Recomendaciones generales de seguridad para aplicaciones Web
No obstante, incluso los métodos de seguridad de aplicaciones más elaborados pueden verse comprometidos si un usuario malintencionado logra obtener acceso a los equipos usando medios simples. Siga estas instrucciones:
- Realice copias de seguridad con asiduidad y guárdelas en lugar seguro.
- Mantenga el equipo del servidor en un lugar físico seguro, de forma que los usuarios no autorizados no puedan tener acceso a él, apagarlo o llevárselo.
- Utilice el sistema de archivos NTFS de Windows, no el FAT32. NTFS ofrece mucha más seguridad que el FAT32. Para obtener información detallada, vea la documentación de Windows.
- Proteja el equipo del servidor Web y todos los demás equipos de la misma red con contraseñas rigurosas.
- Proteja los servicios IIS. Para obtener una información más detallada, visite el sitio Web de Microsoft TechNet Security Center.
- Cierre los puertos que no se utilicen y desactive los servicios no usados.
- Ejecute un programa antivirus que supervise el tráfico entrante y saliente.
- Establezca y haga respetar una política que prohíba a los usuarios tener sus contraseñas escritas en una ubicación fácil de localizar.
- Use un firewall. Para conocer las recomendaciones, vea el artículo en inglés Microsoft Firewall Guidelines en el sitio Web sobre seguridad de Microsoft.
- Instale las últimas revisiones de seguridad de Microsoft y otros proveedores. Por ejemplo, para obtener una lista con los últimos boletines de seguridad para todos los productos Microsoft, consulte Microsoft TechNet Security Center. Otros fabricantes tienen sitios parecidos.
- Use las funciones de registro de eventos de Windows y examine los registros con frecuencia para detectar actividades sospechosas. Esto incluye los intentos repetidos de iniciar una sesión en el sistema o la existencia de un número extremadamente alto de solicitudes en el servidor Web.
Conocer a los usuarios
En muchas aplicaciones, los usuarios tienen acceso al sitio de forma anónima (sin tener que proporcionar las credenciales). Si es el caso, la aplicación obtiene acceso a recursos al ejecutarse en el contexto de un usuario predefinido. De forma predeterminada, este contexto es el usuario ASPNET local (en Windows 2000 o Windows XP) o el usuario NETWORK SERVICE (en Windows Server 2003) del equipo del servidor Web. Para restringir el acceso únicamente a los usuarios que se hayan autenticado, siga estas instrucciones:
- Si la aplicación pertenece a una intranet, configúrela para usar la seguridad integrada de Windows. De este modo, las credenciales de inicio de sesión de los usuarios se pueden usar para obtener acceso a los recursos. Para obtener más información, vea Suplantación de ASP.NET.
- Si precisa recabar credenciales del usuario, utilice una de las estrategias de autenticación de ASP.NET. Para obtener un ejemplo, vea Administrar usuarios mediante suscripciones.
