Centre de Recherche sur les Matériaux à Haute Température

- Home - News - Conseils - SécuritéMise à jour  -  Liens  -  Accès  -

Centre de Recherche sur les Matériaux à Haute Température

Sécurisation de IIS 5.0 à l’aide de fichiers de commandes batch

Résumé

Ce livre blanc décrit l’utilisation de fichiers de commandes ou de programmes batch en vue d'automatiser les paramètres de sécurité sur un serveur Web exécutant Windows 2000 Server ou Windows 2000 Advanced Server associé à Internet Information Services 5.0 dans un environnement d’entreprise. Il est destiné aux administrateurs système et suppose une connaissance de Windows 2000 Server et de IIS 5.0, des paramètres de Registre du système d’exploitation et des paramètres de métadonnées dans IIS 5.0. L’objet de ce document n’est pas de fournir une explication détaillée des paramètres de Registre ou des paramètres de métadonnées. Pour obtenir ce type d’information, reportez-vous à la documentation sur Windows 2000 Server et IIS 5.0.

Les fichiers de commandes et les utilitaires de prise en charge présentés dans ce livre blanc sont disponibles sur le CD Windows 2000 Web Server Rapid Deployment Guide (Guide de déploiement rapide de Windows 2000 Web Server), ou sur le Web dans le fichier zip suivant.

Il est important de noter que l’interface WMI (Windows Management Interface) fournit une solution plus robuste pour gérer le système d’exploitation du serveur que celle proposée par les fichiers de commandes et les utilitaires. L’utilisation des fichiers de commandes est décrite dans ce document car de nombreux administrateurs ont l’habitude de les utiliser sur les anciens systèmes d’exploitation.

Sommaire

Introduction

Ce livre blanc s’appuie sur l’expérience acquise par les ingénieurs de Microsoft qui ont mis à niveau des serveurs Web vers Windows 2000 Advanced Server sur le service de messagerie Web MSN Hotmail®. Les considérations relatives à la sécurité et aux performances, qui figurent dans cette mise à niveau, s’appliquent à de nombreux environnements d’hébergement de services Web, y compris les grandes entreprises de commerce en ligne. Tous les paramètres de performance et de sécurité ne sont pas traités dans ce livre blanc. Le site Windows 2000 offre d’excellentes ressources ainsi que des liens apparentés.

Une liste d’articles connexes est disponible à la section Pour plus d’informations à la fin de ce document. Toutefois, pour compléter vos lectures, le site Microsoft Web Security constitue un bon point de départ (site en anglais). Pour obtenir des informations sur le réglage des performances, reportez-vous au document en anglais The Art and Science of Web Server Tuning with Internet Information Services 5.0.

Attention : n’utilisez pas ces outils à tort et à travers. Ces paramètres créent un serveur Web fortement sécurisé. Toutefois, leur application entraînera très probablement la fragmentation des applications existantes. Ils peuvent restreindre l’accès des clients aux sites Web. Avant de configurer la sécurité, les administrateurs système doivent en comprendre les effets et faire une utilisation appropriée de chaque paramètre. Ce document présente les fichiers de commandes qui contiennent les types de paramètres de performances et de sécurité utilisés pour déployer Hotmail. Ils ne sont pas identiques aux fichiers de commandes utilisés chez Hotmail, mais présentent suffisamment de similitudes pour servir de modèles.

Il vous est vivement conseillé de tester les modifications que vous proposez d’apporter aux paramètres de sécurité et de performances dans un environnement de laboratoire avant de les implémenter dans les systèmes de production.

Quoi, quand et comment sécuriser ?

Détermination des besoins en matière de sécurité

Les administrateurs doivent être parfaitement conscients des besoins et des considérations touchant à la sécurité avant de configurer les paramètres la concernant. Comme il a été mentionné, les paramètres inclus dans les fichiers de commandes présentés dans ce document ne sont fournis qu’à titre illustratif. Ces fichiers de commandes peuvent être modifiés, si nécessaire, avant d’être appliqués aux serveurs Web d’autres entreprises. Par exemple, une entreprise qui exécute des applications Web nécessitant un accès moins restrictif aux serveurs Web publics doit modifier les paramètres des fichiers de commandes pour permettre ce type d’accès, sinon, les applications Web ne fonctionneront pas. En outre, ces fichiers de commandes ont été spécialement conçus pour être utilisés sur des serveurs Web exécutant le système d’exploitation Windows 2000 Server et l’application IIS 5. Ils doivent être modifiés s’ils sont appliqués à des serveurs assumant des rôles différents.

Modification du fichier de commandes pour répondre à des besoins spécifiques

Les administrateurs doivent étudier tous les paramètres nécessitant une modification dans le fichier de commandes et en mesurer les effets sur les applications Web.

Les fichiers de commandes décrits dans ce livre blanc illustrent la manière d’automatiser les tâches administratives courantes, telles que le maintien de la sécurité, le réglage des performances et la prévention des attaques de type refus de service (DOS).

Pour obtenir de plus amples informations sur la sécurisation des serveurs Web ainsi que des explications sur la raison et la manière de les sécuriser, lisez l’article intitulé Liste de contrôle pour la sécurisation de Internet Information Services 5.

Les administrateurs système peuvent utiliser la liste de contrôle fournie dans cet article afin de déterminer les objectifs et les besoins de leur entreprise en matière de sécurité. Ils peuvent personnaliser le fichier de commandes inclus dans ce document pour automatiser l’implémentation de ces besoins.

Configuration à l’aide des fichiers de commandes

Deux méthodes de sécurisation des serveurs

Lorsqu’ils souhaitent déployer Windows 2000 Server dans un environnement d’hébergement de sites Web, de nombreux administrateurs système sont confrontés aux questions suivantes : « Comment pouvons-nous sécuriser ce système ? », « Comment nous protéger des pirates informatiques ? ».

Ces questions en entraînent généralement une autre : « Comment pouvons-nous sécuriser ce système de manière rapide, automatisée et cohérente ? ».

Les administrateurs système peuvent choisir deux méthodes pour répondre à ces questions. Lorsqu’ils effectuent une migration de serveurs Web frontaux vers Windows 2000 à l’aide de IIS 5.0, ils peuvent configurer la sécurité sur tous les serveurs en utilisant l’application Microsoft Management Console. Il leur est également possible de gérer tous les paramètres de sécurité par l’intermédiaire de la ligne de commande.

Certains administrateurs préfèrent utiliser les fichiers de commandes, aussi appelés fichiers batch, car ils savent les utiliser sur les anciens systèmes d’exploitation. Les administrateurs qui supervisent des centaines, voire des milliers de serveurs Web, ont besoin d’une automatisation la plus complète possible pour configurer la sécurité lors des mises à niveau : les fichiers de commandes procurent une automatisation supplémentaire.

Les fichiers de commandes présentés dans ce document utilisent les commandes et les utilitaires natifs disponibles dans le système d’exploitation Windows 2000 Server, ainsi que d’autres outils inclus dans le Kit de ressources de Windows 2000. Certains des paramètres de sécurité sont mise en œuvre en modifiant directement le Registre Windows 2000 et les informations des métadonnées de IIS 5.0.

Personnalisation du fichier de commandes

Utilisation du fichier en tant que modèle

Toute entreprise d’hébergement de sites Web, y compris la plupart des sociétés de commerce en ligne, peut suivre un processus identique à celui utilisé chez MSN Hotmail pour sécuriser fortement les serveurs lors de leur migration vers Windows 2000 Server et IIS 5.0.

Le fichier de commandes w2kseccfg.cmd, présenté dans l’annexe 1, applique automatiquement des paramètres de sécurité très similaires à ceux qui sont utilisés sur les serveurs Hotmail. Cette méthode n’est pas recommandée. Comme il a été dit précédemment, il est fort probable que ces paramètres fragmentent certaines applications Web. La meilleure méthode consiste à utiliser le fichier de commandes comme modèle pour les paramètres de sécurité les plus courants devant être modifiés sur le serveur Web. Par exemple, le fichier de commandes fournit un paramètre nécessaire à la modification de la stratégie d’expiration des mots de passe sur les serveurs Web. Ce paramètre peut être personnalisé pour répondre aux besoins d’entreprises de tout type.

Il n’est pas nécessaire de copier manuellement les fichiers dans chaque ordinateur. Plusieurs mécanismes automatisés peuvent s’en charger. Chez Hotmail, les administrateurs ont utilisé le fichier de commandes pour appliquer les paramètres à une image de la compilation principale. Les mises à jour intermédiaires peuvent être distribuées à l’aide d’un utilitaire de distribution de logiciels ou de l’utilitaire rdist.exe disponible dans Windows 2000 Services pour Unix.

Désactivation des commandes de sécurité inutiles

Si le fichier de commandes est appliqué sans être modifié, comme prévu certains serveurs Web peuvent cesser de fonctionner ou certaines fonctionnalités d’administration à distance peuvent devenir inutilisables.

Par exemple, le fichier de commandes peut désactiver l’accès distant au Registre pour certains utilisateurs. Si une fonction administrative requiert un accès distant au Registre, celle-ci devient inutilisable. Pour prévenir ce problème, les administrateurs doivent :

  1. désactiver, ou « commenter », les lignes de code contenues dans le fichier services.cmd qui empêchent l’accès distant au Registre, la commande registre distant ;
  2. ou bien utiliser une fonction administrative qui mène à une autre fonction permettant d’accéder au Registre dans le contexte de la machine locale.

Des considérations et des personnalisations similaires doivent être utilisées pour chacun des paramètres du fichier de commandes. Plusieurs de ces paramètres peuvent désactiver une application de serveur Web. C’est pourquoi, les administrateurs doivent tester avec soin leurs configurations personnalisées installées sur les serveurs à l’aide d’un banc d’essai, avant de les déployer sur des serveurs Web de production.

Ils doivent installer Windows 2000 Server Service Pack 1 sur l’ensemble des serveurs avant d’exécuter le fichier de commandes. Lorsque Microsoft édite de nouveaux correctifs, ceux-ci doivent être ajoutés au fichier de commandes et installés sur les serveurs Web afin d’assurer la sécurité et les performances.

Les paramètres de sécurité par défaut dans Windows 2000 Server et Windows 2000 Advanced Server associés à IIS 5.0 sont plus fiables que dans les anciens systèmes d’exploitation. Ceux qui sont fournis dans la version précédente de IIS étaient conçus pour faciliter la connectivité et étaient plus adaptés aux entreprises de petite taille, aux particuliers ou aux intranets. Les paramètres par défaut dans Windows 2000 associé à IIS 5.0 sont conçus pour améliorer la sécurité dans les entreprises d’hébergement de sites Web.

IIS 5.0 est un outil prêt à l’emploi extrêmement sécurisé.

Il inclut des exemples d’applications qui aident les développeurs à écrire des programmes et propose également des contrôles ActiveX pour faciliter le développement. Ces aides, bien qu’utiles, présentent des failles potentielles dans la sécurité qui doivent être résorbées sur les serveurs Web avant que le public n’y ait accès.

Les livres blancs figurant sur le CD Guide de déploiement rapide de Windows 2000 Web Server et sur le site Web Microsoft.com fournissent des listes de contrôle destinées aux administrateurs système se préparant à héberger des applications Web. Ces documents présentent certains éléments tels que des exemples d’applications et de contrôles ActiveX. Le fichier de commandes, w2kseccfg.cmd, fournit une implémentation automatisée des listes de contrôle.

Types d’outils et de paramètres

Les fichiers figurant dans l’annexe 1 contiennent les commandes et les utilitaires qui ont été utilisés sur le site Web Hotmail pour appliquer des paramètres de sécurité plus restrictifs que ceux fournis par défaut, et pour installer des correctifs aux faiblesses de sécurité identifiées après la commercialisation de Windows 2000.

Le fichier de commandes, les commandes et les utilitaires incluent :

w2kseccfg.cmd

Le fichier w2kseccfg.cmd est le principal fichier de commandes qui implémente plusieurs applications. Par exemple, il peut modifier les services qui s’exécuteront sur le système (services.cmd), mettre en place des stratégies d’audit (auditpol.exe) et appliquer des correctifs tels que Q262694_W2K_SP2_x86_en.EXE. Il utilise le fichier regini.exe pour modifier automatiquement le Registre de Windows 2000. Pour obtenir la liste des avis les plus récents sur la sécurité et sur les refus de service, visitez le site Microsoft Security. Le fichier w2kseccfg.cmd suppose que W2KregSec.dat et les exécutables référencés par le fichier de commandes sont enregistrés dans le même répertoire quew2kseccfg.cmd. Ce fichier contient les commandes et les utilitaires imbriqués, destinés aux paramètres décrits dans ce livre blanc.

Regini.exe

Il s’agit d’un outil permettant de modifier le Registre dans Windows 2000. Le Registre est une base de données renfermant des informations sur la configuration d’un ordinateur. Les modifications des paramètres du Registre portant sur la sécurité comprennent notamment la restriction des partages du système de fichiers cachés et la modification des paramètres TCP/IP en vue d’optimiser le serveur destiné à être relié à Internet.

En exécutant regini.exe, les administrateurs peuvent automatiser n’importe quel paramètre de sécurité lié au Registre. Le fichier w2kregsec.dat fournit les données d’entrée. Les administrateurs doivent modifier les clés du Registre dans le fichier w2kregsec.dat afin de procéder aux modifications de sécurité appropriées correspondant à un système particulier. Pour plus d’informations, reportez-vous au Kit de ressources de Windows 2000 Server.

w2kregsec.dat

Il s’agit du fichier d’entrée principal utilisé par regini.exe. Ce fichier contient les clés du Registre qui seront modifiées. Pour plus d’informations sur les clés de Registre et leurs valeurs, voir le Kit de ressources de Windows 2000 Server.

Cryptpwd.exe

Il s’agit d’un utilitaire du Kit de ressources qui peut être utilisé pour renommer le compte Administrateur. La ligne de commande suivante fournit un exemple de la manière dont cet utilitaire est utilisé.

cryptpwd.exe -r JeanMarc

Cette commande change le nom de l’administrateur en jeanmarc.

Passprop.exe

Généralement, le compte Administrateur ne peut être verrouillé si un pirate informatique tente d’en deviner le mot de passe. Toutefois, l’outil du Kit de ressources de Windows 2000, passprop, prend en charge l’option de verrouillage pour les connexions au compte de l’administrateur émanant de l’ensemble du réseau. La commande ci-dessous verrouille le compte Administrateur, en empêchant l’accès par le réseau si un pirate informatique tente une effraction brutale ou une attaque du dictionnaire. Cependant, l’administrateur reste en mesure de se connecter localement au serveur en utilisant le compte suivant :

passprop /adminlockout /complex

Ce paramètre exécute également les mots de passe complexes. Un mot de passe complexe requiert au moins une majuscule, une minuscule et des caractères numériques ou spéciaux.

Auditpol.exe

Il s’agit d’un utilitaire du Kit de ressources permettant de configurer les stratégies d’audit sur le serveur. Il permet à l’utilisateur de modifier les stratégies d’audit utilisées sur l’ordinateur local ou sur n’importe quel ordinateur distant. Pour exécuter AuditPol, l’utilisateur doit avoir reçu les privilèges d’administrateur sur l’ordinateur de destination. AuditPol peut demander à l’ordinateur de surveiller différentes choses telles que les événements système, les événements de connexion et de déconnexion, l’utilisation des privilèges, les modifications de stratégie de sécurité, etc. Pour plus de détails sur cette fonction de l’utilitaire, tapez auditpol.exe /? à l’invite de la ligne de commande, Windows 2000 affichera du texte d'aide.

Q262694_W2K_SP2_x86_en.EXE -z -q -m

Les noms de fichiers de ce format sont des correctifs pour le système d’exploitation Windows 2000. Ce nom de fichier est fourni à titre d’exemple, il existe plusieurs correctifs présentant une structure de nom identique. Microsoft édite régulièrement des Service Packs contenant des correctifs à appliquer. Généralement, les administrateurs installent des correctifs individuels seulement si un responsable du support technique, ou un avis de Microsoft sur la sécurité, leur en donne l’instruction. Lorsque Microsoft détecte une vulnérabilité dans le système de sécurité, les informations sont transmises au site Web Microsoft Security (site en anglais).

Q262694 _W2K_SP2_x86_en.EXE est un exécutable auto-extractible. Il s’agit de l’un des correctifs édités par Microsoft. Les commutateurs -z, -q, -m effectuent les opérations suivantes :

-z : pas de redémarrage après l’exécution du correctif ;

-q : mode silencieux – aucune interface utilisateur ;

-m : mode automatique.

Q262694 correspond au numéro de référence de l’article décrivant les opérations effectuées par ce correctif particulier.

Si l’un ou l’autre des correctifs présentés dans ce document figure dans le Service Pack 2, lors de son édition il deviendra inutile de l’inclure dans le correctif du fichier de commandes.

Outil de vérification des correctifs Windows 2000 IIS 5.0

L’outil HFCINST.exe est très pratique lors de l’audit d’un serveur Web. HFCheck permet aux administrateurs de IIS 5.0 de vérifier la mise à jour de leurs serveurs par rapport à tous les correctifs de sécurité. Cet outil peut être exécuté en continu ou périodiquement, sur une machine locale ou distante, en utilisant une base de données située sur le site Microsoft Web ou une copie locale. Lorsque l’outil détecte l’absence d’un correctif, il affiche une boîte de dialogue ou écrit un avertissement dans le journal d’événements.

Les administrateurs peuvent exécuter cet outil sur leur machine de référence après avoir exécuté w2kseccfg.cmd, afin d’obtenir la confirmation que tous les correctifs pertinents ont été appliqués.

Vous pouvez télécharger l’outil de vérification des correctifs Windows 2000 IIS 5.0.

Commandes Windows 2000

Les commandes Windows 2000 utilisées par le fichier de commandes dans l’annexe 1 incluent des commandes de base telles que reg.exe, cmd.exe et Net.exe. Les autres commandes sont :

  • Net accounts : pour régler la longueur, la date d’expiration et d’autres propriétés des mots de passe ;
  • Net user : pour désactiver le compte Invité ;
  • Reg.exe : pour modifier ou afficher le Registre (voir services.cmd).

Pour plus d’informations sur l’une ou l’autre des commandes, tapez son nom suivi de /? à l’invite de commande. Pour obtenir la liste complète des commandes Windows 2000, consultez l’aide de Windows 2000 Server, en français.

Adsutil.vbs

Adsutil.vbs peut être utilisé pour modifier les paramètres des métadonnées de IIS 5.0. Une liste détaillée des paramètres des métadonnées est disponible dans l’aide de IIS 5.0. Adsutil.vbs figure dans le répertoire \inetpub des serveurs IIS 5.0.

L’aide de IIS 5.0 décrit la manière dont les administrateurs peuvent se servir de la commande adsutil.vbs, et présente, dans la liste suivante les commandes permettant de modifier divers paramètres de métadonnées dans IIS 5.0 :

ADSUTIL.VBS <cmd> [<path> [<value>]]
GET, SET, ENUM, DELETE, CREATE, COPY,
APPCREATEINPROC, APPCREATEOUTPROC, APPDELETE, APPUNLOAD, APPGETSTATUS

Pour des exemples spécifiques sur la manière dont la commande adsutil.vbs peut être utilisée dans une configuration de sécurité, reportez-vous aux annexes.

XcAcls.exe

Cet outil permet aux administrateurs de régler des options de sécurité du système de fichiers pour les partitions NTFS, à partir de la ligne de commande. Pour cela, XcAcls affiche et modifie les listes de contrôle d’accès (ACL) aux fichiers. Grâce à cet outil, les administrateurs peuvent régler les droits d’accès initiaux aux dossiers dans lesquels réside le système d’exploitation. Les ACL déterminent quels utilisateurs sont autorisés à lire, écrire, exécuter ou modifier un fichier particulier. Lorsque les administrateurs distribuent les logiciels sur les serveurs ou les stations de travail, XcAcls offre également une protection pas à pas contre la suppression de répertoires ou de fichiers par les utilisateurs.

Bien que cette procédure soit relativement dépendante des applications, certaines règles générales peuvent s’appliquer. Des instructions expliquant comment définir les ACL appropriées sont fournies dans le Guide de ressources de IIS 5.0 et dans l’étude « Windows NT Security Guidelines » destinée à NSA Research et effectuée par Trusted Systems Services Inc. (site en anglais).

Dans le fichier de commandes w2kseccfg.cmd, la ligne de commande suivante modifie les ACL dans tous les fichiers .asp.

cmd /c "xcacls.exe *.asp /t /e /c /p everyone:x administrators:f system:f"

Les administrateurs doivent tester de manière approfondie toutes les ACL modifiées dans en laboratoire, avant d’appliquer la configuration à un environnement de production. Pour plus d’informations sur la mise en place d’un banc d’essai, voir le chapitre 4 du guide « Deployment Planning Guide » de Windows 2000.

Le tableau 1 à la page suivante répertorie les types de fichiers les plus communs pour lesquels les administrateurs de sites Web modifient les ACL. Les paramètres ACL recommandés pour ces types de fichiers y sont également présentés. à gauche figurent les types de fichier. à droite figurent les paramètres ACL recommandés.

Tableau 1.

Type de fichier Listes de contrôle d’accès (ACL)
CGI (.exe, .dll, .cmd, .pl) Tout le monde (X)
Administrateurs (Contrôle total)
Système (Contrôle total)
Fichiers de script (.asp) Tout le monde (X)
Administrateurs (Contrôle total)
Système (Contrôle total)
Fichiers d’inclusion (.inc, .shtm, .shtml) Tout le monde (X)
Administrateurs (Contrôle total)
Système (Contrôle total)
Contenu statique (.txt, .gif, .jpg, .html) Tout le monde (R)
Administrateurs (Contrôle total)
Système (Contrôle total)

Autres étapes de la configuration de sécurité

Les fichiers de commandes présentés dans ce document fournissent également les moyens d’accomplir d’autres modifications recommandées pour la sécurité des serveurs Web. Ces recommandations se trouvent dans le livre blanc, en anglais, intitulé IIS 5 Security Checklist. Les fichiers de commandes automatisent certaines opérations comme la suppression des exemples d’application, la désactivation de composants COM inutiles et la suppression des répertoires superflus.

Désactivation et suppression des exemples d’applications

Ces exemples ne sont fournis qu’à titre indicatif. Ils ne doivent jamais être installés sur un serveur de production. Notez que certains exemples sont installés pour être seulement accessibles à partir de http://localhost, ou de 127.0.0.1 ; il faut toutefois les supprimer.

Le tableau 2 répertorie les emplacements par défaut de certains de ces exemples. Le fichier de commandes de l’annexe 1 supprime automatiquement ces répertoires.

Tableau 2 Exemples de fichiers inclus dans IIS 5.

Exemple Répertoire virtuel Emplacement
Exemples IIS \IISSamples c:\inetpub\iissamples
Documentation IIS \IISHelp c:\winnt\help\iishelp
Accès aux données \MSADC c:\program files\common files\system\msadc

Désactivation ou suppression des composants COM inutiles

Certains composants COM ne sont pas nécessaires pour le fonctionnement d’une majorité d’applications et doivent par conséquent être supprimés. Vous devrez en particulier désactiver le composant objet de FileSystem, tout en sachant que cela aura pour effet de supprimer également l’objet dictionnaire. Notez également que certains programmes peuvent avoir besoin des composants que vous désactivez. Par exemple, Site Server 3.0 utilise l’objet FileSystem. La commande suivante permet de désactiver ce dernier :

regsvr32 scrrun.dll /u

Suppression du répertoire virtuel IISADMPWD

Ce répertoire permet de redéfinir les mots de passe pour Windows NT et Windows 2000. Il est principalement destiné aux scénarios intranet et ne fait pas partie de l’installation de IIS 5. Cependant, il n’est pas supprimé lors de la mise à niveau d’un serveur IIS 4.0 vers IIS 5.0. Il doit être supprimé s’il n’est pas utilisé pour un intranet ou si le serveur est connecté au Web. Pour plus d’informations sur cette fonctionnalité, consultez l’article Q184619, en anglais, de la Base de connaissances Microsoft.

Audit d’implémentation à posteriori

Bien qu’ils ne soient pas utilisés spécifiquement dans les fichiers de commandes présentés dans ce document, il existe plusieurs outils Windows 2000 qui peuvent aider les administrateurs à détecter les vulnérabilités. Quelques exemples de ces outils figurent ci-dessous :

  • Netstat.exe Cet outil affiche les statistiques de protocole, les connexions réseau TCP/IP courantes, l’ensemble des connexions et des ports d’écoute, etc.

  • Nbtstat.exe Il s’agit d’un outil similaire à Netstat à ceci près qu’il affiche les statistiques de protocole et les connexions TCP/IP courantes à l’aide de NBT (NetBIOS avec TCP/IP).

  • Net Share Il permet d’afficher les répertoires partagés sur un serveur.

De plus amples informations sur l’audit de sécurité peuvent être consultées dans le cahier de référence Microsoft Press Designing Secure Web-Based Applications for Microsoft® Windows 2000.

Résumé

Les administrateurs système doivent planifier avec soin les besoins de leur entreprise en matière de sécurité et étudier les paramètres et les configurations de sécurité disponibles dans IIS 5.0 et Windows 2000 Server. Puis, ils peuvent utiliser les fichiers de commandes de l’annexe 1, en tant que modèle, pour automatiser la configuration des paramètres de sécurité sur les serveurs Web. Bien que l’application Microsoft Management Console fournisse une méthode de configuration de sécurité plus intuitive, certains administrateurs peuvent préférer cette méthode par commodité car ils maîtrisent l’utilisation des fichiers de commandes sur les anciens systèmes d’exploitation de serveurs Web, ou bien parce qu’ils doivent implémenter des modifications simultanément sur des dizaines de milliers de serveurs Web.

Annexe 1

Fichiers de commandes

Tous les fichiers de commandes et tous les utilitaires de prise en charge sont disponibles sur le CD Guide de déploiement rapide de Windows 2000 Web Server, ou dans le fichier zip suivant.

W2kseccfg.cmd

REM Utilitaire de configuration de sécurité Windows 2000. Développé pour Windows 2000 par stevete@microsoft.com
REM inclut des entrées depuis w2k.com
REM Ce fichier .cmd suppose que W2KregSec.dat et les exécutables se trouvent dans le même
REM répertoire que la dernière mise à jour de w2kseccfg.cmd (12/5/00)
REM
REM La ligne suivante exécute les modifications de Registre applicables. Ces modifications sont
REM applicables à tous les systèmes. Cependant, utilisez-les avec prudence, elles peuvent entraîner un arrêt
REM de fonctionnement des applications. Cette solution a été développée pour un scénario client spécifique
REM et n’est destinée à être utilisée qu’en tant que modèle pour d’autres scénarios.
REM Mise à jour effectuée le 1/9/00 afin de refléter la disponibilité de Windows 2000 SP1. Exécutez la mise à jour de Windows 2000 SP1 avant de mettre en œuvre cet outil.
REM
REM
cmd /c "regini w2kregsec.dat"
REM Définir les expirations de mot de passe
net accounts /minpwlen:9 /maxpwage:60 /uniquepw:6
REM Renommer le compte Administrateur
REM cryptpwd.exe -r JeanMarc
REM -Verrouiller l’accès depuis Internet au compte Admin. en cas d’échec des tentatives
passprop /complex /adminlockout
Rem -Désactiver Invité
net user guest /active:no
REM activer l’audit – enregistrer l’ensemble des caractéristiques de taille dans W2Kregsec.dat
REM auditpol /logon:all
REM Les lignes suivantes correspondant à des vulnérabilités de sécurité qui seront corrigées dans W2K SP1
REM Q251170_W2K_SP1_X86_en.EXE -Z -Q -M
REM Q260838_W2K_SP1_x86_en.EXE -Z -Q -M
REM Q259622_W2K_SP1_x86_en.EXE -z -q -m
REM Q259401_W2K_SP1_x86_en.EXE -z -q -m
REM Q257870_W2K_SP1_x86_en.EXE -z -q -m
REM q254142_w2k_sp1_x86_en.exe -z -q -m
REM Q249599_W2K_SP1_X86_en.EXE -z -q -m
REM Q260205_W2K_SP1_x86_en.EXE -z -q -m
REM Q259728_W2K_SP1_x86_en.EXE -z -q -m
Q262694_W2K_SP2_x86_en.EXE -z -q -m

REM - Objets COM - (ceci peut fragmenter vos applications)
regsvr32 scrrun.dll /u for /f "tokens=2 delims= " %%i in ('tlist') do if [%%i]==[inetinfo.EXE] goto ThisIsAWebServer
GOTO Exit
:ThisIsAWebServer
REM Insérez les commandes xcacl.exe ici pour modifier les autorisations NTFS des applications sélectionnées.
REM Pour en savoir plus, consultez « Securing IIS 5.0 Using Batch-Oriented Command Files »
REM tapez xcacls.exe /? à l’invite de commande pour la syntaxe
REM Remarque : vous devrez ajouter des commandes xcaclc supplémentaires pour définir les autorisations ntfs décrites dans l’article
REM « Secure Internet Information Services 5 Checklist »
cmd /c "xcacls.exe *.asp /t /e /c /p everyone:x administrators:f system:f"
REM Lors de l’exécution de Xcacls.exe vous devez placer le répertoire de travail à la racine de votre site Web.
REM placer la commande xcacls à la suite des éléments suivants marche très bien cmd /c "cd D:\inetpub&& xcacls.exe *.asp......"
REM Empêche que NT pwds soit modifié dans les scénarios intranet, cette commande supprime les outils administratifs Web
rd %systemroot%\system32\inetsrv\iisadmpwd /s /q
REM Ceci supprime les répertoires contenant les exemples d’application
rd <drive>:\inetpub\iissamples /s /q
rd <drive>:\inetpub\adminscripts /s /q
rd "<drive>:\program files\common files\system\msadc\samples" /s /q
cd\
del htimage.exe /s
del imagemap.exe /s
REM sites avec ASP – une explication complète sur ce que font ces paramètres est disponible
REM dans l’aide des serveurs IIS5.
csript adsutil set w3svc/UseHostName "True"
csript adsutil.vbs set w3svc/ASPEnableParentPaths "False"
csript adsutil.vbs set w3svc/AspAllowSessionState "False"
REM csript adsutil.vbs set w3svc/CGITimeOut "900"
REM csript adsutil.vbs set w3svc/NTAuthenticationProviders "Negotiate,NTLM"
REM csript adsutil.vbs set w3svc/AuthBasic "False"
csript adsutil.vbs set w3svc/AspScriptFileCacheSize "-1"
csript adsutil.vbs set w3svc/AspScriptEngineCacheMax "30"
REM csript adsutil.vbs set w3svc/ASPQueueTimeout "30"
csript adsutil.vbs set w3svc/AspEnableTypelibCache "True"
csript adsutil.vbs set w3svc/ASPErrorsToNTlog "False"
csript adsutil.vbs set w3svc/ASPRequestQueueMax "1000"
csript adsutil.vbs set w3svc/LogExtFileDate "False"
csript adsutil.vbs set w3svc/LogExtFileServerIp "False"
csript adsutil.vbs set w3svc/LogExtFileBytesSent "False"
csript adsutil.vbs set w3svc/LogExtFileProtocolVersion "False"
REM csript adsutil.vbs set w3svc/ServerListenBacklog "1000"
REM csript adsutil.vbs set w3svc/MaxEndPointConnections "1000"
csript adsutil.vbs set w3svc/AspScriptFileCacheSize "1200"
csript adsutil.vbs set w3svc/AppAllowDebugging "False"
REM csript adsutil.vbs set w3svc/ServerSize "2"
csript adsutil.vbs set w3svc/ASPLOGERRORREQUESTS "1"
REM csript adsutil.vbs set w3svc/ASPSCRIPTTIMEOUT "30"
REM csript adsutil.vbs set w3svc/MAXENDPOINTCONNECTIONS "1000"
REM csript adsutil.vbs set w3svc/MAXCONNECTIONS "6000"
REM - SP1 doit être appliqué une fois certifié
services.cmd
Exit

Services.cmd

reg add "hklm\System\CurrentControlSet\Control\FileSystem\LastAccessUpdateDisabled"="1" REG_DWORD
reg update "hklm\System\CurrentControlSet\Control\FileSystem\NtfsDisable8Dot3NameCreation"="1"

reg update "hklm\System\CurrentControlSet\Services\Alerter\Start"="3"
reg update "hklm\System\CurrentControlSet\Services\Browser\Start"="3"
reg update "hklm\System\CurrentControlSet\Services\LicenseInfo\Start"="3"
reg update "hklm\System\CurrentControlSet\Services\LicenseService\Start"="3"
reg update "hklm\System\CurrentControlSet\Services\Messenger\Start"="3"
reg update "hklm\System\CurrentControlSet\Services\CertSvc\Start"="3"
reg update "hklm\System\CurrentControlSet\Services\CiSvc\Start"="3"
reg update "hklm\System\CurrentControlSet\Services\Dfs\Start"="3"
reg update "hklm\System\CurrentControlSet\Services\DhcpServer\Start"="3"
reg update "hklm\System\CurrentControlSet\Services\Dns\Start"="3"
reg update "hklm\System\CurrentControlSet\Services\Fax\Start"="3"
reg update "hklm\System\CurrentControlSet\Services\Ias\Start"="3"
REM reg update "hklm\System\CurrentControlSet\Services\IisAdmin\Start"="3"
reg update "hklm\System\CurrentControlSet\Services\ImdbServer\Start"="3"
reg update "hklm\System\CurrentControlSet\Services\Irmon\Start"="3"
reg update "hklm\System\CurrentControlSet\Services\IsmServ\Start"="3"
reg update "hklm\System\CurrentControlSet\Services\MsDtc\Start"="3"
reg update "hklm\System\CurrentControlSet\Services\MsFtpSvc\Start"="3"
reg update "hklm\System\CurrentControlSet\Services\MqAc\Start"="3"
reg update "hklm\System\CurrentControlSet\Services\MsMq\Start"="3"
reg update "hklm\System\CurrentControlSet\Services\NntpSvc\Start"="3"
reg update "hklm\System\CurrentControlSet\Services\Ntfrs\Start"="3"
reg update "hklm\System\CurrentControlSet\Services\NtMsSvc\Start"="3"
reg update "hklm\System\CurrentControlSet\Services\RasAcd\Start"="3"
reg update "hklm\System\CurrentControlSet\Services\RasAuto\Start"="3"
reg update "hklm\System\CurrentControlSet\Services\RasMan\Start"="3"
reg update "hklm\System\CurrentControlSet\Services\Remote_Storage_Engine\Start"="3"
reg update "hklm\System\CurrentControlSet\Services\Remote_Storage_File_System_Agent\Start"="3"
reg update "hklm\System\CurrentControlSet\Services\Remote_Storage_Subsystem\Start"="3"
reg update "hklm\System\CurrentControlSet\Services\Remote_Storage_User_Link\Start"="3"
reg update "hklm\System\CurrentControlSet\Services\RemoteAccess\Start"="3"
reg update "hklm\System\CurrentControlSet\Services\RemoteRegistry\Start"="3"
reg update "hklm\System\CurrentControlSet\Services\Rsvp\Start"="3"
reg update "hklm\System\CurrentControlSet\Services\Schedule\Start"="3"
reg update "hklm\System\CurrentControlSet\Services\SecLogon\Start"="3"
reg update "hklm\System\CurrentControlSet\Services\Spooler\Start"="3"
REM reg update "hklm\System\CurrentControlSet\Services\SmtpSvc\Start"="3"
REM reg update "hklm\System\CurrentControlSet\Services\Snmp\Start"="3"
REM reg update "hklm\System\CurrentControlSet\Services\SnmpTrap\Start"="3"
reg update "hklm\System\CurrentControlSet\Services\TermServLicensing\Start"="3"
reg update "hklm\System\CurrentControlSet\Services\TrkWks\Start"="3"
reg update "hklm\System\CurrentControlSet\Services\TrkSrv\Start"="3"
REM reg update "hklm\System\CurrentControlSet\Services\W3Svc\Start"="3"
reg update "hklm\System\CurrentControlSet\Services\NetBT\Parameters\EnableLMHOSTS"="0"
reg add "hklm\System\CurrentControlSet\Services\NetBT\Parameters\NodeType"="8" REG_DWORD

Dernière mise à jour le lundi 22 janvier 2001

Page Up Updated 24 septembre, 2003 Hervé Chaudret
C.N.R.S.

-   Home   -  News   -   Conseils   -   Sécurité   -   Mise à jour   -   Liens   -   Accès   -

C.N.R.S.