Professional Documents
Culture Documents
Sommaire
Gnralits
Principes fondamentaux de la scurit Prsentation du serveur IIS 5.0
IIS 6.0
Gnralits
Risques :
Prparation linstallation
Placer le serveur dans un espace scuris physiquement Si possible, installer le serveur
Dans un domaine ddi Sans relation dapprobation avec les autres domaines du SI
Ex : dans un domaine ddi aux serveurs en DMZ
Partitionner les disques de manire pouvoir installer sur des partitions diffrentes
Le systme dexploitation Les contenus publis par chacun des services Les journaux dvnements
Laisser dsactive loption Routage et accs distants (par dfaut) Supprimer toutes les piles rseaux excepte la pile TCP/IP (sauf celles ncessaires, dans le cas dun Intranet par exemple) Supprimer la liaison entre NetBIOS et TCP/IP Dfinir un mot de passe trs fiable pour ladministrateur
Au moins 9 caractres (ex : "M#=H|&Fb{")
Installer uniquement les composants ncessaires ! Pour plus de scurit, effectuer linstallation partir dun fichier de rponses permettant de
Installation par dfaut du rpertoire racines dans C:\Inetpub
Utiliser la commande sysocmgr pour effectuer une installation dIIS partir dun fichier de rponse
Sysocmgr /i:%windir%\inf\sysoc.inf /u:<chemin_fichier>
Un groupe local dutilisateurs du site et ny inclure que les comptes ncessaires (ventuellement IUSR_Nomduserveur)
Ex : WebUsers_t2003iis
Utiliser ces comptes pour modifier les permissions NTFS sur les rpertoires et fichiers des sites publis Supprimer le compte IUSR_Nomduserveur des autres groupes
Arborescence du site
La Metabase contient les paramtres de configuration dIIS Elle prsente des avantages en termes de performance par rapport la base de registre
Rapidit Flexibilit Monte en charge
Journaux dvnements
Analyse de la scurit
Dtection et correction de points de scurit non-traits Utilisation du snap-in "Analyse et configuration de la scurit"
Lancer une analyse du serveur Comparer la configuration un modle de scurit adapt
Microsoft propose le modle Hisecweb.inf ou les modles MSS Baseline.inf + MSS IIS Role .inf
Modifier le modle pour ladapter aux spcificits du serveur Appliquer le modle de scurit
Recommandations
Ne pas appliquer le modle de scurit sur un serveur en production Vrifier le bon fonctionnement de toutes les applications aprs lapplication du modle
Requiert le snap-in "Gestionnaire des Services Internet" (ISM) Permet la dlgation de ladministration des sites
Prparation de consoles spcifiques en fonction des rles et des habilitations
Configuration du serveur
Deux niveaux de configuration
Proprits gnrales du serveur IIS
WWW FTP Journaux dvnements
Seront automatiquement hrites par tout site cr Permettent dviter de laisser accidentellement des options par dfaut dangereuses lors de la cration dun nouveau site
URLScan
Filtre ISAPI pour IIS4/5, configurable, qui bloque les URL qui ressemblent des attaques
IIS
Client
IIS 6.0
Rsultats
Excution distance dapplication Elvation de privilge Divulgation dinformation Denial-of-Service
Nouvelle approche
IIS 6.0 est scuris :
Par conception (secure by design)
Nouvelle architecture de fonctionnement
INETINFO
INETINFO DLLHOST.exe
WAS
Process Mgr
W3WP.EXE
ASP.NET ISAPI
W3WP.EXE W3WP.EXE
ISAPI ISAPI Extensions Extensions (ASP, etc.) etc.) (ASP,
Config Mgr
ASP.NET ISAPI ASP.NET ISAPI CLR App CLRDomain App Domain ASP.NET ISAPI
CLR App Domain App Domain CLRCLR App CLRDomain App Domain CLR App Domain App Domain CLRCLR App Domain
ISAPI Filters
TCP/IP
HTTP.SYS
Limites et timeouts
Limitation de la taille des en-tte 16 Ko
ASP
ASPEnableParentPath = FALSE Hang detection Internal Health Detection
Erreurs 404
Erreur gnrique renvoye Fichiers de log donnant des dtails complmentaires Utile pour analyse
Actions complmentaires
Arrter les services inutiles
Dsactiv ou dmarrage manuel
Authentification
Basique Digest Intgre Passport
Types disolation
Aucune (= IIS 5) Local AD
Firewall - Antivirus
Les firewalls globaux peuvent ne pas tre suffisants Un firewall pour chaque serveur
Rduit les risques de type Blaster, Slammer
Interdire tout sauf ce que vous souhaitez que le serveur serve Utiliser et maintenir jour un anti-virus
Rsum
IIS 6.0 non install par dfaut Contrle du contenu excutable via les Web Service Extensions Enregistrement dans les logs des sub-codes dtat HTTP Personnalisation des identits des worker process Accs au chemin parent dsactiv ( Parent Paths ) Types MIME non dfini inactifs
Rien que lamlioration de la scurit justifie la migration vers IIS 6.0 ainsi que les amliorations concernant les performances et la disponibilit
tapes suivantes
1. tre inform sur la scurit
Trouver un centre de formation local agr Microsoft (CTEC) pour des cours pratiques :
http://www.microsoft.com/france/formation/centres/recherche.asp
Des questions ?