IIS Insider – juillet 2001

Sur cette page

IIS Insider – juillet 2001
Paramètre Maximiser le débit des données pour les performances
Sécurisation d'un serveur Web contre les dégradations
Maintenance des autorisations NTFS pour vos serveurs Web
Message d'erreur “ Échec de génération de la demande de certificat ”
Les programmes n'affichent pas l'invite d'enregistrement sur votre ordinateur

IIS Insider – juillet 2001

Paramètre Maximiser le débit des données pour les performances

Q : Notre site Web connaît un trafic très dense et nous ajustons actuellement le serveur pour optimiser les performances. Certains membres de notre personnel souhaitent que le serveur soit configuré en vue de Maximiser le débit des données pour le partage de fichiers et d'autres pensent que nous devrions le configurer en vue de Maximiser le débit des données pour les applications réseau. Un serveur Web est fondamentalement un serveur de fichiers et nous n'exécutons pas d'applications basées sur le Web, quel est donc le paramètre qui est approprié à notre cas ?

R : Je comprends parfaitement la confusion sur ce point. Manifestement, IIS fonctionne comme un serveur de fichiers et en tant que serveur d'applications réseau. La nature hybride de IIS est telle que la configuration correcte du serveur constitue un réel défi. Le serveur sur lequel IIS fonctionne doit être configuré comme un serveur d'applications. Par défaut, Windows 2000 Server l'installe en tant que serveur de fichiers, mais vous bénéficierez de performances meilleures s'il est configuré en tant que serveur d'applications. Ceci vous permet de tirer profit d'une évolutivité SMP accrue, de l'amélioration des performances réseaux et de la prise en charge d'une quantité supérieure de mémoire physique pour vos applications Web. Voici comment vous pouvez configurer votre serveur en tant que serveur d'applications  :

1. Cliquez sur Démarrer, pointez sur Paramètres, puis cliquez sur Connexions réseau et accès à distance.

2. Sélectionnez Connexion au réseau local , puis ouvrez ses propriétés. Notez que le nom de cette connexion peut avoir été modifié.

3. Sélectionnez Partage de fichiers et d'imprimantes pour les réseaux Microsoft, puis ouvrez ses propriétés

4. Sous l'onglet Optimisation du serveur , sélectionnez Maximiser le débit des données pour les applications réseau (voir Figure 1).

Figure 1 Onglet Optimisation du serveur

Les autres conseils pour optimiser les performances sont :

1. Ajout de RAM. Pour de nombreux serveurs, ceci constitue l'option la moins onéreuse pour obtenir les meilleurs avantages.

2. Ajout de fichiers d'échange et augmentation de la taille. Lorsque vous ajoutez des fichiers d'échange et les distribuez sur les lecteurs, le serveur peut accéder plus efficacement aux fichiers d'échange les plus fréquemment utilisés. De plus, si vous utilisez une taille de fichiers d'échange fixe, le fichier d'échange ne sera pas fragmenté, ce qui entraîne des niveaux d'efficacité d'accès encore supérieurs.

3. Utilisation d'un système multidisque RAID 0 (agrégats par bandes sans parité) pour obtenir des performances maximales de votre sous-système de lecteur de disque. Assurez-vous que vous utilisez un matériel basé sur un contrôleur RAID plutôt que les capacités intégrées de contrôleur RAID de Windows 2000 ou NT 4. Même si les systèmes RAID logiciels fonctionnent parfaitement bien, il est inutile de surcharger le système d'exploitation avec cette tâche lorsque les performances sont en jeu.

4. Défragmentation régulière de vos lecteurs de disque dur.

5. Évitez d'utiliser des applications Web basées sur CGI. Convertissez tous les fichiers EXE que vous utilisez en ASP ou, encore mieux, en applications ISAPI.

Le réglage des performances des serveurs Web est bien sûr un domaine très vaste, mais ces suggestions de base constituent un point de départ. Souvenez-vous aussi qu'il est souvent préférable d'ajouter un nouveau serveur pour les performances et l'évolutivité plutôt que de renforcer un seul serveur. La fonctionnalité d'équilibrage de charge réseau Microsoft intégrée à Microsoft Windows 2000 Advanced Server rend l'opération d'ajout d'un second serveur faisable sur de nombreux sites en raison de sa simplicité d'implémentation et des améliorations résultantes en matière de performance/fiabilité.

Pour plus d'informations sur ces rubriques, consultez :

• L'art et la science du réglage des serveurs Web avec Internet Information Services 5.0 .

• Optimisation des performances IIS .

• Construire une ferme Web hautement disponible et évolutive .

Sécurisation d'un serveur Web contre les dégradations

Q : J'ai été très surpris d'arriver au bureau et de constater que notre site Web avait subit des dégradations. Existe-t-il des outils ou des techniques permettant de garantir que ceci ne se reproduise plus ?

R : Ceci constitue bien sûr un sujet très important qui ne peut être suffisamment satisfait dans le contexte des Q&R, mais en raison du nombre de questions de cette sorte soumises à IIS Insider, j'ai estimé qu'il devait être au moins mentionné et que des conseils devaient être proposés.

Le tout premier point dont il faut se souvenir est que la majorité des dégradations infligées aux serveurs Web impliquent des vulnérabilités connues et réparées. La plupart des attaques qui ont fait les premières pages au cours des quelques derniers mois impliquaient des vulnérabilités qui avaient été réparées des mois auparavant. Le récent vers sadmind/IIS ( CERT® Advisory CA-2001-11 sadmind/IIS Worm  ) a été la cause de nombreuses dégradations de sites Web. Il exploite une vulnérabilité connue de IIS 4 et IIS 5 corrigée depuis octobre 2000 (Les bulletins de sécurité 2000 ).

La sécurisation d'un serveur Web peut être un sujet complexe, mais vous pouvez suffisamment progresser avec quelques procédures.

1. Assurez-vous que votre serveur est à jour. Ceci signifie que vous avez installé tous les Service Packs et les mises à jour à chaud. Ceux-ci sont accessibles dans la section Sécurité. Certains correctifs à chaud impliquent une action de votre part et ne peuvent pas être simplement appliquées. La vulnérabilité RDS Data Factory Object constitue un exemple clé ( Microsoft Security Bulletin (MS99-025) ).

2. Abonnez-vous à la liste de messagerie électronique des Annonces sur la sécurité Microsoft (Microsoft Security Announcement ).

3. Prévoyez un plan de sécurité écrit qui inclut les détails concernant la personne à contacter dans l'éventualité d'une brèche dans la sécurité, dont la tâche consiste à examiner chaque annonce et à prendre des décisions en matière d'implémentation, et quels systèmes de surveillance doivent être utilisés.

4. Examinez le système NTFS ! Même si vous êtes complètement à jour sur les correctifs et Service Packs de votre serveur, ceci ne signifie pas grand chose si des utilisateurs anonymes peuvent télécharger et exécuter du contenu. Veillez à bien inclure dans votre examen le contenu des répertoires virtuels qui peut pointer vers un contenu à l'extérieur de votre dossier racine Web. Soyez particulièrement attentif à tout dossier pour lequel l'utilisateur anonyme dispose des autorisations d'écriture.

5. Implémentez la liste de contrôle de sécurité IIS, accessible sur la page Liste de contrôle pour la sécurisation de Internet Information Services 5.

6. Supprimez les services et applications qui ne sont pas nécessaires. Ceci peut varier d'un serveur à l'autre. Par exemple, si vous n'utilisez pas Index Server sur votre serveur, supprimez-le de IIS 4 ou désactivez le Service d'Indexation dans IIS 5.

Ces quelques étapes vous permettront de bloquer la majorité des attaques, car celles-ci reposent pour la plupart sur des systèmes automatisés à la recherche de cibles faciles à atteindre.

Vous pouvez obtenir d'autres informations sur la sécurisation des serveurs Web à l'adresse suivante :

• Sécurisation des serveurs Web publics  .

• Conseils généraux pour la configuration de Windows NT  .

• Renforcer Windows 2000 par Phillip Cox  .

• Sécurisation des stations de travail, serveurs et réseaux Windows 2000  .

• Il existe également un nouveau document   d'un intérêt particulier, qui n'est autre que le Guide de la NSA sur la Configuration sécurisée de Internet Information Service 5.0

Maintenance des autorisations NTFS pour vos serveurs Web

Q : Existe-t-il une solution pour restaurer les autorisations NTFS par défaut sur un serveur Web ?

R : Il n'existe aucun utilitaire intégré permettant d'effectuer ceci précisément. Il n'existe aucun élément de menu tel que “ Restaurer les autorisations par défaut ”. Ceci serait en fait une tâche presque impossible, puisque la structure de fichiers des serveurs Web peut être distribuée sur différents lecteurs, dossiers, et même sur d'autres serveurs. Il est en outre probable que vous avez installé quelques éléments sur votre serveur depuis son déploiement.

Toute difficulté mise à part, il existe quelques outils qui peuvent vous aider à documenter et à maintenir les autorisations NTFS.

La commande CALCS peut capturer une liste des autorisations NTFS relatives à votre serveur. Celle-ci peut être utilisée pour identifier l'état au démarrage des autorisations du serveur, dans le cas où vous auriez besoin de le comparer à une date ultérieure.

IIS 5 comporte une fonctionnalité utile nommée Assistant Autorisations IIS qui vous permettra de normaliser non seulement les autorisations NTFS, mais aussi l'authentification et les autorisations basées sur le Web (autorisations de lecture, d'écriture et d'exécution qui sont définies dans le complément logiciel enfichable IIS) pour un site Web. Ceci est parfait pour normaliser les paramètres d'un site Web, dans le cas où vous ne connaîtriez pas la configuration d'un site hérité modifié. Le Kit de ressources Windows 2000 Server comprend un outil qui vous autorise à créer vos propres modèles pour satisfaire vos besoins.

Un autre outil digne d'intérêt est Security Explorer par Small Wonders Software  . Ce programme vous permet de prendre un instantané de vos autorisations NTFS et de partage, à les stocker dans une base de données et à les restaurer si nécessaire.

Message d'erreur “ Échec de génération de la demande de certificat ”

Q : Nous tentons d'émettre des certificats à l'aide de l'Assistant Certificats de serveur Web IIS 5, mais nous recevons continuellement le message d'erreur suivant : “ Échec de génération de la demande de certificat ”. L'assistant a fonctionné sans failles sur d'autres sites Web, mais pas sur celui-ci.

R : Puisque votre système a émis des certificats pour d'autres serveurs, nous présumons que les Services de certificats fonctionnent correctement. Ceci nous conduit à examiner les spécificités du certificat que vous demandez. Lorsque vous créez une demande de certificat, un certain ensemble de normes s'appliquent à ce qui peut et ce qui ne peut pas être contenu dans les différents champs contenus dans le certificat. Par exemple, lorsque vous précisez la ville et l'état d'implantation de l'organisation pour laquelle le certificat est émis, vous êtes supposé épeler les noms complets et ne pas utiliser d'abréviations. Cette règle n'est pas mise en vigueur de façon rigide par la plupart des systèmes, mais techniquement, le certificat n'est pas correctement formaté si la ville ou l'état sont abrégés.

D'autres règles sont cependant mises en vigueur de façon rigide. Une demande de certificat réussie ne peut contenir que les caractères A à Z et/ou 0 à 9 dans les champs de la demande. Vous pouvez utiliser un point (.) dans le nom commun de la demande clé pour spécifier un nom de domaine complet. Votre certificat sera émis, en présumant que les services de certificats fonctionnent correctement et que votre demande de certificat contient uniquement des caractères valides.

Pour plus d'informations, consultez les articles suivants de la base de connaissances Microsoft :

• Q293485 - Message d'erreur : Échec de génération de la demande de certificat 

• Q228821 – Génération d'un fichier de demande de certificat à l'aide de l'Assistant Certificats dans IIS 5.0 

Les programmes n'affichent pas l'invite d'enregistrement sur votre ordinateur

Q : Nous souhaiterions livrer des programmes à nos clients en utilisant Internet Explorer pour afficher une page Web offrant des liens vers les programmes. Lorsqu'un utilisateur clique sur les liens, nous souhaiterions qu'ils affichent l'invite de procédure lui permettant d'enregistrer les fichiers sur son ordinateur. À l'heure actuelle, lorsqu'il clique sur un lien vers un programme, par exemple newrelease.exe, rien ne s'affiche.

R : Un lien vers un exécutable peut produire l'un des deux résultats suivants : Ce que vous observez est ce qui se produit lorsque le site Web, le dossier ou le répertoire virtuel qui contient l'exécutable comprend l'option Autorisations d'exécution définie sur Scripts et exécutables dans IIS 5, ou l'option Autorisations définie sur Exécuter (incluant les scripts) dans IIS 4. Ces deux options se trouvent sous l'onglet Répertoire de base du site Web, sous l'onglet Répertoire virtuel d'un répertoire virtuel ou sous l'onglet Répertoire d'un répertoire, dans le complément logiciel enfichable IIS.

Si vous modifiez ce paramètre sur les autorisations d'exécution Aucune ou Scripts, il sera demandé à l'utilisateur s'il souhaite télécharger le fichier.

Dernière mise à jour le mercredi 24 octobre 2001