Exporter (0) Imprimer
Développer tout
Ce sujet n'a pas encore été évalué - Évaluez ce sujet

Sécurisation des services Internet (IIS) 6.0

Dernière mise à jour le 21 juillet 2006

Télécharger
Télécharger le guide Sécurisation des services Internet (IIS) 6.0
Sur cette page

Introduction Introduction
Avant de commencer Avant de commencer
Réduction de la surface d'attaque du serveur Web Réduction de la surface d'attaque du serveur Web
Configuration des comptes Configuration des comptes
Configuration de la sécurité des fichiers et des répertoires Configuration de la sécurité des fichiers et des répertoires
Sécurisation des sites Web et des répertoires virtuels Sécurisation des sites Web et des répertoires virtuels
Configuration de Secure Sockets Layer (SSL) sur le serveur Web Configuration de Secure Sockets Layer (SSL) sur le serveur Web
Informations complémentaires Informations complémentaires

Introduction

Les serveurs Web sont fréquemment la cible de divers types d'attaques de sécurité. Certaines de ces attaques peuvent être assez virulentes et nuire considérablement aux biens de l'entreprise, à la productivité et aux relations avec la clientèle. Toutes les attaques posent des problèmes et sont sources de frustration. La sécurité de vos serveurs Web est primordiale pour la réussite de votre entreprise.

Ce document indique comment débuter la procédure de sécurisation d'un serveur Web exécutant les services Internet (IIS) 6.0 sur le système d'exploitation Microsoft® Windows Server™ 2003 Standard Edition. Dans un premier temps, cette section décrit certaines des menaces les plus répandues et susceptibles de nuire à la sécurité des serveurs Web. Ce document fournit ensuite des instructions permettant de renforcer la sécurité de vos serveurs Web face à ces attaques.

Grâce aux modifications suivantes apportées depuis les versions précédentes du produit, IIS 6.0 garantit une attitude plus proactive face aux utilisateurs malveillants et autres pirates informatiques :

  • IIS 6.0 n'est pas installé par défaut lors de l'installation de Windows Server 2003 Standard Edition.

  • Lors de l'installation initiale d'IIS 6.0, votre serveur Web diffuse ou affiche uniquement les pages Web statiques (HTML), ce qui limite les risques liés à la diffusion d'un contenu dynamique ou exécutable.

  • Le service de publication sur le Web (service WWW) est le seul service activé par défaut lorsque vous installez IIS 6.0 pour la première fois. Vous pouvez activer les services dont vous avez besoin, lorsque vous le souhaitez.

  • ASP et ASP.NET sont désactivés par défaut lors de la première installation d'IIS 6.0.

Pour garantir une sécurité accrue, tous les paramètres de configuration de la sécurité par défaut d'IIS 6.0 sont égaux ou supérieurs à ceux définis par l'outil de verrouillage IIS. Outil de verrouillage IIS qui a été conçu pour réduire la surface d'attaque des serveurs Web par désactivation des fonctionnalités inutiles fonctionne sur des versions antérieures d'IIS. Pour plus d'informations sur l'outil de verrouillage IIS, consultez « Securing Internet Information Services 5.0 and 5 » (en anglais) dans le Kit de sécurité disponible sur le site Web du Centre de téléchargement Microsoft à l'adresse http://www.microsoft.com/windowsserver2003/techinfo/overview/iis.mspx.

Les paramètres par défaut d'IIS 6.0 désactivent de nombreuses fonctionnalités fréquemment utilisées par les services Web. Ce document explique donc comment configurer des fonctionnalités supplémentaires de votre serveur Web tout en limitant la vulnérabilité du serveur face à d'éventuelles attaques.

Ce document fournit des instructions détaillées permettant de renforcer la sécurité du serveur Web :

  • Réduction de la surface d'attaque du serveur Web ou de la portée des attaques susceptibles d'être menées contre lui.

  • Configuration de l'accès anonyme pour les comptes d'utilisateurs et de groupes.

  • Sécurisation des fichiers et des répertoires contre tout accès non autorisé.

  • Sécurisation des sites Web et des répertoires virtuels contre tout accès non autorisé.

  • Configuration de SSL (Secure Sockets Layer) sur votre serveur Web.

Important   Toutes les instructions étape par étape incluses dans ce document ont été rédigées à l'aide du menu par défaut qui s'affiche lorsque vous cliquez sur le bouton Démarrer. Si vous avez modifié ce menu, les procédures peuvent quelque peu différer.

Une fois les procédures décrites dans ce document exécutées, votre serveur Web est capable de gérer le contenu dynamique sous la forme de pages ASP et bénéficie d'une bien meilleure protection contre les types d'attaques suivants qui parfois menacent les serveurs Internet :

  • Attaques de profilage chargées de collecter des informations sur votre site Web. Vous pouvez minimiser ces attaques en bloquant les ports et en désactivant les protocoles inutiles.

  • Attaques de refus de service. Ces attaques qui inondent votre serveur Web de requêtes peuvent être limitées en appliquant des correctifs de sécurité et des mises à jour logicielles.

  • Accès d'un utilisateur sans les autorisations adéquates. La plupart du temps, vous pouvez empêcher cet accès en configurant des autorisations Web et NTFS.

  • Exécution arbitraire de code malveillant sur le serveur Web. Vous pouvez prévenir cette exécution en restreignant l'accès aux outils et commandes système.

  • Élargissement des privilèges permettant à un utilisateur malveillant d'utiliser un compte bénéficiant de privilèges importants en vue d'exécuter des programmes. Vous pouvez limiter cet élargissement en faisant appel à un service et des comptes d'utilisateurs moins privilégiés.

  • Dommages causés par des virus, vers et chevaux de Troie que vous pouvez limiter en désactivant les fonctionnalités superflues, en réduisant les privilèges des comptes et en appliquant rapidement les derniers correctifs de sécurité.

Remarque   La sécurisation d'un serveur Web est un processus complexe et perpétuel. Une sécurité complète ne peut donc être garantie.

Objectif du document

Ce document fournit des informations susceptibles de vous aider au cours des premières étapes de sécurisation d'un serveur Web. Néanmoins, pour sécuriser autant que possible votre serveur Web, vous devez comprendre le fonctionnement des applications exécutées sur le serveur. Le présent document ne contient aucune information sur la configuration de la sécurité de ces applications.

Avant de commencer

Cette section décrit la configuration système requise et les caractéristiques du serveur Web abordées dans ce document.

Configuration système requise

Le serveur Web cité en exemple dans ce document présente la configuration système suivante :

  • Le serveur exécute Windows Server 2003 Standard Edition.

  • Le système d'exploitation est installé sur une partition NTFS. Pour plus d'informations sur NTFS, recherchez « NTFS » dans le Centre d'aide et de support de Windows Server 2003.

  • Tous les correctifs et mises à jour requis pour Windows Server 2003 ont été installés sur le serveur. Pour vous assurer que les dernières mises à jour de sécurité ont été installées sur votre serveur Web, accédez à la page Microsoft Update sur le site Web de Microsoft (http://windowsupdate.microsoft.com) et demandez à Microsoft Update d'analyser votre serveur à la recherche des mises à jour disponibles.

  • Les dispositifs de sécurité de Windows Server 2003 ont été appliqués au serveur. Pour plus d'informations sur la sécurisation de Windows Server 2003, consultez le guide Introduction à la sécurité sur Windows Server 2003 disponible à l'adresse http://go.microsoft.com/fwlink/?LinkId=14845.

Caractéristiques du serveur Web

Le serveur Web cité en exemple dans ce document présente les caractéristiques suivantes :

  • Le serveur Web exécute IIS 6.0 en mode d'isolation des processus de travail.

  • Le serveur Web héberge un site Web accessible sur Internet.

  • Le serveur Web se trouve derrière un pare-feu qui autorise uniquement le trafic sur le port HTTP 80 et le port HTTPS 443.

  • Le serveur Web est un serveur dédié. Il est exclusivement utilisé en tant que serveur et ne peut servir à d'autres fins, notamment en qualité de serveur de fichiers, serveur d'impression ou serveur de base de données exécutant Microsoft SQL Server.

  • L'accès anonyme au site Web est autorisé.

  • Le serveur Web diffuse des pages HTML et ASP.

  • Les extensions serveur FrontPage 2002 de Microsoft ne sont pas configurées sur le serveur Web.

  • Les applications installées sur le serveur Web n'exigent aucune connectivité de base de données.

  • Le serveur Web ne prend pas en charge les protocoles FTP (téléchargement de fichiers), SMTP (messagerie) et NNTP (groupes de discussion).

  • Le serveur Web n'utilise pas Internet Security and Acceleration (ISA) Server.

  • Un administrateur doit être connecté localement pour gérer le serveur.

Réduction de la surface d'attaque du serveur Web

Démarrez le processus de sécurisation de votre serveur Web en diminuant sa surface d'attaque ou la portée des attaques susceptibles d'être menées contre lui. Vous pouvez, par exemple, activer uniquement les composants, les services et les ports nécessaires au bon fonctionnement de votre serveur Web.

Désactivation de SMB et de NetBIOS

Les attaques par énumération d'hôte analysent le réseau pour déterminer l'adresse IP de cibles potentielles. Pour réduire la probabilité de voir ce type d'attaque réussir contre des ports Internet sur votre serveur Web, désactivez tous les protocoles réseau, à l'exception du protocole TCP (Transmission Control Protocol). Les serveurs Web n'exigent pas Server Message Block (SMB) ou NetBIOS sur leurs cartes réseau Internet.

Cette section fournit des instructions étape par étape pour les tâches suivantes, ce qui permet de réduire la surface d'attaque de votre serveur Web :

  • Désactivation de SMB sur une connexion Internet

  • Désactivation de NetBIOS sur TCP/IP

Remarque   Lorsque vous désactivez SMB et NetBIOS, le serveur ne peut pas agir en tant que serveur de fichiers ou serveur d'impression, aucune navigation sur le réseau n'est possible et vous ne pouvez pas gérer le serveur Web à distance. Si votre serveur est un serveur Web dédié exigeant des administrateurs qu'ils soient connectés localement, ces restrictions ne sauraient affecter le fonctionnement du serveur.

SMB utilise les ports suivants :

  • Port TCP 139

  • Ports TCP et UDP 445 (SMB Direct Host)

NetBIOS utilise les ports suivants :

  • Port TCP et port UDP (User Datagram Protocol) 137 (service de noms NetBIOS)

  • Port TCP et port UDP 138 (service de datagrammes NetBIOS)

  • Port TCP et port UDP 139 (service de sessions NetBIOS)

Le fait de désactiver uniquement NetBIOS n'empêche pas SMB de communiquer puisque ce dernier utilise le port TCP 445 (connu sous le nom de SMB Direct Host) si un port NetBIOS standard n'est pas disponible. Vous devez désactiver NetBIOS et SMB séparément.

Conditions requises

Vous devez effectuer les tâches suivantes :

  • Informations d'identification. Vous devez être connecté au serveur Web en tant que membre du groupe Administrateurs.

  • Outils. Poste de travail, Outils système et Gestionnaire de périphériques.

Pour désactiver SMB sur une connexion Internet

  1. Cliquez successivement sur Démarrer et Panneau de configuration, puis double-cliquez sur Connexions réseau.

  2. Cliquez avec le bouton droit sur votre connexion Internet, puis cliquez sur Propriétés.

  3. Désactivez la case à cocher Client pour les réseaux Microsoft.

  4. Désactivez la case à cocher Partage de fichiers et d'imprimantes pour les réseaux Microsoft, puis cliquez sur OK.

Pour désactiver NetBIOS sur TCP/IP

  1. Cliquez sur Démarrer, cliquez avec le bouton droit sur Poste de travail, puis cliquez sur Gérer.

  2. Double-cliquez sur Outils système, puis sélectionnez Gestionnaire de périphériques.

  3. Cliquez avec le bouton droit sur Gestionnaire de périphériques, puis cliquez successivement sur Affichage et Afficher les périphériques cachés.

  4. Double-cliquez sur Pilotes non Plug-and-Play.

  5. Cliquez avec le bouton droit sur NetBIOS sur TCP/IP, cliquez sur Désactiver (comme illustré dans la capture d'écran ci-dessous), puis cliquez sur Oui.

    SIIS601.GIF

    Remarque   Les captures d'écran incluses dans ce document décrivent un environnement de test. Les informations qui y sont présentées peuvent être différentes de celles affichées sur votre écran.

La procédure décrite ci-dessus désactive l'écouteur d'hébergement direct SMB sur les ports TCP 445 et UDP 445. Elle désactive également le pilote Nbt.sys et exige que vous redémarriez l'ordinateur.

Vérification des nouveaux paramètres

Suivez les procédures suivantes pour vous assurer que les paramètres de sécurité corrects ont été appliqués sur votre serveur Web.

Pour vérifier que SMB est désactivé

  1. Cliquez successivement sur Démarrer, Paramètres et Connexions réseau et accès à distance.

  2. Cliquez avec le bouton droit sur votre connexion Internet, puis cliquez sur Propriétés.

  3. Assurez-vous que les deux cases à cocher Client pour les réseaux Microsoft et Partage de fichiers et d'imprimantes pour les réseaux Microsoft sont désactivées, puis cliquez sur OK.

Pour vérifier que NetBIOS est désactivé

  1. Cliquez sur Démarrer, cliquez avec le bouton droit sur Poste de travail, puis cliquez sur Gérer.

  2. Double-cliquez sur Outils système, puis sélectionnez Gestionnaire de périphériques.

  3. Cliquez avec le bouton droit sur Gestionnaire de périphériques, puis cliquez successivement sur Affichage et Afficher les périphériques cachés.

  4. Double-cliquez sur Pilotes non Plug-and-Play, puis cliquez avec le bouton droit sur NetBIOS sur TCP/IP. L'option Activer apparaît à présent dans le menu contextuel, ce qui signifie que NetBIOS sur TCP/IP est actuellement désactivé.

  5. Cliquez sur OK pour fermer le Gestionnaire de périphériques.

Sélection des composants et services IIS indispensables uniquement

Outre le service WWW, IIS 6.0 inclut des sous-composants et des services, tels que les services FTP et SMTP. Pour minimiser les risques d'attaques ciblant ces services et ces composants, Microsoft vous recommande de ne sélectionner que les services et composants nécessaires au bon fonctionnement de vos sites et applications Web.

Le tableau ci-dessous indique les paramètres recommandés dans Ajout/Suppression de programmes pour les sous-composants et les services IIS sur le serveur Web pris en exemple dans ce document.

Tableau 1. Paramètres recommandés pour les sous-composants et services IIS

Sous-composant ou service

Paramètre par défaut

Paramètre du serveur Web

Extension serveur Service de transfert intelligent en arrière-plan (BITS)

Désactivé

Aucune modification

Fichiers communs

Activé

Aucune modification

Service FTP

Désactivé

Aucune modification

Extensions serveur FrontPage 2002

Désactivé

Aucune modification

Gestionnaire des services IIS

Activé

Aucune modification

Impression Internet

Désactivé

Aucune modification

Service NNTP

Désactivé

Aucune modification

Service SMTP

Activé

Désactivé

Service World Wide Web

Activé

Aucune modification

Extension serveur Service de transfert intelligent en arrière-plan (BITS)

Désactivé

Aucune modification

Conditions requises

Vous devez effectuer la tâche suivante :

  • Informations d'identification. Vous devez être connecté au serveur Web en tant que membre du groupe Administrateurs.

  • Outils. Ajout/Suppression de programmes.

Pour configurer les composants et services IIS

  1. Cliquez successivement sur Démarrer, Panneau de configuration et Ajout/Suppression de programmes.

  2. Cliquez sur Ajouter ou supprimer des composants Windows.

  3. Dans l'écran de l'Assistant Composants de Windows, sous Composants, cliquez sur Serveur d'applications, puis sur Détails.

  4. Cliquez sur Services Internet (IIS), puis sur Détails.

  5. Reportez-vous au tableau ci-dessus, puis sélectionnez ou désélectionnez les composants et services IIS appropriés en activant ou désactivant la case à cocher située en regard de chaque composant ou service.

  6. Suivez les instructions qui s'affichent à l'écran de l'Assistant Composants de Windows.

Vérification des nouveaux paramètres

Suivez la procédure suivante pour vérifier que les paramètres de sécurité corrects ont été appliqués à votre serveur Web.

Pour vérifier que les composants et services IIS sont sélectionnés

  1. Cliquez successivement sur Démarrer, Panneau de configuration et Outils d'administration.

  2. Le Gestionnaire des services Internet (IIS) apparaît désormais dans le menu des outils d'administration.

Activation des extensions de service Web indispensables uniquement

Un serveur Web qui diffuse du contenu dynamique exige des extensions de service Web. Chaque type de contenu dynamique correspond à une extension de service Web spécifique. Pour des raisons de sécurité, IIS 6.0 vous permet d'activer et de désactiver des extensions de service Web individuelles, de sorte que seules les extensions requises par votre contenu soient activées.

Attention   N'activez pas toutes les extensions de service Web. En procédant ainsi, vous garantiriez certes une compatibilité optimale avec les applications et les sites Web existants mais vous augmenteriez considérablement la surface d'attaque de votre serveur Web. Vous devrez peut-être tester vos applications et sites Web individuellement pour veiller à ce que seules les extensions de service Web nécessaires soient activées.

Supposons que le serveur Web soit configuré pour utiliser le fichier Default.asp en tant que page par défaut. Bien que la page par défaut soit configurée, vous devez activer l'extension de service Web Active Server Pages pour afficher la page ASP.

Conditions requises

Vous devez effectuer la tâche suivante :

  • Informations d'identification. Vous devez être connecté au serveur Web en tant que membre du groupe Administrateurs.

  • Outils. Gestionnaire des services Internet (iis.msc).

Pour activer l'extension de service Web Active Server Pages

  1. Cliquez successivement sur Démarrer, Panneau de configuration et Outils d'administration, puis double-cliquez sur Gestionnaire des services Internet (IIS).

  2. Double-cliquez sur l'ordinateur local, puis cliquez sur Extensions de service Web.

  3. Cliquez sur Active Server Pages, puis sur Autoriser (comme illustré dans la capture d'écran ci-dessous).

    SIIS602.GIF

Vérification des nouveaux paramètres

Suivez la procédure suivante pour vérifier que les paramètres de sécurité corrects ont été appliqués à votre serveur Web.

Pour vérifier que l'extension de service Web Active Server Pages est activée

  1. Ouvrez un éditeur de texte, tapez Page de test ASP et enregistrez le fichier sous Default.asp dans le répertoire C:\inetpub\wwwroot.

  2. Dans la zone Adresse d'Internet Explorer, tapez l'URL suivante :

    http://localhost

    Appuyez ensuite sur ENTRÉE. Le texte Page de test ASP doit s'afficher dans le navigateur.

  3. Supprimez le fichier C:\inetpub\wwwroot\Default.asp.

Configuration des comptes

Il est recommandé de supprimer les comptes inutilisés. Un utilisateur malveillant pourrait les découvrir et s'en servir pour accéder aux données et aux applications Web sur votre serveur. Utilisez toujours des mots de passe forts. Les mots de passe non sécurisés augmentent la probabilité d'attaques en force ou à l'aide de dictionnaires d'analyse dont l'objectif est de décoder des mots de passe. Utilisez des comptes avec un minimum de privilèges. Sinon, un utilisateur malveillant pourrait exploiter un compte doté de privilèges importants pour accéder à des ressources non autorisées.

Cette section fournit des instructions étape par étape pour la réalisation des tâches suivantes :

  • Désactivation des comptes inutilisés

  • Isolement d'applications grâce à des pools d'applications

Désactivation des comptes inutilisés

Des utilisateurs malveillants peuvent exploiter les comptes inutilisés et leurs privilèges pour accéder à un serveur. Pensez régulièrement à examiner les comptes locaux sur le serveur et désactivez tous les comptes qui ne sont pas utilisés. Désactivez les comptes sur un serveur test avant de les désactiver sur un serveur de production pour vous assurer que cette opération n'affectera pas le mode de fonctionnement de votre application. Si la désactivation du compte ne pose aucun problème sur le serveur test, désactivez-le sur le serveur de production.

Remarque   Si vous choisissez de supprimer un compte inutilisé plutôt que de le désactiver, sachez que vous ne pouvez pas récupérer un compte supprimé et supprimer les comptes Administrateur et Invité. Veillez également à supprimer le compte sur le serveur test avant de le supprimer sur le serveur de production.

Cette section fournit des instructions étape par étape pour la réalisation des procédures suivantes :

  • Désactivation du compte Invité

  • Modification du nom du compte Administrateur

  • Modification du nom du compte IUSR_NomOrdinateur

Désactivation du compte Invité

Le compte Invité est utilisé pour effectuer une connexion anonyme sur le serveur Web. Lors de l'installation par défaut de Windows Server 2003, ce compte est désactivé. Pour limiter les connexions anonymes à votre serveur, veillez à ce que le compte Invité reste désactivé.

Conditions requises

Vous devez effectuer la tâche suivante :

  • Informations d'identification. Vous devez être connecté au serveur Web en tant que membre du groupe Administrateurs.

  • Outils. Gestion de l'ordinateur

Pour désactiver le compte Invité

  1. Cliquez sur Démarrer, cliquez avec le bouton droit sur Poste de travail, puis cliquez sur Gérer.

  2. Double-cliquez sur Utilisateurs et groupes locaux, puis cliquez sur le dossier Utilisateurs. Le compte Invité doit apparaître avec une icône X rouge pour indiquer qu'il est désactivé (comme illustré dans la capture d'écran ci-dessous).

    Si le compte Invité n'est pas désactivé, continuez à l'étape 3 pour le désactiver.

    SIIS603.GIF

  3. Cliquez avec le bouton droit sur le compte Invité, puis cliquez sur Propriétés.

  4. Sous l'onglet Général, activez la case à cocher Le compte est désactivé, puis cliquez sur OK.

Le compte Invité doit apparaître avec une icône X rouge.

Modification du nom du compte Administrateur

Le compte Administrateur local par défaut est une cible de choix pour des utilisateurs malveillants en raison des privilèges élevés dont il bénéficie sur l'ordinateur. Pour améliorer la sécurité, renommez le compte Administrateur et attribuez-lui un mot de passe fort.

Conditions requises

Vous devez effectuer la tâche suivante :

  • Informations d'identification. Vous devez être connecté au serveur Web en tant que membre du groupe Administrateurs.

  • Outils. Poste de travail.

Pour renommer le compte Administrateur et lui attribuer un mot de passe fort

  1. Cliquez sur Démarrer, cliquez avec le bouton droit sur Poste de travail, puis cliquez sur Gérer.

  2. Double-cliquez sur Utilisateurs et groupes locaux, puis cliquez sur le dossier Utilisateurs.

  3. Cliquez avec le bouton droit sur le compte Administrateur, puis cliquez sur Renommer.

  4. Entrez un nom dans la zone prévue à cet effet, puis appuyez sur ENTRÉE.

  5. Sur le Bureau, appuyez sur CTRL+ALT+SUPPR, puis cliquez sur Changer de mot de passe.

  6. Tapez le nouveau nom du compte Administrateur dans la zone Nom d'utilisateur.

  7. Tapez le mot de passe actuel dans la zone Ancien mot de passe, tapez le nouveau mot de passe dans la zone Nouveau mot de passe, puis retapez-le dans la zone Confirmer le nouveau mot de passe. Cliquez ensuite sur OK.

Attention   Ne sélectionnez pas l'option Définir le mot de passe dans le menu contextuel pour modifier le mot de passe, sauf si vous avez oublié le mot de passe et ne disposez pas d'un disque de réinitialisation de mot de passe. L'utilisation de cette méthode de changement du mot de passe Administrateur peut entraîner irrémédiablement la perte des informations protégées par ce mot de passe.

Modification du nom du compte IUSR

Le compte d'utilisateur Internet anonyme par défaut, IUSR_<NomOrdinateur>, est créé au cours de l'installation d'IIS. La valeur de <NomOrdinateur> est le nom NetBIOS de votre serveur lors de l'installation d'IIS. En renommant ce compte, vous réduisez la probabilité de voir aboutir certaines tentatives de piratage en force.

Conditions requises

Vous devez effectuer les tâches suivantes :

  • Informations d'identification. Vous devez être connecté au serveur Web en tant que membre du groupe Administrateurs.

  • Outils. Poste de travail.

Pour renommer le compte IUSR

  1. Cliquez sur Démarrer, cliquez avec le bouton droit sur Poste de travail, puis cliquez sur Gérer.

  2. Double-cliquez sur Utilisateurs et groupes locaux, puis cliquez sur le dossier Utilisateurs.

  3. Cliquez avec le bouton droit sur le compte IUSR_<NomOrdinateur>, puis cliquez sur Renommer.

  4. Tapez le nouveau nom du compte, puis appuyez sur ENTRÉE.

Pour modifier la valeur du compte IUSR dans la métabase IIS

  1. Cliquez successivement sur Démarrer, Panneau de configuration et Outils d'administration, puis double-cliquez sur Gestionnaire des services Internet (IIS).

  2. Cliquez avec le bouton droit sur l'ordinateur local, puis cliquez sur Propriétés.

  3. Activez la case à cocher Activer la modification directe de la métabase, puis cliquez sur OK.

  4. Accédez à l'emplacement du fichier MetaBase.xml situé par défaut dans le répertoire C:\Windows\system32\inetsrv.

  5. Cliquez avec le bouton droit sur le fichier MetaBase.xml, puis cliquez sur Modifier.

  6. Recherchez la propriété AnonymousUserName, puis tapez le nouveau nom du compte IUSR.

  7. Dans le menu Fichier, cliquez sur Quitter, puis sur Oui.

Vérification des nouveaux paramètres

Suivez les procédures suivantes pour vous assurer que les paramètres de sécurité corrects ont été appliqués sur votre serveur Web.

Pour vérifier qu'un compte est désactivé

  1. Appuyez sur CTRL+ALT+SUPPR, puis cliquez sur Fermer la session pour vous déconnecter du serveur Web.

  2. Dans la boîte de dialogue Ouverture de session Windows, tapez le nom du compte désactivé dans la zone Nom d'utilisateur, tapez le mot de passe du compte désactivé, puis cliquez sur OK.

    Le message suivant apparaît :

    Votre compte a été désactivé. Contactez l'administrateur de votre système.

Pour vérifier qu'un compte a été renommé

  1. Appuyez sur CTRL+ALT+SUPPR, puis cliquez sur Fermer la session pour vous déconnecter du serveur Web.

  2. Dans la boîte de dialogue Ouverture de session Windows, tapez l'ancien nom du compte renommé dans la zone Nom d'utilisateur, tapez le mot de passe du compte renommé, puis cliquez sur OK.

    Le message suivant apparaît :

    Le système n'a pas pu ouvrir de session. Assurez-vous que le nom d'utilisateur et le domaine sont corrects , puis entrez de nouveau votre mot de passe. Entrez le mot de passe en respectant la casse.

  3. Cliquez sur OK, puis tapez le nouveau nom du compte renommé dans la zone Nom d'utilisateur.

  4. Tapez le mot de passe du compte renommé, puis cliquez sur OK.

Vous devez pouvoir ouvrir une session sur l'ordinateur avec le compte renommé.

Isolement d'applications grâce à des pools d'applications

Vous pouvez utiliser IIS 6.0 pour isoler des applications dans des pools d'applications. Un pool d'applications est un groupe d'une ou plusieurs URL utilisées par un processus de travail ou un ensemble de processus de travail. L'utilisation de pools d'applications peut contribuer à améliorer la fiabilité et la sécurité de votre serveur Web puisque chaque application agit indépendamment des autres.

Chaque processus exécuté sur un système d'exploitation Windows dispose d'une identité de processus qui détermine la manière dont le processus accède aux ressources de l'ordinateur. Chaque pool d'applications dispose également d'une identité de processus matérialisée par un compte doté des autorisations minimales qu'exige votre application. L'identité de processus peut servir à autoriser l'accès anonyme à vos applications ou votre site Web.

Conditions requises

Vous devez effectuer les tâches suivantes :

  • Informations d'identification. Vous devez être connecté au serveur Web en tant que membre du groupe Administrateurs.

  • Outils. Poste de travail.

Pour créer un pool d'applications

  1. Cliquez successivement sur Démarrer, Panneau de configuration et Outils d'administration, puis double-cliquez sur Gestionnaire des services Internet (IIS).

  2. Double-cliquez sur l'ordinateur local, cliquez avec le bouton droit sur Pools d'applications, puis cliquez successivement sur Nouveau et Pool d'applications.

  3. Dans la zone ID du pool d'applications, tapez le nouvel ID du pool d'applications (la capture d'écran fournie en exemple ci-dessous utilise l'ID ContosoAppPool).

    SIIS604.GIF

  4. Sous Paramètres du pool d'applications, sélectionnez Utiliser les paramètres par défaut pour le nouveau pool d'applications, puis cliquez sur OK.

Pour affecter une application ou un site Web à un pool d'applications

  1. Cliquez successivement sur Démarrer, Panneau de configuration et Outils d'administration, puis double-cliquez sur Gestionnaire des services Internet (IIS).

  2. Cliquez avec le bouton droit sur l'application ou le site Web à attribuer à un pool d'applications, puis cliquez sur Propriétés.

  3. Cliquez sur Répertoire de base, Répertoire virtuel ou Répertoire selon le type d'application que vous avez sélectionné.

  4. Si vous attribuez un répertoire ou un répertoire virtuel à un pool d'applications, vérifiez que la zone Nom de l'application affiche le nom d'application ou de site Web correct.

    - ou -

    Si aucun nom n'apparaît dans la zone Nom de l'application, cliquez sur Créer, puis tapez le nom de l'application ou du site Web.

  5. Dans la zone de liste Pool d'applications, sélectionnez le nom du pool d'applications auquel vous souhaitez attribuer l'application ou le site Web (comme illustré dans la capture d'écran ci-dessous), puis cliquez sur OK.

    SIIS605.GIF

Vérification des nouveaux paramètres

Suivez les procédures suivantes pour vous assurer que les paramètres de sécurité corrects ont été appliqués sur votre serveur Web.

Pour vérifier qu'un pool d'applications a été créé

  1. Ouvrez une session sur le serveur Web à l'aide du compte Administrateur.

  2. Cliquez successivement sur Démarrer, Panneau de configuration et Outils d'administration, puis double-cliquez sur Gestionnaire des services Internet (IIS).

  3. Double-cliquez sur l'ordinateur local, puis sur Pools d'applications et vérifiez ensuite que le pool d'applications que vous avez créé apparaît sous le nœud Pools d'applications.

  4. Cliquez avec le bouton droit sur le pool d'applications que vous avez créé, puis cliquez sur Propriétés.

  5. Cliquez sur l'onglet Identité, vérifiez que le pool d'applications a pour identité un compte de sécurité prédéfini appelé Service réseau, puis cliquez sur OK.

Pour vérifier qu'une application ou un site Web appartient à un pool d'applications spécifique

  1. Ouvrez une session sur le serveur Web à l'aide du compte Administrateur.

  2. Cliquez successivement sur Démarrer, Panneau de configuration et Outils d'administration, puis double-cliquez sur Gestionnaire des services Internet (IIS).

  3. Double-cliquez sur l'ordinateur local, puis sur Sites Web. Cliquez ensuite avec le bouton droit sur le site Web dont vous souhaitez vérifier le pool d'applications, puis cliquez sur Propriétés.

  4. Cliquez sur Répertoire de base, Répertoire virtuel ou Répertoire selon le type d'application que vous avez sélectionné.

  5. Dans la zone de liste Pool d'applications, vérifiez que le nom du pool d'applications auquel vous souhaitez attribuer le site Web apparaît, puis cliquez sur Annuler.

Configuration de la sécurité des fichiers et des répertoires

Utilisez des contrôles d'accès renforcés pour mieux protéger les fichiers et répertoires sensibles. Dans la plupart des cas, il est plus efficace d'autoriser que de refuser l'accès à des comptes spécifiques. Dans la mesure du possible, définissez l'accès au niveau du répertoire. À mesure que vous les ajoutez au dossier, les fichiers héritent des autorisations de ce dernier. Aucune autre action de votre part n'est alors nécessaire.

Cette section décrit les tâches suivantes de manière détaillée pour vous aider à configurer la sécurité des fichiers et des répertoires :

  • Déplacement des fichiers journaux IIS et définition de leurs autorisations

  • Configuration des autorisations de la métabase IIS

  • Désactivation du composant FileSystemObject

Déplacement des fichiers journaux IIS et définition de leurs autorisations

Pour accroître la sécurité des fichiers journaux IIS, vous devez déplacer les fichiers vers un lecteur non-système configuré au format NTFS. Cet emplacement doit être différent de l'emplacement de celui du contenu de votre site Web. En changeant l'emplacement de ces fichiers, vous empêchez la divulgation du contenu de vos fichiers journaux suite à certains types d'attaques. Les fichiers journaux doivent également être sécurisés pour fournir un journal d'audit d'éventuelles attaques contre le serveur. L'insertion des fichiers journaux sur un disque non-système peut accroître les performances du serveur.

Conditions requises

Vous devez effectuer les tâches suivantes :

  • Informations d'identification. Vous devez être connecté au serveur Web en tant que membre du groupe Administrateurs.

  • Outils. Poste de travail et Gestionnaire de services Internet (iis.msc).

Pour déplacer les fichiers journaux IIS vers une partition non-système

  1. Cliquez sur Démarrer, cliquez avec le bouton droit sur Poste de travail, puis cliquez sur Explorer.

  2. Accédez au répertoire dans lequel vous souhaitez placer les fichiers journaux IIS.

  3. Cliquez avec le bouton droit sur le répertoire un niveau au-dessus de l'endroit où vous souhaitez placer les fichiers journaux IIS, puis cliquez successivement sur Nouveau et Dossier.

  4. Tapez le nom du dossier (par exemple, JournauxIISContoso), puis appuyez sur ENTRÉE.

  5. Cliquez successivement sur Démarrer, Panneau de configuration et Outils d'administration, puis double-cliquez sur Gestionnaire des services Internet (IIS).

  6. Cliquez avec le bouton droit sur le site Web, puis sur Propriétés.

  7. Cliquez sur l'onglet Site Web, puis sur Propriétés dans la zone Activer l'enregistrement dans le journal.

  8. Sous l'onglet Propriétés générales, cliquez sur Parcourir, puis accédez au dossier que vous venez de créer pour stocker les fichiers journaux IIS.

  9. Cliquez trois fois sur OK.

Remarque   Si vous disposez déjà de fichiers journaux à l'emplacement d'origine sous Windows\System32\Logfiles, vous devez manuellement déplacer ces fichiers vers le nouvel emplacement. IIS ne déplace pas ces fichiers pour vous.

Pour définir des listes de contrôle d'accès sur les fichiers journaux IIS

  1. Cliquez sur Démarrer, cliquez avec le bouton droit sur Poste de travail, puis cliquez sur Explorer.

  2. Accédez au dossier contenant vos fichiers journaux.

  3. Cliquez avec le bouton droit sur le dossier, puis cliquez successivement sur Propriétés et sur l'onglet Sécurité.

  4. Dans le volet supérieur, cliquez sur Administrateurs et assurez-vous que les autorisations dans le volet inférieur sont définies avec la valeur Contrôle total.

  5. Dans le volet supérieur, cliquez sur Système, assurez-vous que les autorisations dans le volet inférieur sont définies avec la valeur Contrôle total, puis cliquez sur OK.

Vérification des nouveaux paramètres

Suivez la procédure suivante pour vérifier que les paramètres de sécurité corrects ont été appliqués à votre serveur Web.

Pour vérifier que les fichiers journaux sont déplacés et que les autorisations sont définies

  1. Cliquez successivement sur Démarrer, sur Rechercher, puis sur Des fichiers ou des dossiers.

  2. Tapez un nom de fichier partiel ou complet dans la zone Rechercher les fichiers ou les dossiers nommés, par exemple FichiersJournaux. Sélectionnez un emplacement dans la zone Regarder dans, puis cliquez sur Rechercher.

    La recherche affiche le nouvel emplacement des fichiers journaux.

  3. Appuyez sur CTRL+ALT+SUPPR, puis cliquez sur Fermer la session.

  4. Ouvrez une session sur le serveur Web avec un compte non autorisé à accéder aux fichiers journaux.

  5. Cliquez sur Démarrer, cliquez avec le bouton droit sur Poste de travail, cliquez sur Explorer, puis accédez au répertoire FichiersJournaux.

  6. Cliquez avec le bouton droit sur le répertoire FichiersJournaux, puis cliquez sur Ouvrir. Le message suivant apparaît :

    Accès refusé.

Configuration des autorisations de la métabase IIS

La métabase IIS est un fichier XML qui contient la majorité des informations de configuration d'IIS.

Conditions requises

Vous devez effectuer la tâche suivante :

  • Informations d'identification. Vous devez être connecté au serveur Web en tant que membre du groupe Administrateurs.

  • Outils. Poste de travail et fichier MetaBase.xml.

Pour restreindre l'accès au fichier MetaBase.xml

  1. Cliquez sur Démarrer, cliquez avec le bouton droit sur Poste de travail, puis cliquez sur Explorer.

  2. Accédez au fichier Windows\System32\Inetsrv\MetaBase.xml, cliquez avec le bouton droit sur ce fichier, puis cliquez sur Propriétés.

  3. Cliquez sur l'onglet Sécurité, confirmez que seuls les membres du groupe Administrateurs et du compte LocalSystem disposent d'un accès de type Contrôle total à la métabase, supprimez toutes les autres autorisations de fichiers, puis cliquez sur OK.

Vérification des nouveaux paramètres

Suivez la procédure suivante pour vérifier que les paramètres de sécurité corrects ont été appliqués à votre serveur Web.

Pour vérifier l'accès restreint au fichier MetaBase.xml

  1. Appuyez sur CTRL+ALT+SUPPR, puis cliquez sur Fermer la session.

  2. Ouvrez une session sur le serveur Web avec un compte non autorisé à accéder au fichier MetaBase.xml.

  3. Cliquez sur Démarrer, cliquez avec le bouton droit sur Poste de travail, cliquez sur Explorer, puis accédez à l'emplacement du fichier MetaBase.xml.

  4. Cliquez avec le bouton droit sur le fichier MetaBase.xml, puis cliquez sur Ouvrir. Le message suivant apparaît :

    Accès refusé.

Désactivation du composant FileSystemObject

ASP, l'environnement d'exécution de scripts WSH (Windows Script Host) et d'autres applications de script utilisent le composant FileSystemObject (FSO) pour créer, supprimer et manipuler les lecteurs, les dossiers et les fichiers, mais aussi pour obtenir des informations sur ces derniers. Si possible, désactivez le composant FSO tout en sachant que vous supprimerez aussi l'objet Dictionnaire. Qui plus est, vérifiez qu'aucun autre programme n'exige ce composant.

Conditions requises

Vous devez effectuer la tâche suivante :

  • Informations d'identification. Vous devez être connecté au serveur Web en tant que membre du groupe Administrateurs.

  • Outils. Invite de commandes.

Pour désactiver le composant FileSystemObject

  1. Cliquez successivement sur Démarrer et Exécuter, tapez cmd dans la zone Ouvrir, puis cliquez sur OK.

  2. Tapez cd c:\Windows\system32 et appuyez sur la touche ENTRÉE pour passer au répertoire C:\Windows\system32.

  3. À l'invite de commandes, tapez regsvr32 scrrun.dll /u, puis appuyez sur la touche ENTRÉE. Le message suivant apparaît :

    DllUnregisterServer in scrrun.dll succeeded.

  4. Cliquez sur OK.

  5. À l'invite de commandes, tapez exit et appuyez sur la touche ENTRÉE pour fermer la fenêtre d'invite de commandes.

Sécurisation des sites Web et des répertoires virtuels

Pour une meilleure protection contre les attaques de balayage de répertoires, placez les répertoires racine Web et les répertoires virtuels dans une partition non-système. Ces attaques permettent à des utilisateurs malveillants d'exécuter des programmes et des outils du système d'exploitation. Vu l'impossibilité de parcourir des lecteurs, le déplacement du contenu du site Web vers un autre lecteur offre une protection supplémentaire contre ces attaques.

Cette section décrit les tâches suivantes de manière détaillée pour vous aider à sécuriser des sites Web et des répertoires virtuels :

  • Déplacement du contenu de votre site Web vers un lecteur non-système

  • Configuration des autorisations du site Web

Déplacement du contenu du site Web vers un lecteur non-système

N'utilisez pas le répertoire \Inetpub\Wwwroot par défaut en tant qu'emplacement du contenu de votre site Web. Par exemple, si votre système d'exploitation est installé sur le lecteur C:, déplacez si possible votre site et son contenu vers le lecteur D: afin de minimiser les risques liés à des attaques de balayage de répertoires au cours desquelles un utilisateur malveillant peut tenter de parcourir la structure arborescente de votre serveur Web. Vérifiez que tous les répertoires virtuels pointent vers le nouveau lecteur.

Conditions requises

Vous devez effectuer la tâche suivante :

  • Informations d'identification. Vous devez être connecté au serveur Web en tant que membre du groupe Administrateurs.

  • Outils. Gestionnaire de services Internet (iis.msc) et invite de commandes.

Pour déplacer le contenu du site Web vers un lecteur non-système

  1. Cliquez successivement sur Démarrer, Panneau de configuration et Outils d'administration, puis double-cliquez sur Gestionnaire des services Internet (IIS).

  2. Cliquez avec le bouton droit sur le site Web dont vous souhaitez déplacer le contenu, puis cliquez sur Arrêter.

  3. Cliquez successivement sur Démarrer et Exécuter, tapez cmd dans la zone Ouvrir, puis cliquez sur OK.

  4. Tapez ce qui suit à l'invite de commandes :

    xcopy c:\inetpub\wwwroot\ <NomSite> <Lecteur> :\wwwroot\NomSite /s /i /o

    • <NomSite> désigne le nom de votre site Web.

    • <Lecteur> désigne la lettre choisie pour le nouveau lecteur (par exemple, D).

  5. Revenez dans le composant logiciel enfichable Gestionnaire de services Internet (IIS), cliquez avec le bouton droit sur le site Web, puis cliquez sur Propriétés.

  6. Cliquez sur l'onglet Répertoire de base, Répertoire virtuel ou Répertoire selon le type d'application que vous avez sélectionné, tapez le nouvel emplacement du répertoire dans la zone Chemin d'accès local, puis cliquez sur OK.

    - ou -

    Accédez au nouvel emplacement du répertoire où vous venez de copier les fichiers, puis cliquez sur OK.

  7. Cliquez avec le bouton droit sur le site Web, puis cliquez sur Démarrer.

Vérification des nouveaux paramètres

Suivez les procédures suivantes pour vous assurer que les paramètres de sécurité corrects ont été appliqués sur votre serveur Web.

Pour vérifier que le contenu du site Web a été déplacé vers un lecteur non-système

  1. Cliquez successivement sur Démarrer, sur Rechercher, puis sur Des fichiers ou des dossiers.

  2. Tapez un nom de fichier partiel ou complet dans la zone Rechercher les fichiers ou les dossiers nommés, sélectionnez un emplacement dans la zone Regarder dans, puis cliquez sur Rechercher.

    Les résultats de la recherche affichent les fichiers que vous avez placés au nouvel emplacement, ainsi que ceux situés à l'emplacement d'origine.

Pour supprimer le contenu du site Web du lecteur système

  • Accédez au répertoire C:\Inetpub\Wwwroot\NomSite, puis supprimez les fichiers que vous avez déplacés vers un lecteur non-système.

Pour vérifier que le contenu du site Web a été supprimé du lecteur système

  1. Cliquez successivement sur Démarrer, sur Rechercher, puis sur Des fichiers ou des dossiers.

  2. Tapez un nom de fichier partiel ou complet dans la zone Rechercher les fichiers ou les dossiers nommés, sélectionnez un emplacement dans la zone Regarder dans, puis cliquez sur Rechercher.

    Seuls les fichiers que vous avez placés au nouvel emplacement apparaissent dans les résultats de la recherche.

Configuration des autorisations du site Web

Vous pouvez configurer les autorisations d'accès de votre serveur Web pour des sites, des répertoires et des fichiers spécifiques. Ces autorisations concernent tous les utilisateurs, quels que soient leurs droits d'accès propres.

Configuration des autorisations d'accès aux répertoires du système de fichiers

IIS 6.0 s'appuie sur les autorisations NTFS pour protéger des fichiers et répertoires individuels contre tout accès non autorisé. Contrairement aux autorisations de site Web qui s'appliquent à quiconque tente d'accéder au site Web, vous pouvez utiliser les autorisations NTFS pour identifier les utilisateurs habilités à accéder au contenu et la manière dont ils peuvent manipuler ce même contenu. Pour une meilleure sécurité, utilisez à la fois les autorisations de site Web et les autorisations NTFS.

Les listes de contrôle d'accès identifient les utilisateurs ou les groupes autorisés à accéder à un fichier donné ou à le modifier. Au lieu de définir des listes de contrôle d'accès dans chaque fichier, créez des répertoires pour chaque type de fichier, définissez des listes de contrôle d'accès dans chaque répertoire, puis autorisez les fichiers à hériter des autorisations du répertoire dans lequel ils résident.

Conditions requises

Vous devez effectuer les tâches suivantes :

  • Informations d'identification. Vous devez être connecté au serveur Web en tant que membre du groupe Administrateurs.

  • Outils. Poste de travail et Gestionnaire de services Internet (iis.msc).

Pour déplacer le contenu du site Web dans un dossier séparé

  1. Cliquez sur Démarrer, cliquez avec le bouton droit sur Poste de travail, puis cliquez sur Explorer.

  2. Accédez au dossier où est stocké le contenu de votre site Web, puis cliquez sur le dossier de niveau supérieur.

  3. Dans le menu Fichier, cliquez sur Nouveau, puis sur Dossier pour créer un dossier dans le répertoire du contenu du site Web.

  4. Indiquez le nom du dossier et appuyez sur ENTRÉE.

  5. Appuyez sur CTRL, puis sélectionnez chacune des pages que vous souhaitez protéger.

  6. Cliquez avec le bouton droit sur les pages, puis cliquez sur Copier.

  7. Cliquez avec le bouton droit sur le nouveau dossier, puis cliquez sur Coller.

Remarque   Si vous avez créé des liens menant à ces pages, vous devez les mettre à jour en fonction du nouvel emplacement du contenu du site.

Pour définir les autorisations du contenu Web

  1. Cliquez successivement sur Démarrer, Panneau de configuration et Outils d'administration, puis double-cliquez sur Gestionnaire des services Internet (IIS).

  2. Cliquez avec le bouton droit sur le dossier Sites Web, le site Web, le répertoire, le répertoire virtuel ou le fichier que vous souhaitez configurer, puis cliquez sur Propriétés.

  3. Activez ou désactivez les cases à cocher suivantes (si elles sont disponibles), selon le type d'accès que vous souhaitez octroyer ou refuser :

    • Accès à la source du script. Les utilisateurs peuvent accéder aux fichiers source. Si l'autorisation Lecture est sélectionnée, la source peut être lue ; si l'autorisation Écriture est sélectionnée, la source peut être modifiée en écriture. L'option Accès à la source du script comprend le code source des scripts. Pour que cette option soit disponible, il faut que l'autorisation Lecture ou Écriture soit sélectionnée.

    • Lecture (sélectionnée par défaut). Les utilisateurs peuvent afficher le contenu et les propriétés des fichiers ou des répertoires.

    • Écriture. Les utilisateurs peuvent modifier le contenu et les propriétés d'un répertoire ou d'un fichier.

    • Exploration de répertoire. Les utilisateurs peuvent afficher les listes et les collections de fichiers.

    • Accès au journal. Une entrée de journal est créée à chaque visite du site Web.

    • Indexer cette ressource. Autorise le Service d'indexation à indexer cette ressource. Ceci permet aux utilisateurs d'effectuer des recherches sur la ressource.

  4. Dans la zone de liste Autorisations d'exécution, sélectionnez le niveau d'exécution de script approprié :

    • Aucun. N'exécuter aucun script ou fichier exécutable (des fichiers portant l'extension .exe, par exemple) sur le serveur.

    • Scripts uniquement. Exécuter uniquement des scripts sur le serveur.

    • Scripts et exécutables. Exécuter à la fois des scripts et des fichiers exécutables sur le serveur.

  5. Cliquez sur OK. Si les nœuds enfants d'un répertoire bénéficient d'autorisations de site Web différentes, la zone Héritages outrepassés apparaît.

  6. Si la zone Héritages outrepassés apparaît, sélectionnez dans la liste Nœuds enfants les nœuds auxquels vous souhaitez appliquer les autorisations Web du répertoire.

    - ou -

    Cliquez sur Sélectionner tout pour appliquer les autorisations Web à tous les nœuds enfants.

  7. Si plusieurs zones Héritages outrepassés s'affichent, sélectionnez les nœuds enfants dans la liste Nœuds enfants ou bien cliquez sur Sélectionner tout, puis sur OK pour appliquer les autorisations Web de cette propriété aux nœuds enfants.

Si un nœud enfant appartenant au répertoire bénéficiant des autorisations de site Web que vous avez modifiées a également défini des autorisations de site Web pour une option donnée, les autorisations du nœud enfant remplacent celles que vous avez définies pour le répertoire. Si vous souhaitez que les autorisations de site Web au niveau du répertoire s'appliquent aux nœuds enfants, vous devez sélectionner ces derniers dans la zone Héritages outrepassés.

Vérification des nouveaux paramètres

Suivez la procédure suivante pour vérifier que les paramètres de sécurité corrects ont été appliqués à votre serveur Web.

Pour vérifier que les répertoires du contenu du site Web ne sont pas accessibles en écriture

  1. Appuyez sur CTRL+ALT+SUPPR, puis cliquez sur Fermer la session.

  2. Ouvrez une session sur le serveur Web avec un compte possédant les autorisations Lecture et Exécution sur le répertoire physique ou virtuel.

  3. Cliquez sur Démarrer, cliquez avec le bouton droit sur Poste de travail, cliquez sur Explorer, puis accédez à l'emplacement d'un fichier que vous souhaitez copier dans le répertoire physique ou virtuel.

  4. Cliquez avec le bouton droit sur le fichier, puis cliquez sur Copier.

  5. Accédez à l'emplacement du répertoire physique ou virtuel, puis cliquez avec le bouton droit sur le répertoire. L'option Coller n'est pas disponible dans le menu contextuel, ce qui signifie que vous ne disposez pas d'un accès en écriture au répertoire.

Configuration de Secure Sockets Layer (SSL) sur le serveur Web

Configurez les fonctionnalités de sécurité SSL (Secure Sockets Layer) sur votre serveur Web afin de vérifier l'intégrité de votre contenu, vérifier l'identité des utilisateurs et chiffrer les transmissions réseau. SSL est généralement indispensable si vous comptez autoriser des transactions de carte de crédit sur un site Web. La sécurité SSL s'appuie sur un certificat de serveur qui permet aux utilisateurs d'authentifier votre site Web avant qu'ils ne transmettent des informations personnelles (par exemple, un numéro de carte de crédit). Chaque site Web peut disposer d'un seul certificat de serveur.

Obtention et installation d'un certificat de serveur

Les certificats sont émis par des organisations non-Microsoft, appelées « autorités de certification ». Le certificat de serveur est généralement associé à votre serveur Web, plus particulièrement au site Web sur lequel vous avez configuré SSL. Vous devez créer une demande de certificat, l'envoyer à l'autorité de certification, puis installer le certificat renvoyé par l'autorité.

Pour appliquer la sécurité, les certificats se basent sur deux clés de chiffrement, l'une publique, l'autre privée. Lorsque vous créez une demande de certificat de serveur, vous générez en fait la clé privée. Le certificat de serveur que vous recevez de l'autorité de certification contient de son côté la clé publique.

Conditions requises

Vous devez effectuer les tâches suivantes :

  • Informations d'identification. Vous devez être connecté au serveur Web en tant que membre du groupe Administrateurs.

  • Outils. Gestionnaire de services Internet (iis.msc) et Assistant Certificat de serveur Web.

Pour créer une demande de certificat de serveur

  1. Cliquez sur Démarrer, cliquez avec le bouton droit sur Poste de travail, puis cliquez sur Gérer.

  2. Double-cliquez sur Services et applications, puis sur Services Internet (IIS).

  3. Cliquez avec le bouton droit sur le site Web dans lequel vous souhaitez installer un certificat de serveur, puis cliquez sur Propriétés.

  4. Cliquez sur l'onglet Sécurité de répertoire. Dans la zone Communications sécurisées, cliquez sur Certificat de serveur pour démarrer l'Assistant Certificat de serveur Web, puis cliquez sur Suivant.

  5. Cliquez sur Créer un certificat, puis sur Suivant.

  6. Cliquez sur Préparer la demande, mais ne pas l'envoyer maintenant, puis sur Suivant.

  7. Dans la zone Nom, tapez un nom facile à mémoriser. Le nom par défaut est le nom du site Web pour lequel vous créez la demande de certificat (par exemple, http://www.contoso.com.)

  8. Précisez une longueur en bits, puis cliquez sur Suivant.

    La longueur en bits de la clé de chiffrement détermine l'efficacité du chiffrement. La plupart des autorités de certification indépendantes préfèrent une longueur minimale de 1 024 bits.

  9. Dans la section Organisation, indiquez votre organisation et votre unité d'organisation. Vérifiez que ces informations sont exactes et que les champs Organisation ne contiennent aucune virgule, puis cliquez sur Suivant.

  10. Dans la section Nom commun de votre site, tapez le nom de l'ordinateur hôte avec le nom de domaine, puis cliquez sur Suivant.

  11. Tapez vos données géographiques, puis cliquez sur Suivant.

  12. Enregistrez le fichier au format .txt. Le nom de fichier et l'emplacement par défaut sont C:\certreq.txt. L'exemple suivant montre le contenu d'un fichier de demande de certificat.

                    -----BEGIN NEW CERTIFICATE REQUEST-----
    
    MIIDATCCAmoCAQAwbDEOMAwGA1UEAxMFcGxhbjgxDDAKBgNVBAsTA1BTUzESMB
                    A1UEChMJTWljcm9zb2Z0MRIwEAYDVQQHEwlDaGFybG90dGUxFzAVBgNVBAgTDk
                    cnRoIENhcm9saW5hMQswCQYDVQQGEwJVUzCBnzANBgkqhkiG9w0BAQEFAAOBjQ
                    gYkCgYEAtW1koGfdt+EoJbKdxUZ+5vE7TF1ZuT+xaK9jEWHESfw11zoRKrHzHN
                    IASnwg3vZ0ACteQy5SiWmFaJeJ4k7YaKUb6chZXG3GqL4YiSKFaLpJX+YRiKMt
                    JzFzict5GVVGHsa1lY0BDYDO2XOAlstGlHCtENHOKpzdYdANRg0CAwEAAaCCAV
                    GgYKKwYBBAGCNw0CAzEMFgo1LjAuMjE5NS4yMDUGCisGAQQBgjcCAQ4xJzAlMA
                    A1UdDwEB/wQEAwIE8DATBgNVHSUEDDAKBggrBgEFBQcDATCB/QYKKwYBBAGCNw
                    AjGB7jCB6wIBAR5aAE0AaQBjAHIAbwBzAG8AZgB0ACAAUgBTAEEAIABTAEMAaA
                    AG4AbgBlAGwAIABDAHIAeQBwAHQAbwBnAHIAYQBwAGgAaQBjACAAUAByAG8Adg
                    AGQAZQByA4GJAGKa0jzBn8fkxScrWsdnU2eUJOMUK5Ms87Q+fjP1/pWN3PJnH7
                    MBc5isFCjww6YnIjD8c3OfYfjkmWc048ZuGoH7ZoD6YNfv/SfAvQmr90eGmKOF
                    TD+hl1hM08gu2oxFU7mCvfTQ/2IbXP7KYFGEqaJ6wn0Z5yLOByPqblQZAAAAAA
                    MhfC7CIvR0McCQ+CBwuLzD+UJxl+kjgb+qwcOUkGX2PCZ7tOWzcXWNmn/4YHQl
                    GEXu0w67sVc2R9DlsHDNzeXLIOmjUl935qy1uoIR4V5C48YNsF4ejlgjeCFsbC Jb9/2RM=
                    -----END NEW CERTIFICATE REQUEST-----
                  
  13. Confirmez les détails de votre demande, cliquez sur Suivant, puis sur Terminer.

Pour envoyer une demande de certificat de serveur

  1. Contactez votre autorité de certification pour connaître les modalités d'envoi d'une demande.

  2. Copiez le contenu du fichier .txt créé au cours de la procédure précédente dans le format de demande requis par votre autorité de certification.

  3. Envoyez la demande à votre autorité de certification.

Une fois le certificat reçu, vous pouvez l'installer sur votre serveur Web.

Pour installer un certificat de serveur

  1. Copiez le fichier de certificat (.cer) dans le dossier C:\Windows\System32\CertLog.

  2. Cliquez successivement sur Démarrer, Panneau de configuration et Outils d'administration, puis double-cliquez sur Gestionnaire des services Internet (IIS).

  3. Cliquez avec le bouton droit sur le site Web dans lequel vous souhaitez installer un certificat de serveur, puis cliquez sur Propriétés.

  4. Cliquez sur l'onglet Sécurité de répertoire. Dans la zone Communications sécurisées, cliquez sur Certificat de serveur pour démarrer l'Assistant Certificat de serveur Web, puis cliquez sur Suivant.

  5. Cliquez sur Traiter la demande en attente et installer le certificat, puis sur Suivant.

  6. Accédez au certificat que vous avez reçu de l'autorité de certification. Cliquez deux fois sur Suivant, puis sur Terminer.

Vérification des nouveaux paramètres

Suivez la procédure suivante pour vérifier que les paramètres de sécurité corrects ont été appliqués à votre ordinateur local.

Pour vérifier qu'un certificat est installé sur un serveur Web

  1. Cliquez successivement sur Démarrer, Panneau de configuration, Outils d'administration et Gestionnaire des services Internet (IIS).

  2. Cliquez avec le bouton droit sur le site Web contenant un certificat que vous souhaitez afficher, puis cliquez sur Propriétés.

  3. Dans la zone Communications sécurisées de l'onglet Sécurité de répertoire, cliquez sur Afficher le certificat, passez le certificat en revue, puis cliquez deux fois sur OK.

Mise en œuvre et activation de connexions SSL sur le serveur Web

Après avoir installé le certificat de serveur, vous devez établir des connexions SSL sur votre serveur Web, puis activer ces connexions.

Remarque   Une fois les connexions SSL établies sur votre serveur Web, vous devrez mettre à jour tous les liens de sorte qu'ils utilisent https à la place de http.

Conditions requises

Vous devez effectuer les tâches suivantes :

  • Informations d'identification. Vous devez être connecté au serveur Web en tant que membre du groupe Administrateurs.

  • Outils. Gestionnaire des services Internet (iis.msc).

Pour établir des connexions SSL

  1. Cliquez successivement sur Démarrer, Panneau de configuration et Outils d'administration, puis double-cliquez sur Gestionnaire des services Internet (IIS).

  2. Cliquez avec le bouton droit sur le site Web sur lequel vous souhaitez établir des connexions SSL, puis cliquez sur Propriétés.

  3. Cliquez sur l'onglet Sécurité de répertoire. Dans la zone Communications sécurisées, cliquez sur Modifier.

  4. Cliquez sur Requérir un canal sécurisé (SSL), définissez l'efficacité du chiffrement, puis cliquez sur OK.

    Remarque   Si vous spécifiez un chiffrement 128 bits, les ordinateurs clients qui utilisent un chiffrement 40 ou 56 bits sont incapables de communiquer avec votre site, sauf si les navigateurs sont mis à niveau avec des versions qui prennent en charge le chiffrement 128 bits.

Pour activer les connexions SSL sur le serveur Web

  1. Cliquez successivement sur Démarrer, Panneau de configuration et Outils d'administration, puis double-cliquez sur Gestionnaire des services Internet (IIS).

  2. Cliquez avec le bouton droit sur le site Web sur lequel vous souhaitez activer des connexions SSL, puis cliquez sur Propriétés.

  3. Cliquez sur l'onglet Site Web. Dans la section Identification de site Web, vérifiez que la zone Port SSL est renseignée avec la valeur numérique 443.

  4. Cliquez sur Avancé. En général, deux zones apparaissent et l'adresse IP ainsi que le port du site Web sont indiqués dans la zone Identités multiples pour ce site Web. Dans la zone Identités SSL multiples pour ce site Web, cliquez sur Ajouter si le port 443 n'est pas indiqué. Sélectionnez l'adresse IP du serveur, tapez la valeur numérique 443 dans la zone Port SSL, puis cliquez sur OK.

Vérification des nouveaux paramètres

Suivez la procédure suivante pour vérifier que les paramètres de sécurité corrects ont été appliqués à votre serveur Web.

Pour vérifier les connexions SSL sur le serveur Web

  1. Ouvrez votre navigateur et tentez de vous connecter au serveur Web en utilisant le protocole standard http://. Par exemple, dans la zone Adresse, tapez http://localhost et appuyez sur ENTRÉE.

    Si SSL est appliqué, le message d'erreur suivant apparaît :

    La page doit être visualisée sur un canal sécurisé. La page à laquelle vous tentez d'accéder est sécurisée à l'aide de SSL (Secure Sockets Layer).

  2. Essayez de nouveau de vous connecter à cette page en tapant https://localhost, puis en appuyant sur la touche ENTRÉE.

    En général, la page par défaut du serveur Web s'affiche.

Informations complémentaires

Pour plus d'informations sur la sécurisation d'IIS 6.0, consultez les ressources suivantes :

Pour plus d'informations sur IIS 6.0, consultez les ressources suivantes :


Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.
Afficher:
© 2014 Microsoft. Tous droits réservés.