Centre de Recherche sur les Matériaux à Haute Température

- Home - News - Conseils - SécuritéMise à jour  -  Liens  -  Accès  -

Centre de Recherche sur les Matériaux à Haute Température
Gestion de la sécurité des serveurs Web (article Microsoft)
Dans ce chapitre, vous allez apprendre comment gérer la sécurité d’un serveur Web. Les considérations relatives à la sécurité des serveurs Web sont différentes de celles liées aux serveurs Microsoft Windows standard. Sur un serveur Web, il existe deux niveaux de sécurité :
  • La sécurité Windows Au niveau du système d'exploitation, vous créez les comptes utilisateur, vous configurez les autorisations d’accès pour les fichiers et les répertoires, et vous définissez les stratégies.
  • La sécurité IIS Au niveau de IIS (Internet Information Services), vous définissez les autorisations de contenu, les contrôles d’authentification et les privilèges opérateur.

La sécurité Windows et la sécurité IIS peuvent être totalement intégrées. Le modèle de sécurité intégrée permet l’utilisation de l’authentification basée sur l’appartenance aux utilisateurs et aux groupes, ainsi que l’authentification standard basée sur Internet. Elle permet d’utiliser un modèle d’autorisation en couches pour déterminer les droits et autorisations d’accès au contenu. Avant que les utilisateurs puissent accéder aux fichiers et aux répertoires, vous devez vous assurer que les utilisateurs et groupes appropriés disposent d’un accès au niveau du système d'exploitation. Vous devez ensuite définir des autorisations de sécurité IIS qui octroient des autorisations pour le contenu contrôlé par IIS.

L’étude sur la sécurité proposée dans ce chapitre servira de point de départ pour l’étude de la sécurité d’autres ressources IIS, notamment les protocoles FTP (File Transfer Protocol), SMTP (Simple Mail Transfer Protocol) et NNTP (Network News Transfer Protocol). Les autres études aborderont différents aspects, plutôt que de couvrir les sujets déjà abordés dans ce chapitre.

Sommaire

Gestion de la sécurité Windows

Avant de définir les autorisations de sécurité IIS, vous utilisez les paramètres de sécurité du système d'exploitation pour exécuter les tâches suivantes :

  • créer et gérer des comptes pour les utilisateurs et les groupes ;
  • configurer les autorisations d’accès aux fichiers et aux dossiers ;
  • définir des stratégies de groupe pour les utilisateurs et les groupes.

Chacun de ces sujets est étudié dans les sections qui suivent.

Utilisation de comptes d’utilisateur et de groupes

Microsoft Windows 2000 offre des comptes utilisateur et des comptes de groupes. Les comptes utilisateur déterminent les autorisations et les privilèges des individus. Les comptes de groupes déterminent les autorisations et les privilèges de plusieurs utilisateurs.

Notions fondamentales sur les utilisateurs et les groupes IIS

Les comptes d’utilisateurs et de groupes peuvent être définis au niveau de l’ordinateur local ou du domaine. Les comptes locaux sont propres à un ordinateur particulier et ne sont pas valides sur d’autres ordinateurs ou dans un domaine, excepté si vous accordez des autorisations spécifiques. Les comptes de domaine, à l’inverse, sont valides dans l’ensemble d’un domaine, ce qui permet de rendre les ressources du domaine disponibles pour ces comptes. En général, vous utiliserez les comptes en fonction de vos besoins :

  • Utilisez les comptes locaux lorsque vos serveurs IIS ne font pas partie d’un domaine ou que vous souhaitez limiter l’accès à un ordinateur particulier.
  • Utilisez les comptes de domaine lorsque les serveurs font partie d’un domaine Windows et que vous souhaitez autoriser des utilisateurs à accéder aux ressources de ce domaine.

Les comptes utilisateur importants sur les serveurs IIS sont les suivants :

  • Système local Par défaut, tous les utilisateurs de IIS et du service d’indexation se connectent à l’aide du compte système local. Cela permet aux services d’interagir avec le système d'exploitation.
  • IUSR_Nom_ordinateur Compte Invité Internet permettant aux utilisateurs anonymes d’accéder aux sites Internet. Si ce compte est désactivé ou verrouillé, les utilisateurs anonymes ne pourront pas accéder aux services Internet.
  • IWAM_Nom_ordinateur Compte Application Web utilisé pour exécuter les applications hors processus. Si ce compte est désactivé ou verrouillé, les applications hors processus ne pourront pas démarrer.

Les comptes Invité Internet et Application Web sont membres du groupe Invités et disposent d’un mot de passe qui n’expire jamais et qui ne peut pas être modifié par les utilisateurs. Vous pouvez apporter des modifications à ces comptes si nécessaire. Afin d’augmenter la sécurité, vous pouvez configurer IIS pour qu’il utilise d’autres comptes que les comptes standard fournis. Vous pouvez également créer des comptes supplémentaires.

Gestion des comptes d’ouverture de session de IIS et du service d’indexation

IIS et le service d’indexation utilisent le compte système local pour ouvrir une session sur le serveur. L’utilisation du compte système local permet aux services d’exécuter des processus système ainsi que des tâches au niveau du système. Il est vivement recommandé de ne pas modifier cette configuration, excepté pour répondre à des besoins très spécifiques ou si vous souhaitez contrôler de façon très stricte les privilèges et les droits du compte d’ouverture de session IIS. Si vous décidez de ne pas utiliser ce compte, vous pouvez reconfigurer le compte d’ouverture de session pour IIS et le service d’indexation en procédant de la façon suivante :

  1. Démarrez la console de Gestion de l’ordinateur. Cliquez sur Démarrer, sur Programmes, sur Outils d’administration, puis sur Gestion de l’ordinateur.
  2. Dans la console de Gestion de l’ordinateur, connectez-vous à l’ordinateur dont vous souhaitez gérer les services.
  3. Développez le nœud Services et applications en cliquant sur le signe plus (+) se trouvant à côté, puis sélectionnez Services.
  4. Cliquez avec le bouton droit sur le service que vous souhaitez configurer, puis cliquez sur Propriétés.
  5. Sélectionnez l’onglet Connexion, comme le montre la figure 5-1.

    Utilisez l’onglet Connexion pour configurer le compte d’ouverture de session du service

    Figure 5-1 Utilisez l’onglet Connexion pour configurer le compte d’ouverture de session du service.

  6. Sélectionnez Compte système local si le service doit ouvrir une session à l’aide du compte système (par défaut pour la plupart des services).
  7. Sélectionnez ce compte si le service doit ouvrir une session à l’aide d’un compte utilisateur spécifique. Prenez soin de taper le nom et le mot de passe d’un compte dans les champs appropriés. Utilisez le bouton Parcourir pour rechercher un compte utilisateur si nécessaire.
  8. Cliquez sur OK.

Remarque Si vous n’utilisez pas le compte système local, vous devrez attribuer des privilèges et des droits d’ouverture de session au compte utilisé. Pour en savoir plus sur les autorisations des comptes, consultez le chapitre 3, « Monitoring Processes, Services, and Events (Contrôle des processus, services et événements) », du Microsoft Windows 2000 Administrator's Pocket Consultant (en anglais).

Gestion du compte Invité Internet

Vous gérez le compte Invité Internet au niveau de sécurité IIS et au niveau de sécurité Windows. Au niveau de sécurité IIS, procédez de la façon suivante :

  • Spécifiez le compte utilisateur à utiliser pour l’accès anonyme. Normalement, l’accès anonyme est géré au niveau du site, et tous les fichiers et répertoires du site héritent des paramètres utilisés. Vous pouvez modifier ce comportement pour des fichiers et des répertoires individuels, si nécessaire.
  • Spécifiez comment est géré le mot de passe du compte utilisateur anonyme. Soit vous gérez le mot de passe, soit c’est IIS qui en assure la gestion. Vous ne devez synchroniser les mots de passe que pour les comptes utilisateur anonymes définis localement. Si le compte est défini sur un autre ordinateur, vous devez contrôler le mot de passe manuellement.

Pour modifier la configuration du compte utilisateur anonyme pour tous les sites Web et répertoires d’un serveur Web, procédez de la façon suivante :

  1. Dans le composant logiciel enfichable Internet Information Services, cliquez avec le bouton droit sur l’icône de l’ordinateur souhaité, puis cliquez sur Propriétés. La boîte de dialogue Propriétés s’affiche.
  2. Sélectionnez Service WWW dans la liste Propriétés principales, puis cliquez sur Modifier. La boîte de dialogue Propriétés principales du service WWW s’ouvre pour l’ordinateur.
  3. Sélectionnez l’onglet Sécurité de répertoire ou Sécurité de fichier, puis cliquez sur Modifier dans le panneau Accès anonyme et contrôle d'authentification.

    Remarque Lorsque l’accès anonyme est activé, les utilisateurs n’ont pas besoin d’utiliser un nom d’utilisateur et un mot de passe pour ouvrir une session. IIS ouvre automatiquement une session pour l’utilisateur à l’aide des informations du compte anonyme spécifiées pour la ressource. Si la case à cocher Accès anonyme n’est pas activée, la ressource est configurée pour permettre l’accès par les comptes nommés uniquement. Vous pouvez activer l’accès anonyme en activant cette case à cocher. Cependant, vous ne devez faire cela que si vous êtes certain que la ressource ne doit pas être protégée.

  4. Le champ Nom d’utilisateur spécifie le compte utilisé pour l’accès anonyme à la ressource. Si vous le souhaitez, tapez le nom du compte que vous souhaitez utiliser à la place du compte existant, ou cliquez sur Parcourir pour afficher la boîte de dialogue Sélection de : Utilisateur.
  5. La case à cocher Autoriser la vérification de mot de passe par IIS détermine si IIS contrôle le mot de passe pour le compte d’accès anonyme, ou si c’est vous qui le contrôlez. Dans la plupart des cas, vous laisserez IIS contrôler le compte si celui-ci est défini sur le système local. Dans ce cas, activez cette case à cocher. Dans le cas contraire, désactivez-la et tapez le mot de passe pour le compte d’accès anonyme.
  6. Cliquez deux fois sur OK, puis cliquez de nouveau sur OK pour enregistrer les modifications.

Pour modifier la configuration du compte utilisateur anonyme au niveau du site, des répertoires ou des fichiers, procédez de la façon suivante :

  1. Dans le composant logiciel enfichable Internet Information Services, cliquez avec le bouton droit sur le site Web, le répertoire ou le fichier souhaité, puis cliquez sur Propriétés.
  2. Suivez les étapes 3 à 6 de la liste précédente.

Au niveau de la sécurité Windows, effectuez toutes les autres tâches de gestion des comptes, telles que :

  • Activation ou désactivation des comptes
  • Déverrouillage du compte après son verrouillage
  • Modification de l’appartenance aux groupes

Pour en savoir plus sur l’utilisation des comptes d’utilisateurs et de groupes, consultez le chapitre 7, « Understanding User and Group Accounts (Compréhension des comptes d’utilisateurs et de groupes) », le chapitre 8, « Creating User and Group Accounts (Création de comptes d’utilisateurs et de groupes) » et le chapitre 9, « Managing Existing User and Group Accounts (Gestion des comptes d’utilisateurs et de groupes existants) », du Microsoft Windows 2000 Administrator's Pocket Consultant (en anglais).

Gestion du compte Application Web

Vous gérez le compte Application Web uniquement au niveau de sécurité IIS et au niveau de sécurité Windows. Au niveau de sécurité IIS, vous utilisez le composant logiciel enfichable Services de composants pour spécifier le compte utilisé par les applications hors processus (regroupées ou isolées). Les applications regroupées utilisent toutes le même compte. Les applications isolées peuvent chacune utiliser un compte différent.

Vous pouvez accéder au composant logiciel enfichable Services de composants en procédant de la façon suivante :

  1. Ouvrez la boîte de dialogue Exécuter en cliquant sur Démarrer, puis en cliquant sur Exécuter.
  2. Tapez MMC dans le champ Ouvrir, puis cliquez sur OK. La console MMC (Microsoft Management Console) s’ouvre.
  3. Dans MMC, cliquez sur Console, puis cliquez sur Ajouter/Supprimer un composant logiciel enfichable. La boîte de dialogue Ajouter/Supprimer un composant logiciel enfichable s’ouvre.
  4. Sous l'onglet Autonome, cliquer sur Ajouter.
  5. Dans la boîte de dialogue Ajout d'un composant logiciel enfichable autonome, cliquez sur Services de composants, puis sur Ajouter.
  6. Fermez la boîte de dialogue Ajout d'un composant logiciel enfichable autonome en cliquant sur Fermer, puis cliquez sur OK.

Une fois que vous avez démarré le composant logiciel enfichable Services de composants, vous pouvez gérer le compte pour les applications regroupées, en procédant de la façon suivante :

  1. Développez le nœud Services de composants en cliquant sur le signe plus (+) se trouvant à côté. Vous devez maintenant voir le nœud Ordinateurs.
  2. Si vous vous connectez à un ordinateur distant, cliquez avec le bouton droit sur Ordinateurs, pointez sur Nouveau, puis sélectionnez Ordinateur. Tapez le nom de l’ordinateur que vous souhaitez gérer, puis cliquez sur OK. Si vous ne connaissez pas le nom de l’ordinateur, cliquez sur Parcourir, puis utilisez la boîte de dialogue Sélection de : Ordinateur pour sélectionner un ordinateur.
  3. Développez le nœud de l’ordinateur, puis le nœud Applications COM+.
  4. Cliquez avec le bouton droit sur IIS Out-Of-Process Pooled Applications, sélectionnez Propriétés, puis sélectionnez l’onglet Identité.
  5. Comme le montre la figure 5-2, sélectionnez Cet utilisateur, puis dans le champ Utilisateur, tapez le nom du compte que vous souhaitez utiliser à la place du compte existant, ou cliquez sur Parcourir pour afficher la boîte de dialogue Sélectionner Utilisateur ou Groupe.
  6. Dans les champs Mot de passe et Confirmer le mot de passe, tapez un mot de passe pour le compte.
  7. Cliquez sur OK.

Définissez l’identité du compte Application Web dans le composant logiciel enfichable Services de composants

Figure 5-2 Définissez l’identité du compte Application Web dans le composant logiciel enfichable Services de composants.

La gestion de l’identité d’un compte pour les applications isolées utilise une technique similaire. La seule différence réside dans le fait que, au lieu de cliquer avec le bouton droit sur IIS Out-Of-Process Pooled Applications, vous cliquez avec le bouton droit sur l’application isolée. Chaque application isolée est répertoriée par un chemin dans la métabase, commençant par le préfixe IIS-. Par exemple, si vous avez créé une application isolée sur le site Web par défaut et qu’elle se trouve dans /Apps/Data, l’entrée associée sera nommée IIS-{Default Web Site//Root/Apps/Data}.

Au niveau de la sécurité Windows, effectuez toutes les autres tâches de gestion des comptes pour le compte Application Web. Ces tâches sont les suivantes :

  • Activation ou désactivation du compte
  • Déverrouillage du compte après son verrouillage
  • Modification de l’appartenance aux groupes

Pour en savoir plus sur l’utilisation des comptes d’utilisateurs et de groupes, consultez le chapitre 7, « Understanding User and Group Accounts (Compréhension des comptes d’utilisateurs et de groupes) », le chapitre 8, « Creating User and Group Accounts (Création de comptes d’utilisateurs et de groupes) » et le chapitre 9, « Managing Existing User and Group Accounts (Gestion des comptes d’utilisateurs et de groupes existants) », du Microsoft Windows 2000 Administrator's Pocket Consultant (en anglais).

Utilisation des autorisations des fichiers et des dossiers

Chaque dossier et fichier utilisé par IIS peut présenter des autorisations d’accès différentes. Ces autorisations d’accès sont définies au niveau de la sécurité Windows. Les sections suivantes présentent les autorisations. Vous allez apprendre les bases, notamment comment afficher les autorisations et comment les définir.

Notions fondamentales relatives aux autorisations des fichiers et des dossiers

Les principales autorisations que vous pouvez affecter aux fichiers et aux dossiers sont résumées dans le tableau 5-1. Elles sont créées en combinant des autorisations spéciales, telles que Parcourir le dossier ou Exécuter le fichier, dans une même autorisation, plus simple à gérer. Si vous souhaitez disposer d’un contrôle plus précis sur l’accès aux fichiers ou aux dossiers, vous pouvez utiliser des autorisations avancées pour attribuer des autorisations spéciales de façon individuelle. Pour en savoir plus sur les autorisations spéciales, consultez le chapitre 13, « Data Sharing, Security, and Auditing (Partage de données, sécurité et audit) », du Microsoft Windows 2000 Administrator's Pocket Consultant (en anglais).

Tableau 5-1 Autorisations des fichiers et des dossiers utilisées par Windows 2000

Autorisation
 
Signification pour les dossiers
 
Signification pour les fichiers
 
Lecture Permet l’affichage des fichiers et des sous-dossiers Permet l’affichage ou l’accès au contenu du fichie
écriture Permet l’ajout de fichiers et de sous-dossiers Permet l’écriture dans un fichier
Lecture et exécution Permet l’affichage des fichiers et des sous-dossiers ainsi que l’exécution des fichiers ; autorisation héritée par les fichiers et les dossiers Permet l’affichage et l’accès au contenu du fichier, ainsi que l’exécution du fichier
Afficher le contenu du dossier Permet l’affichage des fichiers et des sous-dossiers ainsi que l’exécution des fichiers ; autorisation héritée par les dossiers uniquement Sans objet
Modifier Permet la lecture et l’écriture des fichiers et des sous-dossiers ; permet la suppression du dossier Permet la lecture et l’écriture du fichier ; permet la suppression du fichier
Contrôle total Permet la lecture, l’écriture, la modification et la suppression des fichiers et des sous-dossiers Permet la lecture, l’écriture, la modification et la suppression du fichier

Chaque fois que vous travaillez sur les autorisations des fichiers et des dossiers, tenez compte des éléments suivants :

  • La lecture est la seule autorisation requise pour exécuter des scripts. L’autorisation Exécution ne s’applique qu’aux fichiers exécutables.
  • L’accès en lecture est requis pour accéder à un raccourci et à sa cible.
  • Le fait de permettre à un utilisateur d’écrire dans un fichier mais pas de le supprimer n’empêche pas l’utilisateur de supprimer le contenu du fichier. L’utilisateur peut toujours supprimer le contenu.
  • Si un utilisateur dispose du contrôle total sur un dossier, il peut supprimer des fichiers du dossier indépendamment de l’autorisation dont il dispose sur ces fichiers.

Les utilisateurs et groupes suivants sont utilisés par IIS pour configurer l’accès aux fichiers et aux dossiers :

  • Administrateurs Permet aux administrateurs d’accéder aux ressources IIS.
  • CREATEUR PROPRIETAIRE Permet au compte qui a créé une ressource d’accéder à cette ressource.
  • SYSTEM Permet au système local d’accéder à la ressource.
  • Tout le monde Permet aux utilisateurs de type interactif, authentifié, réseau et accès distant d’accéder au contenu. IIS utilise ce groupe lorsque le serveur Web est membre d’un domaine Windows.
  • Utilisateurs Permet aux comptes nommés d’accéder à la ressource (y compris les comptes Invité Internet et Application Web, qui sont des comptes utilisateur). IIS utilise ce groupe lorsque le serveur Web est membre d’un groupe de travail.

Lorsque vous accordez une autorisation Lecture à ces utilisateurs et groupes, toute personne disposant d’un accès à votre site Web Internet ou intranet peut accéder aux fichiers et aux dossiers. Si vous souhaitez limiter l’accès à certains fichiers et dossiers, vous devez définir des autorisations spécifiques pour les utilisateurs et les groupes, puis utiliser l’accès authentifié plutôt que l’accès anonyme. Avec l’accès authentifié, IIS authentifie l’utilisateur avant d’accorder l’accès, puis utilise les autorisations Windows pour déterminer à quels fichiers et dossiers l’utilisateur peut accéder.

Lorsque vous évaluez les autorisations que vous pouvez utiliser pour les fichiers et les dossiers utilisés par IIS, vous devez faire référence au tableau 5-2. Ce tableau contient des instructions générales concernant l’affectation d’autorisations en fonction du type de contenu.

Tableau 5-2 Instructions générales pour les autorisations basées sur le type de contenu

Type de fichier
 
Extension de fichier
 
Autorisation
 
Scripts et exécutables CGI (Common Gateway Interface) .exe, .DLL, .cmd Tout le monde (Exécution) Administrateurs (Contrôle total) Système (Contrôle total)
Contenu dynamique .asp, .vbs, .js, .pl Tout le monde (Lecture seule) Administrateurs (Contrôle total) Système (Contrôle total)
Fichiers d’inclusion .inc, .shtm, .shtml, .stm Tout le monde (Lecture seule) Administrateurs (Contrôle total) Système (Contrôle total)
Contenu statique .txt, .rtf, .gif, .jpg, .jpeg, .htm, .html, .doc, .ppt, .xls Tout le monde (Lecture seule) Administrateurs (Contrôle total) Système (Contrôle total)

Plutôt que de définir des autorisations sur des fichiers individuels, vous devez organiser le contenu par type dans des sous-répertoires. Par exemple, si votre site Web utilise du contenu statique, dynamique et des scripts, vous pouvez créer des sous-répertoires nommés WebStatic, WebScripts et WebDynamic. Vous pouvez ensuite stocker le contenu statique, dynamique et les scripts dans ces répertoires, avant d’affecter des autorisations par répertoire.

Affichage des autorisations des fichiers et des dossiers

Vous pouvez afficher les autorisations de sécurité des fichiers et des dossiers en procédant de la façon suivante :

  1. Dans l’Explorateur Microsoft Windows, cliquez avec le bouton droit sur le fichier ou le dossier souhaité.
  2. Dans le menu contextuel, cliquez sur Propriétés, puis dans la boîte de dialogue Propriétés, sélectionnez l’onglet Sécurité.
  3. Dans la zone de liste Nom, sélectionnez l’utilisateur, le contact, l’ordinateur ou le groupe dont vous souhaitez afficher les autorisations. Si les autorisations sont grisées, cela signifie qu’elles sont héritées d’un objet parent.

Définition des autorisations des fichiers et des dossiers

Vous pouvez définir les autorisations des fichiers et des dossiers en procédant de la façon suivante :

  1. Dans l’Explorateur Windows, cliquez avec le bouton droit sur le fichier ou le dossier souhaité.
  2. Dans le menu contextuel, cliquez sur Propriétés, puis dans la boîte de dialogue Propriétés, sélectionnez l’onglet Sécurité, illustré figure 5-3.

    Utilisez l’onglet Sécurité pour configurer les autorisations de base pour le fichier ou le dossier

    Figure 5-3 Utilisez l’onglet Sécurité pour configurer les autorisations de base pour le fichier ou le dossier.

    Les utilisateurs ou les groupes qui disposent déjà d’un accès au fichier ou au dossier sont répertoriés dans la zone de liste Nom. Vous pouvez modifier les autorisations de ces utilisateurs et de ces groupes en procédant de la façon suivante :

    • Sélectionnez l’utilisateur ou le groupe à modifier.
    • Utilisez la zone de liste Autorisations pour accorder ou refuser des autorisations d’accès.

    Remarque Les autorisations héritées sont grisées. Si vous souhaitez remplacer une autorisation héritée, sélectionnez l’autorisation opposée.

  3. Cliquez sur Ajouter pour définir les autorisations des autres utilisateurs, contacts, ordinateurs ou groupes. La boîte de dialogue Sélectionnez Utilisateurs, Ordinateurs ou Groupes s’affiche, comme le montre la figure 5-4.

    Utilisez la boîte de dialogue Sélectionnez Utilisateurs, Ordinateurs ou Groupes pour sélectionner les utilisateurs, ordinateurs ou groupes pour lesquels vous souhaitez définir les autorisations d’accès. Vous pouvez utiliser les champs de cette boîte de dialogue de la façon suivante :

    • Regarder dans Cette zone de liste déroulante permet d’accéder aux noms des comptes des autres domaines. Cliquez sur Regarder dans pour afficher le domaine actuel, les domaines approuvés et les autres ressources auxquelles vous pouvez accéder. Sélectionnez Tout le répertoire pour afficher tous les noms des comptes du dossier.
    • Nom Cette colonne affiche les comptes disponibles pour le domaine ou la ressource actuellement sélectionné(e).
    • Ajouter Ce bouton ajoute les noms sélectionnés à la liste.
    • Vérifier les noms Ce bouton valide le nom des utilisateurs et des groupes entrés dans la liste de sélection. Cela est utile si vous tapez les noms manuellement et que vous souhaitez vous assurer qu’ils sont disponibles.

    Sélectionnez les utilisateurs, les ordinateurs et les groupes auxquels vous souhaitez accorder ou refuser l’accès

    Figure 5-4 Sélectionnez les utilisateurs, les ordinateurs et les groupes auxquels vous souhaitez accorder ou refuser l’accès.

  4. Dans la zone de liste Nom, sélectionnez l’utilisateur, l’ordinateur ou le groupe que vous souhaitez configurer, puis utilisez les champs de la zone Autorisations pour accorder ou refuser des autorisations. Répétez l’opération pour les autres utilisateurs, ordinateurs ou groupes.
  5. Cliquez sur OK lorsque vous avez terminé.

Utilisation de stratégies de groupe

Les stratégies de groupe sont un autre aspect de la sécurité Windows qu’il est nécessaire de comprendre. Les stratégies de groupe permettent d’automatiser les principales tâches d’administration de la sécurité et de gérer plus efficacement les ressources IIS.

Notions fondamentales relatives aux stratégies de groupe

Les stratégies de groupe permettent un contrôle centralisé des privilèges, autorisations et possibilités des utilisateurs et des ordinateurs. Vous pouvez vous représenter une stratégie comme un ensemble de règles qui peuvent être appliquées à plusieurs ordinateurs et à plusieurs utilisateurs. Dans la mesure où les ordinateurs peuvent faire partie de groupes plus étendus, plusieurs stratégies peuvent être appliquées. L’ordre selon lequel les stratégies sont appliquées est très important pour déterminer quelles règles sont appliquées et quelles règles ne le sont pas.

Lorsque plusieurs stratégies sont en place, elles sont appliquées dans l’ordre suivant :

  1. Stratégies Microsoft Windows NT 4.0 des fichiers NTCONFIG.POL
  2. Stratégies de groupe locales, qui affectent uniquement l’ordinateur local
  3. Stratégies de groupe de sites, qui affectent tous les ordinateurs membres d’un même site, lequel peut inclure plusieurs domaines
  4. Stratégies de domaine, qui affectent tous les ordinateurs d’un domaine spécifique
  5. Stratégies d’unités d'organisation, qui affectent tous les ordinateurs d’une unité d'organisation
  6. Stratégies d’unités d'organisation enfant, qui affectent tous les ordinateurs d’un sous-composant d’une unité d'organisation

à mesure que les stratégies successives sont appliquées, les règles de ces stratégies remplacent les règles définies dans la stratégie précédente. Par exemple, les paramètres des stratégies de domaines sont prioritaires par rapport aux paramètres des stratégies de groupe locales. Les exceptions vous permettent de bloquer, de remplacer et de désactiver les paramètres des stratégies ; ces exceptions ne sont pas traitées dans ce document.

Les paramètres des stratégies sont divisés en deux grandes catégories : ceux qui affectent les ordinateurs et ceux qui affectent les utilisateurs. Les stratégies concernant les ordinateurs sont appliquées lors du démarrage du système. Les stratégies concernant les utilisateurs sont appliquées lors de l’ouverture de session. Vous pouvez configurer les stratégies à l’aide du composant logiciel enfichable Stratégie de groupe. Pour accéder à ce composant logiciel enfichable pour gérer les stratégies des sites, des domaines et des unités d'organisation, procédez de la façon suivante :

  1. Pour les sites, démarrez le composant logiciel enfichable Stratégie de groupe à partir de la console Sites et services Active Directory. Ouvrez la console Sites et services Active Directory.
  2. Pour les domaines et les unités d'organisation, démarrez le composant logiciel enfichable Stratégie de groupe à partir de la console Utilisateurs et ordinateurs Active Directory. Ouvrez la console Utilisateurs et ordinateurs Active Directory.
  3. Dans la racine de la console, cliquez avec le bouton droit sur le site, le domaine ou l’unité d'organisation pour lequel (laquelle) vous souhaitez créer ou gérer une stratégie de groupe. Ensuite, à partir du menu contextuel, sélectionnez Propriétés. La boîte de dialogue Propriétés s’affiche.
  4. Dans la boîte de dialogue Propriétés, sélectionnez l’onglet Stratégie de groupe. Comme le montre la figure 5-5, les stratégies existantes sont répertoriées dans la liste Liaisons de l'objet Stratégie de groupe.
  5. Pour créer une nouvelle stratégie de groupe ou modifier une stratégie existante, cliquez sur Nouveau. Vous pouvez maintenant configurer la stratégie.
  6. Pour modifier une stratégie existante, sélectionnez-la, puis cliquez sur Modifier. Vous pouvez maintenant modifier la stratégie.
  7. Pour modifier la priorité d’une stratégie, utilisez les boutons Monter ou Descendre pour modifier sa position dans la liste Liaisons de l'objet Stratégie de groupe.

    Figure 5-5 Utilisez l’onglet Stratégie de groupe pour créer et modifier des stratégies.

Vous pouvez gérer les stratégies de groupe locales d’un ordinateur individuel en procédant de la façon suivante :

  1. Ouvrez la boîte de dialogue Exécuter en cliquant sur Démarrer, puis en cliquant sur Exécuter.
  2. Tapez MMC dans le champ Ouvrir, puis cliquez sur OK. La console MMC (Microsoft Management Console) s’ouvre.
  3. Dans MMC, cliquez sur Console, puis cliquez sur Ajouter/Supprimer un composant logiciel enfichable. La boîte de dialogue Ajouter/Supprimer un composant logiciel enfichable s’ouvre.
  4. Sous l'onglet Autonome, cliquer sur Ajouter.
  5. Dans la boîte de dialogue Ajout d'un composant logiciel enfichable autonome, cliquez sur Stratégie de groupe, puis sur Ajouter. La boîte de dialogue Sélection d'un objet Stratégie de groupe s’ouvre.
  6. Cliquez sur Ordinateur local pour modifier la stratégie locale sur votre ordinateur ou recherchez la stratégie locale sur un autre ordinateur.
  7. Cliquez sur Terminer, puis sur Fermer.
  8. Cliquez sur OK. Vous pouvez maintenant gérer la stratégie locale sur l’ordinateur sélectionné.

Les stratégies de groupe pour les mots de passe, le verrouillage des comptes et l’audit sont essentielles pour la sécurité d’un serveur Web. Les instructions relatives aux stratégies de mots de passe sont les suivantes :

  • Définissez une durée de vie minimale des mots de passe pour tous les comptes. Je recommande 2 ou 3 jours.
  • Définissez une durée de vie maximale des mots de passe pour tous les comptes. Je recommande 30 jours.
  • Définissez une longueur minimale pour les mots de passe. Je suggère de définir une longueur minimale de 8 caractères pour commencer.
  • Activez les mots de passe sécurisés en imposant des exigences de complexité des mots de passe.
  • Appliquez l’historique des mots de passe. Utilisez une valeur égale ou supérieure à 5.

Les instructions concernant les stratégies de verrouillage des comptes sont les suivantes :

  • Définissez un seuil de verrouillage des comptes. Dans la plupart des cas, les comptes doivent être verrouillés après cinq tentatives infructueuses.
  • Définissez la durée de verrouillage des comptes. Dans la plupart des cas, vous souhaiterez verrouiller les comptes pour une durée indéterminée.
  • Réinitialisez le seuil de verrouillage après 30 à 60 minutes.

Les instructions pour l’audit sont les suivantes :

  • Auditez les réussites et les échecs des événements système
  • Auditez les réussites et les échecs des événements d’ouverture de session
  • Auditez les échecs des tentatives d’accès aux objets
  • Auditez les réussites et les échecs des changements de stratégies
  • Auditez les réussites et les échecs de la gestion des comptes
  • Auditez les réussites et les échecs des ouvertures de session

Les techniques permettant de gérer ces stratégies sont examinées dans les sections qui suivent. Pour en savoir plus sur la gestion des stratégies, consultez le chapitre 4, « Automating Administrative Tasks, Policies, and Procedures (Automatisation des tâches administratives, des stratégies et des procédures) », du Microsoft Windows 2000 Administrator's Pocket Consultant (en anglais).

Configuration des stratégies de comptes pour les serveurs IIS

Vous pouvez définir des stratégies de comptes en procédant de la façon suivante :

  1. Accédez au conteneur de stratégie de groupe souhaité. Développez Configuration ordinateur, puis Paramètres Windows, Paramètres de sécurité, puis Stratégies de comptes.
  2. Comme illustré figure 5-6, vous pouvez maintenant gérer les stratégies de comptes par l’intermédiaire des nœuds Stratégie de mot de passe, Stratégie de verrouillage du compte et Stratégie Kerberos.
  3. Pour configurer une stratégie, double-cliquez dessus, ou cliquez dessus avec le bouton droit et sélectionnez Sécurité. La boîte de dialogue Propriétés s’affiche pour la stratégie.

Définissez les stratégies de mot de passe et l’utilisation générale des comptes

Figure 5-6 Définissez les stratégies de mot de passe et l’utilisation générale des comptes.

  1. Pour une stratégie locale, la boîte de dialogue Propriétés est semblable à celle illustrée figure 5-7. La stratégie en place pour l’ordinateur s’affiche, mais vous ne pouvez pas la modifier. Vous pouvez cependant modifier les paramètres de stratégie locale. Utilisez les champs pour configurer la stratégie locale. Ignorez les étapes suivantes ; celles-ci s’appliquent aux stratégies de groupe globales.

    Avec les stratégies locales, vous voyez la stratégie en place ainsi que la stratégie locale

    Figure 5-7 Avec les stratégies locales, vous voyez la stratégie en place ainsi que la stratégie locale.

  2. Pour un site, un domaine ou une unité d'organisation, la boîte de dialogue Propriétés est semblable à celle illustrée figure 5-8.
  3. Toutes les stratégies sont soit définies, soit non définies ; cela signifie que soit elles sont configurées pour être utilisées, soit elles ne le sont pas. Une stratégie qui n’est pas définie dans le conteneur actuel peut être héritée d’un autre conteneur.
  4. Activez ou désactivez la case à cocher Définir ce paramètre de stratégie pour définir si une stratégie est définie ou non.

    Les stratégies peuvent comporter des champs supplémentaires pour la configuration de la stratégie. Souvent, ces champs sont des boutons d’option intitulés Activé et Désactivé.

    • L’option Activé active la restriction de la stratégie.
    • L’option Désactivé désactive la restriction de la stratégie.

    Définissez et configurez les stratégies de groupe globales à l’aide de la boîte de dialogue Propriétés

    Figure 5-8 Définissez et configurez les stratégies de groupe globales à l’aide de la boîte de dialogue Propriétés.

Configuration des stratégies d’audit

L’audit est le meilleur moyen d’effectuer le suivi de ce qui se passe sur votre serveur IIS. Vous pouvez utiliser l’audit pour recueillir des informations relatives à l’utilisation des ressources, comme par exemple l’accès aux fichiers, l’ouverture de session sur le système ou les modifications de la configuration du système. Chaque fois qu’une action pour laquelle vous avez configuré l’audit se produit, celle-ci est écrite dans le journal de sécurité du système, dans lequel elle est stockée pour vous permettre de la consulter. Le journal de sécurité est accessible à partir de l’Observateur d’événements.

Vous pouvez définir les stratégies d’audit en procédant de la façon suivante :

  1. Accédez au conteneur de stratégie de groupe souhaité. Développez Configuration ordinateur, Paramètres Windows, Paramètres de sécurité, puis Stratégies locales. Sélectionnez ensuite Stratégie d’audit, comme le montre la figure 5-9.

    Vous avez maintenant accès aux options d’audit suivantes :

    • Auditer les événements de connexion aux comptes Effectue le suivi des événements associés aux ouvertures et fermetures de session des utilisateurs.

Définissez les stratégies d’audit à l’aide du nœud Stratégie d’audit de Stratégie de groupe

Figure 5-9 Définissez les stratégies d’audit à l’aide du nœud Stratégie d’audit de Stratégie de groupe.

    • Auditer la gestion des comptes Effectue le suivi de la gestion des comptes. Des événements sont générés chaque fois que des comptes d’utilisateurs, d’ordinateurs ou de groupes sont créés, modifiés ou supprimés.
    • Auditer l'accès au service d'annuaire Effectue le suivi de l’accès à Active Directory. Des événements sont générés chaque fois que des utilisateurs ou des ordinateurs accèdent à l’annuaire.
    • Auditer les événements de connexion Effectue le suivi des événements associés aux ouvertures et fermetures de session des utilisateurs, ainsi qu’aux connexions à distance aux systèmes du réseau.
    • Auditer l'accès aux objets Effectue le suivi de l’utilisation des ressources pour les fichiers, les répertoires, les partages, les imprimantes et les objets Active Directory.
    • Auditer les modifications de stratégie Effectue le suivi des modifications apportées aux droits des utilisateurs, à l’audit et aux relations d’approbation.
    • Auditer l'utilisation des privilèges Effectue le suivi de l’utilisation des droits et privilèges des utilisateurs, tels que le droit de sauvegarder des fichiers et des répertoires, mais n’effectue pas le suivi les ouvertures et fermetures de session du système.
    • Auditer le suivi des processus Effectue le suivi des processus système et des ressources qu’ils utilisent.
    • Auditer les événements système Effectue le suivi du démarrage, de l’arrêt et du redémarrage du système, ainsi que les actions qui affectent la sécurité du système ou le journal de sécurité.
  1. Pour configurer une stratégie d’audit, double-cliquez dessus, ou cliquez dessus avec le bouton droit et sélectionnez Sécurité. La boîte de dialogue Propriétés s’affiche pour la stratégie.
  2. Sélectionnez Définir ces paramètres de stratégie, puis activez la case à cocher Succès ou la case à cocher échec, ou les deux. La première enregistre les événements réussis, tels que les tentatives réussies d’ouverture de session. La deuxième enregistre les événements ayant échoué, tels que les échecs des tentatives d’ouverture de session.
  3. Cliquez sur OK lorsque vous avez terminé.

Gestion de la sécurité IIS

Après avoir configuré la sécurité du système d'exploitation, utilisez la sécurité IIS pour

  • configurer le serveur Web et exécuter les autorisations pour le contenu ;
  • configurer la création et l’attribution de version distribuées ;
  • configurer les méthodes d’authentification ;
  • contrôler l’accès par adresse IP ou par nom de domaine Internet ;
  • gérer les privilèges opérateur de site Web.

Chacun de ces sujets est étudié dans les sections qui suivent.

Configuration des autorisations du serveur Web

Les sites, répertoires et fichiers disposent d’autorisations dans IIS, en plus des paramètres de sécurité de Windows. Ces autorisations sont les mêmes pour tous les utilisateurs. Cela signifie que vous ne pouvez pas définir des autorisations différentes pour différents utilisateurs au niveau du contenu Web. Vous pouvez cependant créer des zones sécurisées sur votre site Web, puis utiliser les autorisations de fichiers et de dossiers de Windows pour permettre un contrôle supplémentaire.

Comprendre les autorisations du serveur Web

Les autorisations que vous affectez au contenu Web sont appliquées en combinaison avec les méthodes d’authentification et les restrictions d’accès actuellement mises en place pour la ressource. Cela signifie que les demandes des utilisateurs doivent répondre aux critères des autorisations, de l’authentification et de l’accès au contenu Web pour pouvoir être satisfaites. Rappelez-vous que tous les répertoires et fichiers du site héritent des autorisations définies au niveau du site, et que vous pouvez remplacer ces autorisations en définissant des autorisations sur les répertoires et fichiers individuels.

Les autorisations du serveur Web définissent également les actions autorisées pour WebDAV (Web Distributed Authoring And Versioning). La publication WebDAV permet aux utilisateurs distants de publier, de verrouiller et de gérer les ressources d’un serveur Web par l’intermédiaire d’une connexion HTTP (Hypertext Transfer Protocol). Windows 2000, Microsoft Office 2000 et Internet Explorer 5.0 ou ultérieur sont tous compatibles WebDAV. Si vous disposez d’applications compatibles WebDAV, utilisez les autorisations du serveur Web pour déterminer les actions autorisées pour ces applications et ces utilisateurs. Vous trouverez plus d’informations sur WebDAV dans la section « Configuration de WebDAV » de ce chapitre.

Vous pouvez définir les autorisations des serveurs Web de deux façons différentes :

  • Globalement Les autorisations globales sont configurées via la boîte de dialogue des propriétés WWW principales du serveur. Lorsque vous définissez les autorisations d’un serveur Web dans les propriétés principales, vous devez également spécifier comment ces propriétés sont héritées. Lorsqu’un site ou un répertoire présente des paramètres en conflit avec les modifications d’autorisations que vous avez effectuées, vous pouvez remplacer les autorisations du site ou du répertoire par les autorisations globales. Si vous remplacez les autorisations, les autorisations globales sont appliquées au site ou au répertoire ainsi qu’à son contenu. Si vous ne remplacez pas les autorisations, les paramètres d’origine du site ou du répertoire sont conservés.
  • Localement Les autorisations locales sont configurées au niveau du site, des répertoires ou des fichiers. Comme dans le cas des autorisations globales, les autorisations locales des sites et des répertoires peuvent être héritées. Ainsi, lorsque vous apportez des modifications qui entrent en conflit avec les autorisations existantes d’un sous-répertoire, vous pouvez remplacer les autorisations du site ou du répertoire par les autorisations locales. Si vous remplacez les autorisations, les autorisations locales sont appliquées au site ou au répertoire ainsi qu’à son contenu. Si vous ne remplacez pas les autorisations, les paramètres d’origine du site ou du répertoire sont conservés.

IIS gère l’héritage des modifications d’autorisations au niveau du nœud. Ainsi, le répertoire de plus haut niveau d’un site et les répertoires individuels d’un site sont considérés comme des nœuds distincts. Si vous appliquez des modifications au nœud d’un site, les autorisations sont appliquées au dossier racine du site ainsi qu’aux fichiers de ce dossier. Les modifications ne sont pas appliquées aux sous-répertoires du site, excepté si vous spécifiez le contraire.

Configuration globale des autorisations du serveur Web

Pour gérer de façon globale les autorisations du serveur Web, procédez de la façon suivante :

  1. Dans le composant logiciel enfichable Internet Information Services, cliquez avec le bouton droit sur l’icône de l’ordinateur souhaité, puis cliquez sur Propriétés. La boîte de dialogue Propriétés s’affiche.
  2. Sélectionnez Service WWW dans la liste Propriétés principales, puis cliquez sur Modifier. La boîte de dialogue Propriétés principales du service WWW s’ouvre pour l’ordinateur.

    Comme le montre la figure 5-10, sélectionnez l’onglet Répertoire de base, puis utilisez les champs suivants pour définir les autorisations du serveur Web dont vous souhaitez faire hériter les sites et les répertoires de cet ordinateur :

    • Exploration de répertoire Permet aux utilisateurs d’afficher une liste de fichiers et de sous-répertoires dans le répertoire désigné.
    • Indexer cette ressource Permet au service d’indexation d’indexer la ressource. L’indexation permet aux utilisateurs d’effectuer une recherche par mot clé afin de trouver des informations contenues dans la ressource.
    • Accès au journal Autorisation utilisée avec l’enregistrement dans le journal du serveur pour consigner les demandes liées aux fichiers de la ressource.
    • Lecture Permet aux utilisateurs d’afficher la ressource. Pour un répertoire, cette autorisation accorde à l’utilisateur l’accès au répertoire. Pour un fichier, cela signifie que l’utilisateur peut lire le fichier et l’afficher.
    • Accès à la source du script Permet aux utilisateurs d’accéder au code source, notamment les scripts des pages ASP. Si l’autorisation Lecture est également sélectionnée, les utilisateurs pourront lire le fichier source. Si l’autorisation écriture est également sélectionnée, les utilisateurs pourront écrire dans le fichier source.

      Utilisez la boîte de dialogue Propriétés pour configurer les autorisations du serveur Web

      Figure 5-10 Utilisez la boîte de dialogue Propriétés pour configurer les autorisations du serveur Web.

      Attention Soyez prudent lorsque vous accordez cette autorisation sur les serveurs de production qui se trouvent sur Internet. Avec cette autorisation, n’importe quel utilisateur peut lire le contenu de vos scripts, ce qui peut ouvrir vos serveurs aux utilisateurs malveillants. Pour cette raison, vous devez uniquement activer cette fonctionnalité dans un répertoire qui nécessite que les utilisateurs s’authentifient pour pouvoir accéder au répertoire.

    • écriture Permet aux utilisateurs de modifier la ressource. Pour un répertoire, cette autorisation permet à l’utilisateur de créer ou de publier des fichiers. Pour un fichier, cette autorisation permet à l’utilisateur de modifier le contenu.

      Attention L’autorisation d’écriture ne doit être accordée qu’à un nombre limité de ressources. Si possible, vous devez créer des sous-répertoires distincts qui contiennent uniquement des fichiers accessibles en écriture, ou vous devez autoriser l’écriture dans les fichiers individuels plutôt que dans des répertoires entiers. Pour exécuter des fichiers d’application, vous devez affecter une autorisation Lecture à tous les fichiers utilisés par l’application ou au site ou répertoire utilisé pour stocker ces fichiers. Si l’application publie des données dans un fichier du site, vous devez également accorder l’autorisation écriture (mais vous devez limiter cette autorisation à un fichier ou un répertoire spécifique).

    Si la ressource sélectionnée fait partie d’une application IIS, vous pouvez également définir le niveau d’exécution du programme autorisé pour l’application. Pour ce faire, utilisez la liste Exécuter les autorisations pour choisir une des options suivantes :

    • Aucune Seuls les fichiers statiques, tels que les fichiers .html ou .gif, sont accessibles.
    • Scripts seulement Seuls les scripts, tels que les scripts ASP, peuvent être exécutés.
    • Scripts et exécutables Tous les types de fichiers sont accessibles et peuvent être exécutés.
  3. Cliquez sur Appliquer. Avant d’appliquer les modifications des autorisations, IIS vérifie les autorisations existantes pour tous les sites Web et répertoires des sites Web. Chaque fois qu’un site ou un nœud de répertoire utilise une valeur différente pour une autorisation, une boîte de dialogue Héritages outrepassés s’affiche. Utilisez cette boîte de dialogue pour sélectionner les nœuds de site et de répertoire, qui doivent utiliser la nouvelle valeur d’autorisation, puis cliquez sur OK.

Configuration locale des autorisations du serveur Web

Pour définir les autorisations de contenu d’un site, d’un répertoire ou d’un fichier, procédez de la façon suivante :

  1. Dans le composant logiciel enfichable Internet Information Services, cliquez avec le bouton droit sur le site, le répertoire ou le fichier souhaité, puis cliquez sur Propriétés.

    Sélectionnez l’onglet Répertoire de base, Répertoire ou Répertoire virtuel. La boîte de dialogue illustrée figure 5-11 s’affiche. Utilisez ensuite les champs suivants pour définir les autorisations pour la ressource sélectionnée :

    • Exploration de répertoire Permet aux utilisateurs d’afficher une liste de fichiers et de sous-répertoires dans le répertoire désigné.

      Utilisez la boîte de dialogue Propriétés pour configurer les autorisations du serveur Web

      Figure 5-11 Utilisez la boîte de dialogue Propriétés pour configurer les autorisations du serveur Web.

    • Indexer cette ressource Permet au service d’indexation d’indexer la ressource. L’indexation permet aux utilisateurs d’effectuer une recherche par mot clé afin de trouver des informations contenues dans la ressource.
    • Accès au journal Autorisation utilisée avec l’enregistrement dans le journal du serveur pour consigner les demandes liées aux fichiers de la ressource.
    • Lecture Permet aux utilisateurs d’afficher la ressource. Pour un répertoire, cette autorisation accorde à l’utilisateur l’accès au répertoire. Pour un fichier, cela signifie que l’utilisateur peut lire le fichier et l’afficher.
    • Accès à la source du script Permet aux utilisateurs d’accéder au code source, notamment les scripts des pages ASP. Si l’autorisation Lecture est également sélectionnée, les utilisateurs pourront lire le fichier source. Si l’autorisation écriture est également sélectionnée, les utilisateurs pourront écrire dans le fichier source.

      Attention Soyez prudent lorsque vous accordez cette autorisation sur les serveurs de production qui se trouvent sur Internet. Avec cette autorisation, n’importe quel utilisateur peut lire le contenu de vos scripts, ce qui peut ouvrir vos serveurs aux utilisateurs malveillants. Pour cette raison, vous devez uniquement activer cette fonctionnalité dans un répertoire qui nécessite que les utilisateurs s’authentifient pour pouvoir accéder au répertoire.

    • écriture Permet aux utilisateurs de modifier la ressource. Pour un répertoire, cette autorisation permet à l’utilisateur de créer ou de publier des fichiers. Pour un fichier, cette autorisation permet à l’utilisateur de modifier le contenu.

      Attention L’autorisation d’écriture ne doit être accordée qu’à un nombre limité de ressources. Si possible, vous devez créer des sous-répertoires distincts qui contiennent uniquement des fichiers accessibles en écriture, ou vous devez autoriser l’écriture dans les fichiers individuels plutôt que dans des répertoires entiers. Pour exécuter des fichiers d’application, vous devez affecter une autorisation Lecture à tous les fichiers utilisés par l’application ou au site ou répertoire utilisé pour stocker ces fichiers. Si l’application publie des données dans un fichier du site, vous devez également accorder l’autorisation écriture (mais vous devez limiter cette autorisation à un fichier ou un répertoire spécifique).

    Si la ressource sélectionnée fait partie d’une application IIS, vous pouvez également définir le niveau d’exécution du programme autorisé pour l’application. Pour ce faire, utilisez la liste Exécuter les autorisations pour choisir une des options suivantes :

    • Aucune Seuls les fichiers statiques, tels que les fichiers .html ou .gif, sont accessibles.
    • Scripts seulement Seuls les scripts, tels que les scripts ASP, peuvent être exécutés.
    • Scripts et exécutables Tous les types de fichiers sont accessibles et peuvent être exécutés.
  2. Cliquez sur Appliquer. Avant d’appliquer les modifications des autorisations, IIS vérifie les autorisations existantes pour tous les sites Web et répertoires des sites Web. Chaque fois qu’un site ou un nœud de répertoire utilise une valeur différente pour une autorisation, une boîte de dialogue Héritages outrepassés s’affiche. Utilisez cette boîte de dialogue pour sélectionner les nœuds de site et de répertoire, qui doivent utiliser la nouvelle valeur d’autorisation, puis cliquez sur OK.

Configuration de WebDAV

WebDAV est une extension du protocole HTTP 1.1 qui permet aux utilisateurs distants de gérer les ressources d’un serveur Web. Grâce à WebDAV, les clients peuvent

  • exécuter des opérations standard sur les fichiers, telles que couper, copier et coller ;
  • créer et modifier des fichiers et leurs propriétés au niveau du système d'exploitation ;
  • créer et modifier des répertoires et leurs propriétés au niveau du système d'exploitation ;
  • verrouiller et déverrouiller des ressources pour autoriser une seule personne à modifier une ressource tout en autorisant plusieurs utilisateurs à lire la ressource ;
  • rechercher le contenu et les propriétés des fichiers d’un répertoire.

étant donné que WebDAV est intégré à IIS, tous les répertoires du site Web de votre serveur IIS sont accessibles pour la création et l’attribution de version distribuées. Cela facilite l’accès et la publication de documents sur votre serveur IIS.

Autorisation de création et d’attribution de version distribuées

Vous pouvez contrôler les actions autorisées pour l’application WebDAV à l’aide des autorisations standard des serveurs Web. Les autorisations du serveur Web qui s’appliquent directement à WebDAV sont les suivantes :

  • Exploration de répertoire Permet aux clients WebDAV d’afficher le contenu des répertoires.
  • Indexer cette ressource Si votre serveur Web exécute le service d’indexation, les clients WebDAV peuvent rechercher dans le répertoire à l’aide d’utilitaires de recherche spéciaux.
  • Lecture Permet aux clients WebDAV d’afficher et d’exécuter les fichiers et sous-répertoires du répertoire WebDAV.
  • Accès à la source du script Permet aux clients WebDAV de télécharger les fichiers source des scripts.
  • écriture Permet aux clients WebDAV de créer des fichiers ou répertoires et d’écrire dans les fichiers existants.

Pour publier dans un répertoire et afficher la liste des fichiers de ce répertoire, les utilisateurs ont besoin des autorisations d’accès Lecture, écriture et Exploration. Si les utilisateurs doivent mettre à jour des fichiers de script, vous devez également accorder l’autorisation Accès à la source du script. Pour protéger le contenu de votre site Web, vous devez accorder ces autorisations uniquement pour les répertoires qui imposent aux utilisateurs de s’authentifier. Par exemple, vous pouvez créer un répertoire nommé ForPublishing, puis configurer des autorisations sur ce répertoire, de sorte que l’accès anonyme ne soit pas autorisé, puis configurer les autorisations nécessaires pour la création et la publication (Lecture, écriture et Exploration).

Lorsque vous autorisez l’accès à la source des scripts, vous devez vous assurer que votre code source et vos exécutables sont protégés. Toute extension désignée dans la section Mappages d'application du site est considérée comme un fichier source du script. Les fichiers comportant des extensions qui ne sont pas mappées sont considérés comme des fichiers statiques de type texte ou .html. Les fichiers comportant l’extension .DLL ou .exe sont également considérés comme des fichiers statiques, excepté lorsque l’autorisation Scripts et exécutables est définie, ce qui signifie qu’ils peuvent être remplacés même lorsque l’autorisation Accès à la source du script n’est pas activée. Lorsque l’autorisation Scripts et exécutables est définie, les fichiers .DLL et .exe ne sont pas considérés comme des fichiers statiques, mais comme des fichiers exécutables ; ils ne peuvent alors être remplacés que lorsque l’autorisation Accès à la source du script est activée.

Accès à des documents et publication de documents avec WebDAV

Windows 2000 et Office 2000 sont tous deux compatibles WebDAV, ce qui signifie que vous pouvez vous connecter facilement à des répertoires Web sur des serveurs IIS. Dans Windows 2000, vous pouvez vous connecter à un répertoire Web sur un serveur IIS en procédant de la façon suivante :

  1. Double-cliquez sur l’icône Favoris réseau de votre bureau, puis double-cliquez sur Ajout d'un Favori réseau. L’Assistant Ajout d'un Favori réseau démarre.
  2. Dans l’Assistant Ajout d'un Favori réseau, tapez l’URL du répertoire WebDAV auquel vous souhaitez vous connecter, tel que http://www.microsoft.com/france/.
  3. Cliquez sur Suivant, puis tapez une description pour le répertoire.
  4. Lorsque vous terminez le processus en cliquant sur Terminer, Windows 2000 accède automatiquement au répertoire. La prochaine fois que vous souhaitez accéder au répertoire, double-cliquez sur Favoris réseau sur le bureau, puis double-cliquez sur le dossier du répertoire.

Lorsque vous avez créé un favori réseau pour le répertoire WebDAV, vous pouvez facilement publier des documents dans ce répertoire à partir de Office 2000. Créez simplement un document dans n’importe quelle application Office 2000, puis procédez de la façon suivante :

  1. Dans le menu Fichier, cliquez sur Enregistrer sous, puis dans la colonne de gauche de la boîte de dialogue Enregistrer sous, cliquez sur Favoris réseau.
  2. Sélectionnez le raccourci du répertoire WebDAV que vous souhaitez utiliser, ou taper l’URL, puis cliquez sur OK.

Vous pouvez également vous connecter aux répertoires WebDAV via Internet Explorer 5.0 sur les systèmes d'exploitation Microsoft Windows 95, Microsoft Windows 98, Windows NT 4.0 ou Windows 2000. Procédez simplement de la façon suivante :

  1. Démarrez Internet Explorer 5.0 ou version ultérieure, puis affichez la boîte de dialogue Ouvrir en cliquant sur Ouvrir dans le menu Fichier.
  2. Dans la boîte de dialogue Ouvrir, tapez l’URL du répertoire WebDAV auquel vous souhaitez vous connecter, tel que http://www.microsoft.com/france/.
  3. Activez la case à cocher Ouvrir en tant que dossier Web, puis cliquez sur OK.

Configuration des modes d’authentification

Les modes d’authentification contrôlent l’accès aux ressources IIS. Vous pouvez utiliser l’authentification pour permettre l’accès anonyme aux ressources publiques, pour créer des zones sécurisées dans un site Web et pour créer des sites Web à accès contrôlé. Lorsque l’authentification est activée, IIS utilise les informations d’identification du compte fournies par un utilisateur pour déterminer si l’utilisateur peut ou non accéder à une ressource, et pour déterminer quelles autorisations ont été accordées à l’utilisateur.

Comprendre l’authentification

Quatre modes d’authentification sont disponibles. Ce sont les suivants :

  • Authentification anonyme Avec l’authentification anonyme, IIS connecte automatiquement les utilisateurs avec un compte anonyme ou invité. Cela permet aux utilisateurs d’accéder aux ressources sans être invités à saisir un nom d’utilisateur et un mot de passe.
  • Authentification de base Avec l’authentification de base, les utilisateurs sont invités à saisir des informations d’identification. Lorsque ces informations sont saisies, elles sont transmises sans cryptage via le réseau. Si vous avez configuré des communications sécurisées sur le serveur, comme indiqué dans la section « Utilisation de SSL » du chapitre 6, « Gestion des services de certificats Microsoft et de SSL », vous pouvez imposer aux clients d’utiliser le protocole SSL (Secure Sockets Layer). Lorsque vous utilisez SSL avec l’authentification de base, les informations d’identification sont cryptées avant leur transmission.
  • Authentification intégrée de Windows Avec l’authentification intégrée de Windows, IIS utilise la sécurité Windows standard pour valider l’identité de l’utilisateur. Plutôt que d’inviter les utilisateurs à saisir un nom d’utilisateur et un mot de passe, les clients envoient les informations d’identification fournies par les utilisateurs lorsqu’ils ouvrent une session sous Windows. Ces informations d’identification sont totalement cryptées sans le protocole SSL, et elles incluent le nom d’utilisateur et le mot de passe requis pour l’ouverture de session sur le réseau. Seuls les navigateurs Internet Explorer prennent en charge cette fonctionnalité.
  • Authentification Digest Avec l’authentification Digest, les informations d’identification des utilisateurs sont transmises de façon sécurisée entre les clients et les serveurs. L’authentification Digest est une fonctionnalité du protocole HTTP 1.1 qui utilise une technique qui ne peut pas être facilement interceptée et décryptée. Cette fonctionnalité est disponible uniquement lorsque le serveur IIS est un contrôleur de domaine et que la demande a été faite par Internet Explorer 5.0 ou ultérieur.

Par défaut, l’authentification anonyme et l’authentification intégrée de Windows sont activées pour les ressources IIS. Ainsi, le processus d’authentification par défaut se passe globalement de la façon suivante :

  1. IIS tente d’accéder à la ressource à l’aide du compte Invité Internet. Si celui-ci dispose des autorisations d’accès appropriées, l’utilisateur peut accéder à la ressource.
  2. Si la validation des informations d’identification échoue ou que le compte est désactivé ou verrouillé, IIS tente d’utiliser les informations d’identification du compte actuel de l’utilisateur. Si les informations d’identification peuvent être validées et que l’utilisateur dispose des autorisations d’accès appropriées, l’utilisateur peut accéder à la ressource.
  3. Si la validation échoue ou que l’utilisateur ne dispose pas des autorisations d’accès appropriées, l’utilisateur se voit refuser l’accès à la ressource.

Comme dans le cas des autorisations de serveur Web, vous pouvez appliquer l’authentification de façon globale ou locale. Les modes d’authentification globale sont configurés à l’aide des propriétés WWW principales. Les modes d’authentification locale sont définis par l’intermédiaire des propriétés du site, des répertoires ou des fichiers. Chaque fois que vous apportez des modifications qui entrent en conflit avec les paramètres existants, IIS affiche une boîte de dialogue qui vous permet de spécifier quelles ressources héritent du nouveau paramètre.

Avant de commencer à travailler avec les modes d’authentification, tenez compte des éléments suivants :

  • Lorsque vous combinez l’accès anonyme et l’accès authentifié, les utilisateurs disposent d’un accès complet aux ressources accessibles via le compte Invité Internet. Si ce compte n’a pas accès à une ressource, IIS tente d’authentifier l’utilisateur à l’aide des techniques d’authentification que vous avez spécifiées. Si ces méthodes d’authentification échouent, l’utilisateur se voit refuser l’accès à la ressource.
  • Lorsque vous désactivez l’accès anonyme, vous indiquez à IIS que toutes les demandes des utilisateurs doivent être authentifiées à l’aide des modes d’authentification que vous avez spécifiés. Une fois que l’utilisateur est authentifié, IIS utilise les informations d’identification du compte de l’utilisateur pour déterminer les droits d’accès.
  • Lorsque vous combinez l’authentification de base et l’authentification intégrée ou Digest, Internet Explorer tente d’utiliser l’authentification intégrée de Windows ou l’authentification Digest avant d’utiliser l’authentification de base. Cela signifie que les utilisateurs qui peuvent être authentifiés à l’aide des informations d’identification de leur compte ne seront pas invités à saisir un nom d’utilisateur ou un mot de passe.

En outre, pour pouvoir utiliser l’authentification Digest, vous devez activer le cryptage réversible des mots de passe pour chaque compte qui se connectera au serveur à l’aide de cette technique d’authentification. IIS et le navigateur Web de l’utilisateur utilisent le cryptage réversible pour gérer la transmission et le décryptage sécurisés des informations de l’utilisateur. Pour activer le cryptage réversible, procédez de la façon suivante :

  1. Démarrez Utilisateurs et ordinateurs Active Directory. Cliquez sur Démarrer, pointez sur Programmes, sur Outils d’administration, puis cliquez sur Utilisateurs et ordinateurs Active Directory.
  2. Double-cliquez sur le nom d’utilisateur que vous souhaitez utiliser avec l’authentification Digest.
  3. Dans Options de compte, cliquez sur Enregistrer le mot de passe en utilisant un cryptage réversible.
  4. Cliquez sur OK. Répétez les étapes 1 à 4 pour chaque compte avec lequel vous souhaitez utiliser l’authentification Digest.

Activation et désactivation de l’authentification

Vous pouvez activer ou désactiver l’accès anonyme aux ressources au niveau du serveur, du site, des répertoires ou des fichiers. Si vous activez l’accès anonyme, les utilisateurs peuvent accéder aux ressources sans avoir à s’authentifier (sous réserve que les autorisations Windows de la ressource le permettent). Si vous désactivez l’accès anonyme, les utilisateurs doivent s’authentifier avant d’accéder aux ressources. L’authentification peut être automatique ou manuelle, selon le navigateur utilisé et les informations d’identification précédemment saisies par l’utilisateur.

Vous pouvez activer ou désactiver l’authentification au niveau du serveur en procédant de la façon suivante :

  1. Dans le composant logiciel enfichable Internet Information Services, cliquez avec le bouton droit sur l’icône de l’ordinateur souhaité, puis cliquez sur Propriétés. La boîte de dialogue Propriétés s’affiche.
  2. Sélectionnez Service WWW dans la liste Propriétés principales, puis cliquez sur Modifier. La boîte de dialogue Propriétés principales du service WWW s’ouvre pour l’ordinateur.
  3. Sélectionnez l’onglet Sécurité de répertoire, puis cliquez sur Modifier dans le panneau Accès anonyme et contrôle d'authentification. La boîte de dialogue Méthodes d’authentification s’affiche, comme le montre la figure 5-12.

    Utilisez la boîte de dialogue Méthodes d’authentification

    Figure 5-12 Utilisez la boîte de dialogue Méthodes d’authentification pour activer ou désactiver les méthodes d’authentification afin de répondre aux exigences de votre organisation. Avec l’authentification de base, il est souvent utile de définir également un domaine par défaut.

  4. Pour activer l’accès anonyme, activez la case à cocher Accès anonyme. Pour désactiver l’accès anonyme, désactivez cette case à cocher.
  5. Activez ou désactivez la case à cocher Authentification de base (le mot de passe est envoyé en texte clair) pour activer ou désactiver cette méthode d’authentification. Si vous désactivez l’authentification de base, tenez compte du fait que cela risque d’empêcher certains clients d’accéder à distance aux ressources. Les clients ne peuvent ouvrir une session que lorsque vous activez une méthode d’authentification qu’ils prennent en charge.
  6. Aucun domaine par défaut n’est défini automatiquement. Si vous activez l’authentification de base, vous pouvez choisir de définir un domaine par défaut qui doit être utilisé lorsque aucune information de domaine n’est fournie lors du processus d’ouverture de session. La définition du domaine par défaut est utile lorsque vous souhaitez vous assurer que les clients seront authentifiés correctement.
  7. Activez ou désactivez la case à cocher Authentification Digest pour les serveurs de domaine Windows pour activer ou désactiver cette méthode d’authentification. Si l’ordinateur avec lequel vous travaillez n’est pas un contrôleur de domaine, cette option n’est pas disponible.
  8. Activez ou désactivez la case à cocher Authentification intégrée de Windows pour activer ou désactiver cette méthode d’authentification.
  9. Cliquez sur OK. Avant d’appliquer les modifications, IIS vérifie les méthodes d’authentification existantes pour tous les sites Web et répertoires des sites Web. Si un site ou un nœud de répertoire utilise une valeur différente, une boîte de dialogue Héritages outrepassés s’affiche. Utilisez cette boîte de dialogue pour sélectionner les nœuds de site et de répertoire qui doivent utiliser le nouveau paramètre, puis cliquez sur OK.

Vous pouvez activer ou désactiver l’authentification au niveau du site, des répertoires ou des fichiers en procédant de la façon suivante :

  1. Dans le composant logiciel enfichable Internet Information Services, cliquez avec le bouton droit sur le site, le répertoire ou le fichier souhaité, puis cliquez sur Propriétés. La boîte de dialogue Propriétés s’affiche.
  2. Sélectionnez l’onglet Sécurité de répertoire, puis cliquez sur Modifier dans le panneau Accès anonyme et contrôle d'authentification. La boîte de dialogue Méthodes d’authentification s’affiche, comme illustré précédemment dans la figure 5-12.
  3. Pour activer l’accès anonyme, activez la case à cocher Accès anonyme. Pour désactiver l’accès anonyme, désactivez cette case à cocher.
  4. Activez ou désactivez la case à cocher Authentification de base (le mot de passe est envoyé en texte clair) pour activer ou désactiver cette méthode d’authentification. Si vous désactivez l’authentification de base, tenez compte du fait que cela risque d’empêcher certains clients d’accéder à distance aux ressources. Les clients ne peuvent ouvrir une session que lorsque vous activez une méthode d’authentification qu’ils prennent en charge.
  5. Aucun domaine par défaut n’est défini automatiquement. Si vous activez l’authentification de base, vous pouvez choisir de définir un domaine par défaut qui doit être utilisé lorsque aucune information de domaine n’est fournie lors du processus d’ouverture de session. La définition du domaine par défaut est utile lorsque vous souhaitez vous assurer que les clients seront authentifiés correctement.
  6. Activez ou désactivez la case à cocher Authentification Digest pour les serveurs de domaine Windows pour activer ou désactiver cette méthode d’authentification. Si l’ordinateur avec lequel vous travaillez n’est pas un contrôleur de domaine, cette option n’est pas disponible.
  7. Activez ou désactivez la case à cocher Authentification intégrée de Windows pour activer ou désactiver cette méthode d’authentification.
  8. Cliquez sur OK. Avant d’appliquer les modifications, IIS vérifie les méthodes d’authentification existantes pour tous les nœuds enfants de la ressource sélectionnée (s’il en existe). Si un nœud enfant utilise une valeur différente, une boîte de dialogue Héritages outrepassés s’affiche. Utilisez cette boîte de dialogue pour sélectionner les nœuds de site et de répertoire qui doivent utiliser le nouveau paramètre, puis cliquez sur OK.

Configuration des restrictions d’adresse IP et de nom de domaine

Par défaut, les ressources IIS sont accessibles pour toutes les adresses IP, tous les ordinateurs et tous les domaines, ce qui présente un risque d’utilisation abusive de votre serveur. Pour contrôler l’utilisation des ressources, vous pouvez accorder ou refuser l’accès en fonction de l’adresse IP, de l’ID réseau ou du domaine. Comme pour les autres paramètres du serveur Web, les restrictions peuvent être appliquées par l’intermédiaire des propriétés WWW principales du serveur ou des propriétés de chaque site, répertoire ou fichier individuel.

  • L’octroi de l’accès permet à un ordinateur d’exécuter des demandes de ressources, mais n’autorise pas nécessairement les utilisateurs à travailler avec les ressources. Si vous imposez l’authentification, les utilisateurs devront tout de même s’authentifier.
  • Le refus de l’accès aux ressources empêche un ordinateur d’accéder à ces ressources. Ainsi, les utilisateurs de l’ordinateur ne peuvent pas accéder aux ressources, même s’ils auraient pu s’authentifier avec un nom d’utilisateur et un mot de passe.

Vous pouvez établir ou supprimer des restrictions de façon globale via les propriétés WWW principales du serveur en procédant de la façon suivante :

  1. Dans le composant logiciel enfichable Internet Information Services, cliquez avec le bouton droit sur l’icône de l’ordinateur souhaité, puis cliquez sur Propriétés. La boîte de dialogue Propriétés s’affiche.
  2. Sélectionnez Service WWW dans la liste Propriétés principales, puis cliquez sur Modifier. La boîte de dialogue Propriétés principales du service WWW s’ouvre pour l’ordinateur.
  3. Sélectionnez l’onglet Sécurité de répertoire, puis cliquez sur Modifier dans le panneau Restrictions par adresse IP et nom de domaine. La boîte de dialogue Restrictions par adresse IP et nom de domaine s’affiche, comme le montre la figure 5-13.

Vous pouvez accorder ou refuser l’accès par adresse IP, ID réseau ou domaine

Figure 5-13 Vous pouvez accorder ou refuser l’accès par adresse IP, ID réseau ou domaine.

  1. Sélectionnez « sera autorisé » pour octroyer l’accès à certains ordinateurs et refuser l’accès à d’autres.
  2. Sélectionnez « ne sera pas autorisé » pour refuser l’accès à certains ordinateurs et octroyer l’accès à d’autres.

    Créez la liste d’octroi ou de refus. Cliquez sur Ajouter, puis dans la boîte de dialogue, spécifiez Ordinateur unique, Groupe d’ordinateurs ou Nom de domaine.

    • Pour un ordinateur unique, tapez l’adresse IP de l’ordinateur, telle que 192.168.5.50.
    • Pour des groupes d’ordinateurs, tapez l’adresse de sous-réseau, telle que 192.168.0.0, puis le masque de sous-réseau, tel que 255.255.0.0.
    • Pour un nom de domaine, tapez le nom de domaine complet, tel que eng.domain.com.

      Attention Lorsque vous accordez ou refusez l’accès par domaine, IIS doit procéder à une recherche DNS (Domain Name System) inversée sur chaque connexion afin de déterminer si la connexion provient du domaine. Ces recherches inversées peuvent augmenter considérablement les temps de réponse pour la première requête envoyée à votre site par chaque utilisateur.

  3. Si vous souhaitez supprimer une entrée de la liste d’octroi ou de refus, sélectionnez l’entrée associée dans la liste Accès, puis cliquez sur Supprimer.
  4. Cliquez sur Appliquer. Avant d’appliquer les modifications, IIS vérifie les restrictions existantes pour tous les sites Web et répertoires des sites Web. Si un site ou un nœud de répertoire utilise une valeur différente, une boîte de dialogue Héritages outrepassés s’affiche. Utilisez cette boîte de dialogue pour sélectionner les nœuds de site et de répertoire qui doivent utiliser le nouveau paramètre, puis cliquez sur OK.

Vous pouvez établir ou supprimer des restrictions au niveau du site, des répertoires ou des fichiers en procédant de la façon suivante :

  1. Dans le composant logiciel enfichable Internet Information Services, cliquez avec le bouton droit sur le site, le répertoire ou le fichier souhaité, puis cliquez sur Propriétés. La boîte de dialogue Propriétés s’affiche.
  2. Sélectionnez l’onglet Sécurité de répertoire, puis cliquez sur Modifier dans le panneau Restrictions par adresse IP et nom de domaine. La boîte de dialogue Restrictions par adresse IP et nom de domaine s’affiche, comme illustré précédemment dans la figure 5-13.
  3. Sélectionnez « sera autorisé » pour octroyer l’accès à certains ordinateurs et refuser l’accès à d’autres.
  4. Sélectionnez « ne sera pas autorisé » pour refuser l’accès à certains ordinateurs et octroyer l’accès à d’autres.

    Créez la liste d’octroi ou de refus. Cliquez sur Ajouter, puis dans la boîte de dialogue, spécifiez Ordinateur unique, Groupe d’ordinateurs ou Nom de domaine.

    • Pour un ordinateur unique, tapez l’adresse IP de l’ordinateur, telle que 192.168.5.50.
    • Pour des groupes d’ordinateurs, tapez l’adresse de sous-réseau, telle que 192.168.0.0, puis le masque de sous-réseau, tel que 255.255.0.0.
    • Pour un nom de domaine, tapez le nom de domaine complet, tel que eng.domain.com.
  5. Si vous souhaitez supprimer une entrée de la liste d’octroi ou de refus, sélectionnez l’entrée associée dans la liste Accès, puis cliquez sur Supprimer.
  6. Cliquez sur Appliquer. Avant d’appliquer les modifications, IIS vérifie les restrictions existantes pour tous les nœuds enfants de la ressource sélectionnée (s’il en existe). Si un nœud enfant utilise une valeur différente, une boîte de dialogue Héritages outrepassés s’affiche. Utilisez cette boîte de dialogue pour sélectionner les nœuds de site et de répertoire qui doivent utiliser le nouveau paramètre, puis cliquez sur OK.

Configuration des opérateurs du site Web

Vous pouvez désigner des opérateurs de site Web pour chaque site Web de votre serveur. Les opérateurs peuvent ensuite gérer le site à distance.

Comprendre les opérateurs de site Web

Les opérateurs de site Web sont un groupe spécial d’utilisateurs qui disposent de privilèges administratifs. Les opérateurs peuvent effectuer les tâches suivantes :

  • gérer les répertoires d’un site Web via des procédures standard telles que créer, renommer et supprimer ;
  • gérer les propriétés des répertoires, telles que les autorisations de répertoire, les documents par défaut, la sécurité des répertoires, les en-têtes HTTP et les messages d’erreur ;
  • gérer les propriétés d’un site, telles que les autorisations du site, l’affectation des opérateurs, les performances, les filtres ISAPI (Internet Server Application Interface), les propriétés du répertoire de base, les documents par défaut, la sécurité des répertoires, les en-têtes HTTP et les messages d’erreur.

Les opérateurs ne peuvent pas configurer les propriétés qui affectent IIS, l’ordinateur hôte ou le réseau. Ces limites sur les opérateurs sont conçues pour améliorer la sécurité.

Remarque Les privilèges opérateur ne concernent pas le site Web d’administration. Les utilisateurs doivent être membres du groupe Administrateurs pour pouvoir gérer à distance IIS à l’aide du site Web d’administration.

L’administration à distance par les opérateurs est rendue possible par les scripts, composants et applications définis dans le répertoire IISAdmin. Le répertoire IISAdmin doit être configuré pour tout site Web dont vous souhaitez permettre le contrôle à distance par les opérateurs. Par défaut, ce répertoire se trouve dans \%SystemRoot%\System32\Inetsrv\Iisadmin.

Les opérateurs se connectent aux sites Web qu’ils souhaitent gérer via un navigateur standard, tel que Internet Explorer 5.0. L’URL qu’ils saisissent est le nom de domaine du site, suivi du nom du répertoire virtuel utilisé pour l’administration par les opérateurs. Par exemple, si le nom de domaine du serveur est dev.microsoft.com et que le répertoire d’administration est ops, vous pouvez vous connecter à la zone opérateur en tapant l’URL suivante dans votre navigateur :

http://dev.microsoft.com/ops/
 

La technique utilisée pour authentifier les informations d’identification de l’opérateur dépend des méthodes d’authentification activées pour le répertoire d’administration. Vous ne devez jamais autoriser l’accès anonyme au répertoire d’administration.

Vous pouvez spécifier de façon globale ou locale les comptes qui disposent de privilèges opérateur. L’affectation globale d’opérateurs est appliquée automatiquement à tous les sites Web du serveur. L’affectation locale d’opérateurs est appliquée uniquement à un site Web individuel.

Autorisation de l’administration d’un site Web par un opérateur

Pour autoriser l’administration d’un site Web par un opérateur, procédez de la façon suivante :

  1. Configurez un répertoire virtuel mappé sur l’emplacement physique du répertoire IISAdmin.
  2. Créez une application IIS regroupée avec comme point de départ le répertoire virtuel spécifié. Une application IIS regroupée isole les tâches d’administration des principaux processus IIS.
  3. Configurez Exécuter les autorisations pour le répertoire d’administration sur Scripts seulement ou sur Scripts et exécutables.

Affectation d’opérateurs à tous les sites Web d’un serveur

Pour spécifier l’affectation d’opérateurs pour tous les sites Web d’un serveur, procédez de la façon suivante :

  1. Dans le composant logiciel enfichable Internet Information Services, cliquez avec le bouton droit sur l’icône de l’ordinateur souhaité, puis cliquez sur Propriétés. La boîte de dialogue Propriétés s’affiche.
  2. Sélectionnez Service WWW dans la liste Propriétés principales, puis cliquez sur Modifier. La boîte de dialogue Propriétés principales du service WWW s’ouvre pour l’ordinateur.
  3. Sélectionnez l'onglet Opérateurs. La zone de liste Opérateurs affiche les opérateurs actuellement configurés. Le groupe global Administrateurs est le seul opérateur configuré par défaut.
  4. Pour ajouter un opérateur, cliquez sur Ajouter. La boîte de dialogue Sélectionnez Utilisateurs ou Groupes s’affiche, vous permettant de sélectionner les utilisateurs et les groupes qui doivent être configurés en tant qu’opérateurs.
  5. Pour supprimer un opérateur, sélectionnez-le dans la zone de liste Opérateurs, puis cliquez sur Supprimer.
  6. Cliquez trois fois sur OK pour terminer l’affectation des opérateurs.

Affectation d’opérateurs à un site Web individuel

Pour spécifier l’affectation d’opérateurs pour un site Web spécifique, procédez de la façon suivante :

  1. Dans le composant logiciel enfichable Internet Information Services, cliquez avec le bouton droit sur le site, le répertoire ou le fichier souhaité, puis cliquez sur Propriétés. La boîte de dialogue Propriétés s’affiche.
  2. Sélectionnez l'onglet Opérateurs. La zone de liste Opérateurs affiche les opérateurs actuellement configurés. Le groupe global Administrateurs est le seul opérateur configuré par défaut.
  3. Pour ajouter un opérateur, cliquez sur Ajouter. La boîte de dialogue Sélectionnez Utilisateurs ou Groupes s’affiche, vous permettant de sélectionner les utilisateurs et les groupes qui doivent être configurés en tant qu’opérateurs.
  4. Pour supprimer un opérateur, sélectionnez-le dans la zone de liste Opérateurs, puis cliquez sur Supprimer.
  5. Cliquez deux fois sur OK pour terminer l’affectation des opérateurs.

Conseils supplémentaires pour améliorer la sécurité d’un serveur Web

C’est vous qui déterminez la sécurité de votre serveur Web. Pour améliorer la sécurité de votre serveur, lisez ces conseils supplémentaires et appliquez ceux qui concernent l’environnement de votre serveur.

Utilisation de pare-feu

Le maintien de la sécurité de votre serveur Web est une tâche permanente qui nécessite une vigilance de tous les instants. Pour protéger vos serveurs Web des attaques, vous devez disposer d’un pare-feu, tel que le serveur ISA (Microsoft Internet Security and Acceleration Server) ou le pare-feu Cisco PIX 515. Lorsque vous installez un pare-feu, fermez tous les ports que vous utilisez et ouvrez uniquement ceux qui sont nécessaires.

Les ports que vous souhaiterez ouvrir dépendent des types de ressources IIS que vous utilisez. FTP utilise les ports 21 et 23. SMTP utilise le port 25 et peut nécessiter le port 53 pour la résolution de noms DNS. HTTP utilise les ports 80 et 443. NNTP utilise les ports 119 et 563.

Renommer le compte Administrateur

Le compte Administrateur est un compte connu qui dispose de privilèges étendus sur votre serveur Web. Les utilisateurs malveillants ciblent souvent ce compte pour tenter de prendre le contrôle du serveur. Vous pouvez dérouter les utilisateurs malveillants en renommant ce compte. Sélectionnez simplement un nouveau nom pour le compte, puis renommez-le à l’aide de Utilisateurs et ordinateurs Active Directory. Vous pouvez indiquer aux autres administrateurs de votre entreprise le nouveau nom du compte administrateur.

Désactivation du site Web par défaut

Le site Web par défaut ne doit pas être utilisé dans les environnements de production. Le site dispose de nombreuses applications préconfigurées qui utilisent les ressources du système et permettent l’exécution des scripts et exécutables associés. Le site permet également automatiquement l’administration à distance par l’intermédiaire d’un répertoire bien connu des utilisateurs malveillants. Tous ces problèmes peuvent exposer votre serveur à des risques liés à la sécurité.

Pour désactiver le site Web par défaut, procédez de la façon suivante :

  1. Dans le composant logiciel enfichable Internet Information Services, cliquez avec le bouton droit sur le site Web par défaut, puis cliquez sur Arrêter.
  2. Quittez le composant logiciel enfichable IIS pour enregistrer l’état de cette configuration.
  3. Désormais, le site Web par défaut doit être arrêté lorsque vous ou les autres administrateurs accédez au composant logiciel enfichable Internet Information Services.

Remarque Vous pouvez également supprimer le site Web par défaut afin d’empêcher son utilisation ultérieure.

Désactivation de l’administration à distance à partir du Web

Comme nous l’avons vu dans les sections précédentes, les sites Web peuvent être gérés à distance par l’intermédiaire d’un navigateur. Les opérateurs se connectent aux sites individuels par l’intermédiaire du répertoire IISAdmin. Les administrateurs se connectent à IIS par l’intermédiaire du site Web d’administration. Si vous souhaitez contrôler de façon précise l’accès à votre serveur, vous devez désactiver l’administration à distance à partir du Web et autoriser l’accès au serveur uniquement via le composant logiciel enfichable IIS.

Pour désactiver l’administration à distance à partir du Web, procédez de la façon suivante :

  1. Arrêtez le site Web d’administration.
  2. Supprimez le répertoire d’administration (généralement nommé IISAdmin) ou définissez Aucune dans Exécuter les autorisations de ce répertoire.

Désactivation de l’exploration de répertoires

L’exploration des répertoires permet aux utilisateurs de voir le contenu des répertoires. La plupart des utilisateurs n’ont pas besoin de voir le contenu des répertoires ; vous pouvez donc désactiver l’exploration de façon globale. Pour ce faire, désactivez cette autorisation du serveur Web dans la boîte de dialogue Propriétés principales du service WWW.

Création d’avertissements légaux

Chaque utilisateur qui se connecte au serveur Web, localement ou par l’intermédiaire d’une session telnet, doit voir un avertissement légal qui indique qu’il s’agit d’un système informatique privé et que son utilisation est limitée au personnel autorisé uniquement. Les avertissements légaux présentent une légende et un message. Vous pouvez définir la légende à l’aide de la clé de Registre suivante :

HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Windows
\CurrentVersion
\Policies
\System
\LegalNoticeCaption
 

Vous pouvez définir le message à l’aide de la clé de Registre suivante :

HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Windows
\CurrentVersion
\Policies
\System
\LegalNoticeText
 

Les deux clés peuvent être créées et modifiées à l’aide de l’éditeur du Registre ou d’un script Windows. Si vous créez ces clés, prenez soin de définir le type de valeur comme étant REG_SZ. Le type de valeur REG_SZ est utilisé pour identifier une valeur de type chaîne qui contient une suite de caractères. Lorsque vous définissez la valeur de la clé, tapez 1, suivi d’une virgule, suivi de la légende ou du message, comme par exemple :

1,Ceci est un système privé. L’utilisation de ce système est limitée au personnel autorisé uniquement.
 

Application de Service Packs, de correctifs et de modèles

Microsoft fournit régulièrement des service packs et des correctifs pour le système d'exploitation Windows. Pour assurer la sécurité du serveur, vous devez appliquer les service packs et les correctifs aux serveurs de production dès que vous avez pu tester ces mises à jour sur des serveurs de test configurés de façon semblable.

Microsoft publie également des modèles de sécurité qui peuvent être appliqués à vos serveurs Web. Des modèles de sécurité sont disponibles dans toutes les installations de serveurs Windows 2000. Vous pouvez prévisualiser les modèles existants et créer vos propres modèles à l’aide du composant logiciel enfichable Modèles de sécurité. Vous appliquez un modèle et analysez les contraintes de sécurité associées à l’aide du composant logiciel enfichable Configuration et analyse de la sécurité. Ces composants logiciels enfichables sont accessibles en procédant de la façon suivante :

  1. Ouvrez la boîte de dialogue Exécuter en cliquant sur Démarrer, puis en cliquant sur Exécuter.
  2. Tapez MMC dans le champ Ouvrir, puis cliquez sur OK. La console MMC (Microsoft Management Console) s’ouvre.
  3. Dans MMC, cliquez sur Console, puis cliquez sur Ajouter/Supprimer un composant logiciel enfichable. La boîte de dialogue Ajouter/Supprimer un composant logiciel enfichable s’ouvre.
  4. Sous l'onglet Autonome, cliquer sur Ajouter.
  5. Dans la boîte de dialogue Ajout d'un composant logiciel enfichable autonome, cliquez sur Modèles de sécurité, puis sur Ajouter.
  6. Ensuite, cliquez sur Configuration et analyse de la sécurité, puis sur Ajouter.
  7. Fermez la boîte de dialogue Ajout d'un composant logiciel enfichable autonome en cliquant sur Fermer, puis cliquez sur OK.

Les modèles de sécurité que vous pouvez utiliser sont securews et hisecws. Securews est un modèle pour les serveurs Web qui nécessitent une sécurité élevée. Hisecws est un modèle pour les serveurs Web qui nécessitent une sécurité très élevée. Comme le montre la figure 5-14, ces modèles configurent la sécurité pour les éléments suivants :

  • stratégies de mot de passe, de verrouillage des comptes et Kerberos ;
  • stratégies d’audit, d’attribution des droits utilisateur et d’options de sécurité ;
  • autorisations des journaux d’événements, des services système et du système de fichiers ;
  • clés de Registre de l’ordinateur local et de l’utilisateur en cours.

Utilisez le composant logiciel enfichable Modèles de sécurité pour accéder aux modèles de sécurité existants et pour en créer de nouveaux

Figure 5-14 Utilisez le composant logiciel enfichable Modèles de sécurité pour accéder aux modèles de sécurité existants et pour en créer de nouveaux.

Après avoir sélectionné le modèle que vous souhaitez utiliser, vous devez parcourir chaque paramètre qui sera appliqué par le modèle et déterminer dans quelle mesure ce paramètre affectera votre environnement. Si un paramètre présente une valeur inappropriée, vous devez le modifier ou le supprimer. Lorsque vous êtes prêt à configurer et à analyser les paramètres, procédez de la façon suivante :

  1. Accédez au composant logiciel enfichable Configuration et analyse de la sécurité dans une console MMC.
  2. Cliquez avec le bouton droit sur le nœud Configuration et analyse de la sécurité, puis cliquez sur Ouvrir une base de données. La boîte de dialogue Ouvrir une base de données s’affiche.
  3. Tapez un nom pour la base de données dans le champ Nom de fichier, puis cliquez sur Ouvrir.
  4. La boîte de dialogue Modèle d'importation s’affiche. Sélectionnez le modèle de sécurité que vous souhaitez utiliser, puis cliquez sur Ouvrir.
  5. Cliquez avec le bouton droit sur le nœud Configuration et analyse de la sécurité, puis cliquez sur Analyser l'ordinateur maintenant. Lorsque vous êtes invité à définir le chemin du journal des erreurs, cliquez sur OK. Le chemin par défaut est généralement approprié.
  6. Attendez que le composant logiciel enfichable ait terminé l’analyse du modèle. Ensuite, consultez les résultats, puis mettez à jour le modèle le cas échéant. Vous pouvez afficher le journal des erreurs en cliquant avec le bouton droit sur le nœud Configuration et analyse de la sécurité et en cliquant sur Visualiser le fichier journal.
  7. Lorsque vous êtes prêt à appliquer le modèle, cliquez avec le bouton droit sur le nœud Configuration et analyse de la sécurité, puis cliquez sur Configurer l'ordinateur maintenant. Lorsque vous êtes invité à définir le chemin du journal des erreurs, cliquez sur OK. Le chemin par défaut est généralement approprié.
  8. Affichez le journal des erreurs de configuration en cliquant avec le bouton droit sur le nœud Configuration et analyse de la sécurité et en cliquant sur Visualiser le fichier journal. Notez les éventuels problèmes et entreprenez les actions nécessaires.

Suppression du répertoire virtuel IISADMPWD

Le répertoire virtuel IISADMPWD permet de redéfinir les mots de passe pour Windows NT et Windows 2000. Il a été conçu pour les réseaux intranet et n’est pas installé dans le cadre de l’installation de IIS 5.0 ou ultérieur. Cependant, si vous avez procédé à la mise à niveau à partir de IIS 4.0, ce répertoire n’a pas été supprimé et est peut-être toujours disponible sur votre serveur. Si le serveur Web est accessible via Internet, vous devez supprimer ce répertoire.

Contrôle de la saisie d’informations malveillantes dans les formulaires et les chaînes de requête

Le texte saisi par les utilisateurs dans les formulaires peut contenir des valeurs destinées à provoquer des problèmes sur votre système. Si vous envoyez ces valeurs directement à un script ou une page ASP, vous risquez de permettre à un utilisateur malveillant d’accéder au système et de provoquer des problèmes. Pour éviter cela, vous devez vérifier toutes les valeurs saisies avant de les envoyer à un script ou une page ASP.

Un moyen de s’assurer que les valeurs saisies contiennent uniquement du texte et des chiffres consiste à supprimer les caractères non alphanumériques. Vous pouvez faire cela à l’aide de l’exemple VBScript (Microsoft Visual Basic Scripting Edition) suivant :

'Start a regular expression
Set reg = New RegExp
'Check for characters that aren't 0-9a-zA-Z or '_'
reg.Pattern = "\W+"
'Remove invalid characters from input string
goodString = reg.Replace(inputString, "")
 

Si vous souhaitez que les utilisateurs puissent entrer des signes de ponctuation mais pas des valeurs malveillantes, vous devez rechercher et supprimer le caractère |. Ce caractère est utilisé pour rassembler des chaînes de commande, lesquelles peuvent permettre à un utilisateur d’exécuter une commande sur votre serveur. La commande suivante supprime d’une chaîne saisie ce caractère et tout le texte qui suit :

'Start a regular expression
Set reg = New RegExp
'Check for the pipe character
reg.Pattern = "^(.+)\|(.+)"
'Remove pipe character and any text after it
goodString = reg.Replace(inputString, "$1")
 

Il existe de nombreuses autres techniques permettant de vérifier les valeurs saisies par un utilisateur avant de les utiliser. Consultez le site Microsoft TechNet à l’adresse http://www.microsoft.com/france/technet/ pour en savoir plus.

Suppression des mappages d’applications non utilisés

Les mappages d’applications sont utilisés pour spécifier les extensions ISAPI et les programmes CGI qui peuvent être utilisés par les applications. IIS est préconfiguré pour prendre en charge de nombreuses applications ISAPI courantes, telles que les ASP, Internet Database Connector et Index Server. Si votre site Web n’utilise pas certaines de ces applications ISAPI, vous pouvez améliorer la sécurité en supprimant les mappages d’applications associés. Les mappages que vous pouvez envisager de supprimer sont les suivants :

  • .htr, utilisé pour réinitialiser les mots de passe via le Web ;
  • .htw, .ida et .idq, utilisés par Index Server ;
  • .idc, utilisé pour Internet Database Connector ;
  • .printer, utilisé pour l’impression via Internet ;
  • .stm, .shtm et .shtml, utilisés pour les scripts SSI (Server-Side Include).

Pour supprimer de façon globale les mappages d’applications pour tous les sites Web d’un serveur, procédez de la façon suivante :

  1. Dans le composant logiciel enfichable Internet Information Services, cliquez avec le bouton droit sur l’icône de l’ordinateur souhaité, puis cliquez sur Propriétés. La boîte de dialogue Propriétés s’affiche.
  2. Sélectionnez Service WWW dans la liste Propriétés principales, puis cliquez sur Modifier. La boîte de dialogue Propriétés principales du service WWW s’ouvre pour l’ordinateur.
  3. Sélectionnez l’onglet Répertoire de base, puis cliquez sur Configuration dans le panneau Paramètres d'application. La boîte de dialogue Configuration de l'application s’affiche.
  4. Sous l’onglet Mappages d'application, sélectionnez les mappages d’applications que vous souhaitez supprimer, puis cliquez sur Supprimer. Lorsque vous êtes invité à confirmer la suppression, cliquez sur Oui.
  5. Cliquez sur Appliquer. Avant d’appliquer les modifications, IIS vérifie les paramètres existants pour tous les sites Web et répertoires des sites Web. Chaque fois qu’un site ou un nœud de répertoire utilise une valeur différente, une boîte de dialogue Héritages outrepassés s’affiche. Utilisez cette boîte de dialogue pour sélectionner les nœuds de site et de répertoire qui doivent utiliser les nouveaux mappages d’applications, puis cliquez sur OK.

Dernière mise à jour le mardi 23 octobre 2001

Page Up Updated 24 septembre, 2003 Hervé Chaudret
C.N.R.S.

-   Home   -  News   -   Conseils   -   Sécurité   -   Mise à jour   -   Liens   -   Accès   -

C.N.R.S.