esto localizados os arquivos do site Documentos: lista os tipos de documentos que sero renderizados (e a ordem que isso ocorre) e a configurao do rodap Erros personalizados: permite que voc modifique os arquivos de respostas de erros de HTTP, personalizando-os de acordo com a sua necessidade Cabealhos HTTP: permite ativar a expirao de contedo (fazendo com que o browser compare a data atual com a data de validade das pginas para definir se ela ser carregada novamente ou se ele utilizar o cache para isso), definir a sua classificao (visando identificar contedos que possam ser censurados pelo supervisor de contedo do browser) e tipos de MIME (que permite definir as extenses dos arquivos) Segurana de diretrio: permite configurar o tipo de autenticao e controle de acesso, as restries de IP e domnio (para voc impedir o acesso ao seu site) e comunicaes de segurana (certificados para comunicao segura e canal de segurana SSL). Na imagem abaixo, qualquer computador cujo IP que seja 68.xxx.xxx.xxx (tipicamente utilizado por proxys annimos) no conseguir acessar o site, recebendo uma mensagem de acesso negado quando tentar acess-lo:

Habilitando a compactao HTTP do IIS 6 O IIS 6 permite que os dados enviados para os browsers sejam automaticamente compactados, o que economiza banda e aumenta a velocidade de navegao. Para habilitar a compactao (que realizada no kernel e no influencia a performance do servidor), voc deve clicar com o boto da direita do mouse em Sites da Web > aba Servio . Clique nas opes Compactar arquivos de aplicativo e Compactar arquivos estticos. No tamanho mximo do diretrio temporrio, deixe em Ilimitado. Clique em OK.

Segundo o site Port80, apenas 2,9% das empresas utilizam a compresso de dados e com isso Empresas Fortune 1000 gastam milhes com excesso de banda por no utilizarem compresso HTTP . Arquivos ASP e ASP.NET no IIS 6 Para voc permitir a execuo de arquivos ASP no IIS 6, voc deve clicar em Extenses de servios da Web > clicar com

o boto da direita do mouse em Pginas do Active Server > Permitir.

Se voc no clicou na opo de ASP.NET no incio da instalao do IIS e agora voc deseja utiliz-lo, voc deve instalar o ASP.NET: clique no boto Iniciar > Painel de Controle> Adicionar/Remover programas> Adicionar/Remover componentes do Windows > clique em Servidor de aplicativo > boto Detalhes > ASP.NET.Clique em OK e Avanar. Pool de processos O IIS 6 tem o Pool de processos, que permite que voc configure aes automticas que sero tomadas quando algum processo apresente problemas: ao invs do administrador de redes reiniciar o processo, isso pode ser feito automaticamente pelo prprio IIS!

Para voc configurar o Pool de processos, clique com o boto da direita do mouse em Pools de aplicativos: ali existem diversas opes. Nas abas voc encontrar: Reciclagem: permite a reinicializao do processo depois de um tempo pr-definido, por nmero de solicitaes ou ento em um horrio pr-estabelecido e reciclagem de processos que consumam muita CPU (tanto em memria virtual

quanto em memria utilizada). Desempenho: permite desligar processos inativos, limitar a fila de solicitao (para que o servidor no fique sobrecarregado) alm de ativar a monitorao da CPU (permitindo eliminar ou reiniciar processos que estejam utilizando muita CPU) Manuteno: pinga os processos para estabelecer o seu status, ativa/desativa a proteo contra falhas e define o limite de reinicializao e desligamento de processos inativos. Identidade: define a conta a ser utilizada para o pool de aplicativos Um detalhe muito interessante que voc pode criar diversos Pools de processos e utiliz-los de acordo com as necessidades de um site. Exemplo: para criarmos um Pool de processos chamado BABOO 2 (que ser utilizado somente no gerenciamento do site BABOO 2) voc deve clicar com o boto da direita do mouse em Pool de aplicativos > Novo > Pool de aplicativos. Ali voc define o nome do pool e as suas configuraes. Depois de modificar as opes dele, voc associa-o ao site BABOO 2:

Instalando e configurando o FTP no Windows Server 2003

Neste tutorial voc aprender a instalar e configurar o FTP - com isolamento de usurios - do Windows Server 2003.
16/02/04h

Instalando e configurando o FTP no Windows Server 2003

Esta matria est dividida em trs tutoriais, que se complementam: 1. Instalando e configurando o Windows Server 2003 e IIS 6.0 2. Instalando e configurando o FTP no Windows Server 2003 (este tutorial) 3. Instalando e configurando o Terminal Server no Windows Server 2003 Ao l-los, voc ser capaz de: 1. Instalar 2. Instalar 3. Instalar 4. Instalar e e e e configurar configurar configurar configurar o Windows Server 2003 um site usando o IIS 6.0 o FTP com isolamento de usurios (um usurio no pode acessar a pasta de outro) o Terminal Server, permitindo acesso remoto aos Administradores ou usurios pr-determinados

No final do tutorial sobre Terminal Server h trs dicas de segurana que devem ser implementadas para aumentar a segurana do seu servidor.

Instalando e configurando o FTP do Windows Server 2003 O FTP (File Transfer Protocol) permite que voc configure o seu servidor para enviar e receber arquivos, anonimamente ou no. O IIS 6 tem uma novidade: o isolamento de usurios, que muito til quando voc tem vrios usurios acessando um ou mais sites: com o isolamento deles, eles no tero acesso s pastas dos demais usurios, tendo seu acesso restrito apenas a uma pasta pr-definida (e suas sub-pastas). Para instalar o FTP, clique no boto Iniciar > Painel de Controle> Adicionar/Remover programas> Adicionar/Remover ser realizada:

componentes do Windows > clique em Servidor de aplicativo > boto Detalhes > duplo-clique em Servios de informaes da Internet (IIS) > Servio FTP (File Transfer Protocol). Clique em OK, OK e Avanar e a instalao do FTP

Ao instalar o FTP, voc notar que uma nova opo Sites FTP foi adicionado no Gerenciador dos Servios de Informaes de Internet (IIS):

Elimine o Site FTP padro da mesma forma que fizemos com o IIS: d um duplo-clique em Sites FTP > clique com o boto da direita do mouse em Site FTP padro > Excluir. Confirme a excluso. Agora vamos criar o FTP do site BABOO 2: clique com o boto direito do mouse em Sites FTP > Novo > site FTP . Em Descrio digite o nome genrico do site (BABOO 2 no nosso caso) e clique em Avanar. Na prxima tela voc deve colocar o IP do servidor no primeiro campo. Se voc quiser indicar o IP correto, feche a janela atual para cancelar a criao do site FTP atual e clique no boto Iniciar > Painel de Controle > Conexes de Rede >

Clique na conexo existente (normalmente "Conexo Local") > Propriedades > Avanado > d um duplo-clique em Protocolo TCP/IP. Coloque ali as informaes desejadas (IP, Gateway e DNS) e clique em OK. Agora volte janela do

Gerenciador do IIS e siga os passos do pargrafo acima: a diferena que agora o IP que voc forneceu na sua conexo de rede est disponvel para ser configurado no IIS.

No campo Porta TCP, deixe como est (21) e se voc desejar, digite o cabealho de host do site no campo correto. Clique em Avanar.

Agora voc tem trs opes para escolher: No isolar usurios: os usurios podem acessar as pastas de outros usurios. Isolar usurios: os usurios no podem acessar as pastas de outros usurios, tendo acesso apenas sua pasta e sub-pastas dentro desta. Isolar usurios utilizando o Active Directory: os usurios no podem acessar as pastas de outros usurios, tendo sua configurao definida pelo Active Directory. Escolha a segunda opo (Isolar usurios) e clique em Avanar. No campo Caminho: voc deve informar qual a pasta que conter os arquivos do seu site. Clique em Avanar. A seguir voc pode definir o acesso pasta de FTP (Leitura e/ou Gravao) e clique em Avanar. Um detalhe importante que uma vez escolhida a opo de isolamento ou no de usurio, no h como mud-la posteriormente: voc dever apagar o site FTP e criar outro. A configurao do site FTP similar configurao do IIS: d um duplo-clique em Sites FTP > clique com o boto da direita do mouse no site criado (BABOO 2 no nosso caso) > Propriedades. Nas aba Site FTP temos as opes abaixo: Descrio: contm o nome genrico do site FTP Endereo IP: indica o IP do site Porta TCP: a porta utilizada para acessar o FTP do site: 21 Conexo de site FTP: define o nmero mximo de conexes e o tempo-limite de conexo para definir como inativa Ativar logs: permite criar arquivos de log de acesso ao servidor (algo importante para auditoria) Sesses atuais: mostra todas as conexes ativas ao site FTP

Ao clicar no boto Propriedades voc define os parmetros de criao de arquivos de log: Clique em Diariamente (para que se crie um arquivo de log por dia), clique em Usar hora local para nomeao e sobreposio de arquivo para que a data/hora do log seja o mesmo do servidor (ao usar a hora do W3C, que a mesma de Greenwich). Em Diretrio do arquivo de log, digite a pasta aonde sero salvos os arquivos de log. No necessrio fazer mais modificaes: clique em OK. O ideal que voc mantenha os arquivos de log em uma partio prpria pois eles costumam fragmentar muito a partio aonde esto localizados. Alm disso voc deve configurar a pasta de log para compactar os arquivos e subpastas ali existentes para que os arquivos de log ocupem menos espao no disco (essa dica pode dobrar o espao livre destinado aos logs pois o arquivo de log um arquivo texto que altamente compactvel). Na aba Contas de segurana voc define se conexes annimas so permitidas ou no. Se voc no permitir o acesso annimo, isso significa que apenas usurios pr-definidos tero acesso ao site FTP - e isso pode representar um problema de segurana pois as senhas utilizadas so transmitidas sem criptografia e podem ser obtidas se houver um sniffer (analisador de protocolo) monitorando a transmisso de dados:

Na aba Mensagens voc tem as opes: Faixa: permite que se defina uma frase que aparecer antes da conexo ser completada Boas-vindas: permite que se defina uma frase que aparecer assim que a conexo foi completada Sada: permite que se defina uma frase que aparecer assim que a conexo foi finalizada N mximo de conexes: indica o nmero mximo de conexes permitido no site FTP

A aba Pasta base contm informaes sobre a localizao da pasta do site FTP, as permisses dela (Leitura e/ouGravao), a possibilidade de criar logs de visitantes e o estilo de listagem de pasta ( UNIX ou MS-DOS) A aba Segurana de diretrio permite definir o acesso ou bloqueio de um computador (ou um grupo deles) de acordo com o IP.

Isolamento de usurios A configurao do isolamento de usurios (em que cada usurio s tem acesso sua prpria pasta) tem um nico prrequisito: a criao de uma pasta e sub-pasta dentro do Caminho: definido na configurao da pasta FTP. A pasta deve se chamar LocalUser e dentro dela devem haver as pastas com o nome de cada usurio, que sero utilizadas como pasta-base para cada usurio. Exemplo: voc tem dois usurios (Homer Simpson e Yoda) que devem acessar suas respectivas pastas em um site cujo caminho local seja a pasta C:\BABOO 2004. Para que cada um deles tenha acesso somente sua prpria pasta, voc deve criar duas sub-pastas dentro de C:\BABOO 2004: a pasta Homer Simpson e a pasta Yoda. Desta maneira a estrutura das pastas ficar desta maneira: C:\BABOO 2004\LocalUser\Homer Simpson: pasta do usurio Homer Simpson C:\BABOO 2004\LocalUser\Yoda: pasta do usurio Yoda Criadas desta maneira, os usurios Homer Simpson e Yoda tero acesso SOMENTE s suas prprias pastas: se o usurio Homer Simpson quiser acessar outra pasta que no seja C:\BABOO 2004\Homer Simpson, ele no conseguir. Para os usurios Homer Simpson e Yoda (bem como qualquer outros usurios) poderem acessar as suas pastas, voc deve criar estes usurios e definir senhas para eles que sero usadas no login. Para fazer isso, clique no boto Iniciar >

Painel de Controle> Ferramentas Administrativas > Gerenciamento do Computador > duplo-clique em Usurios e Grupos locais > clique com o boto da direita do mouse em Usurios > Novo usurio.
Digite os dados do usurio, sendo que as nicas informaes requeridas so o nome e senha dos mesmos. Ao criar os usurios, cada um deles ter acesso exclusivo sua prpria pasta, bastando para isso criar a pasta C:\BABOO

2004\LocalUser\(nome do usurio). Simples, n ? :) ... Dica importante: voc deve utilizar o sistema de Segurana da partio NTFS para poder definir as permisses nas pastas de cada usurio. Exemplo: como fazer que o usurio Homer Simpson tenha acesso sua prpria pasta mas proibi-lo de salvar arquivos ali ? Muito simples: configure a pasta C:\BABOO 2004\LocalUser\Homer Simpsonpara que seja somente leitura para o usurio Homer Simpson ! (lembre-se que se voc desativar a opo deGravao na pasta principal de FTP da aba Pasta base, isso impedir que todos os usurios salvem arquivos nas suas respectivas pastas)

Na prtica: 1. Clique com o boto da direita do mouse na pasta desejada (C:\BABOO 2004\LocalUser\Homer Simpson no nosso caso) e clique em Propriedades 2. Clique na aba Segurana e no boto Adicionar 3. Clique no boto Avanado e depois no boto Localizar agora 4. D um duplo-clique no usurio desejado (Homer Simpson no nosso caso) e clique em OK: voc voltar na janela principal da aba Segurana 5. Clique no nome do usurio e na opo Gravar/Negar 6. Clique em OK. Pronto ! Desta maneira o usurio Homer Simpson ter acesso pasta FTP dele mas no poder salvar arquivo ali. Para voc definir mais opes para este usurio, clique no boto Avanado e depois no boto Editar: voc ter uma lista de tarefas que poder permitir ou negar para este usurio. Isso inclui a criao de pastas, a eliminao de arquivos e muitas outras opes. Dica: uma boa idia voc compactar a pasta principal do site FTP ( C:\BABOO 2004\LocalUser\no nosso caso) para que voc economize espao em disco. Para ativar a compactao, clique no boto Iniciar > Meu computador > duplo-

clique na partio aonde a pasta principal do site FTP se encontra > clique com o boto da direita do mouse na pasta LocalUser > Propriedades > Avanados > clique em Compactar o contedo para economizar espao em disco > clique em OK > clique em Aplicar as alteraes a esta pasta, sub-pastas e arquivos e clique emOK. Quanto menor o nmero de

arquivos ali, mais rpida essa tarefa ser finalizada. Depois da compactao, a pasta ficar com a cor azul, indicando que os dados ali esto compactados.

Conexes annimas Muito cuidado ao habilitar a opo de Permitir conexes annimas na aba Contas de segurana pois se a opo de Gravao na pasta principal de FTP da aba Pasta base estiver habilitada, isso permitir que qualquer internauta salve arquivos no seu servidor.

Instalando e configurando o Terminal Server no Windows Server 2003

Neste tutorial voc aprender a instalar e configurar o Terminal Server no Windows Server 2003.
16/02/04h

Instalando e configurando o TS no Windows Server 2003

Esta matria est dividida em trs tutoriais, que se complementam: 1. Instalando e configurando o Windows Server 2003 e IIS 6.0 2. Instalando e configurando o FTP no Windows Server 2003 3. Instalando e configurando o Terminal Server no Windows Server 2003 (este tutorial) Ao l-los, voc ser capaz de: 1. Instalar 2. Instalar 3. Instalar 4. Instalar e e e e configurar configurar configurar configurar o Windows Server 2003 um site usando o IIS 6.0 o FTP com isolamento de usurios (um usurio no pode acessar a pasta de outro) o Terminal Server, permitindo acesso remoto aos Administradores ou usurios pr-determinados

No final deste tutorial h trs dicas de segurana que devem ser implementadas para aumentar a segurana do seu servidor.

Instalando e configurando o Terminal Server no Windows Server 2003 O TS (Terminal Server) um servio que permite que voc acesse o seu servidor remotamente, trabalhando nele em modo grfico como se voc estivesse ali. O TS no Win2003 utiliza o protocolo RDP 5.2, que tem muitas melhorias em relao verso 5.1 do Windows 2000 Server. Voc pode instalar o cliente do RDP 5.2 no Win9x, WinMe, WinNT, Win2000 e WinXP, permitindo com isso utiliz-lo ao acessar um servidor Win2003 (ou uma estao WinXP) via TS. Para fazer o download do arquivo, clique aqui. Entre as novidades do TS do Win2003 em relao ao TS do Windows 2000 Server, estas so algumas: redirecionamento automtico de impressoras e drives mapeados redirecionamento automtico de udio redirecionamento automtico de fuso horrio redirecionamento automtico de portas seriais e paralelas reconexo automtica de sesses (muito til em conexes via wireless)

suporte a cores com 24-bits suporte a encriptao de 128-bits suporte a autenticao via smartcard alocao dinmica de banda restries via GPO

Vamos instalao do TS: Clique no boto Iniciar > Painel de Controle > Ferramentas Administrativas > clique em Assistente para configurar o Servidor > clique em Avanar e Avanar. Se aparecer uma mensagem avisando que uma das conexes de rede no est funcionando, isso normal pois indica que o seu computador tem duas placas de rede instaladas mas somente uma est conectada (imagem abaixo), bastando clicar em Continuar. Clique na opo Terminal Server e clique em Avanar. Aparecer uma mensagem informando que o servidor ter de ser reiniciado durante a instalao do TS:

Ao ser reiniciado, o Win2003 mostrar uma tela informando que o servidor agora funciona como Terminal Server. Para utilizar o TS, basta voc deve definir quais usurios podero acessar o servidor remotamente. Para isso, clique no boto Iniciar > Painel de Controle> Ferramentas Administrativas > Gerenciamento do Computador > duplo-clique em Usurios e Grupos locais > clique em Usurios. Na janela direita voc ver a lista de usurios.Clique com o boto da direita do mouse no usurio que voc deseja permitir acessar o seu servidor remotamente > Propriedades > aba Membro

de > clique em Adicionar > Avanado > Localizar agora > d um duplo-clique em "Usurios da rea de trabalho remota" e clique em OK.

Com isso, os usurios com permisso de acesso via TS podero acessar o servidor remotamente. Para fazer isso de um computador com Windows XP, por exemplo, basta clicar no boto Iniciar > Todos os programas > Acessrios > Comunicaes > Conexo de rea de trabalho remota. Em Computador, digite o IP do servidor e clique em Conectar-se. Assim que a tela de login do servidor abrir, deve-se preencher o nome de usurio e senha para poder acess-lo. Usurios que tentarem se logar sem terem permisso para isso no conseguiro acessar o servidor via TS:

IMPORTANTE: para se desconectar do TS, jamais feche a janela dele. Ao invs disso, clique no boto Iniciar > Fazer logoff para que a sua sesso seja fechada e a conexo com o servidor seja finalizada corretamente Para saber se h algum usurio acessando o seu servidor via TS, a maneira mais rpida clicar com o boto da direita do mouse na barra de tarefas > Gerenciador de Tarefas > Usurios. Os usurios acessando o servidor via TS aparece com Sesso RDP-Tcp#x, aonde x o nmero da conexo:

Trs dicas simples de segurana para o Windows Server 2003 1. Auditoria de eventos Habilite a auditoria de Eventos para que voc tenha relatrios de acesso (com xito ou no) ao seu servidor: clique

no boto Iniciar > Painel de Controle > Ferramentas Administrativas > clique em Diretiva de segurana local > d um duplo-clique em Diretivas locais e depois em Diretiva de auditoria.

Na janela direita voc tem vrias opes que voc pode configurar e as mais importantes so: Auditoria Auditoria Auditoria Auditoria de de de de eventos de logon: xito, Falha alterao de diretivas: xito, Falha gerenciamento de contas: xito, Falha uso de privilgios: xito, Falha

Com isso voc pode monitorar essas auditorias no Visualizador de eventos: clique no boto Iniciar > Painel de Controle > Ferramentas Administrativas > clique em Visualizar eventos > clique em Segurana 2. Opes de segurana Clique em Opes de segurana, altere a opo Logon interativo: no exibir o ltimo nome do usurio para forar a digitao do nome do usurio. Note que h dezenas de outras configuraes que podem ser modificadas de acordo com a sua necessidade tanto nesta opo quanto em Atribuio de direitos de usurio.

3. Bloqueio de contas Clique em Diretivas de conta > Diretiva de bloqueio de conta, altere a opo Limite de bloqueio de conta para 3, indicando que aps 3 tentativas de login, a conta ser bloqueada por 30 minutos (embora voc possa mudar isso nas duas outras opes).