Exporter (0) Imprimer
Développer tout

Guide de sécurité Windows Server 2003

Chapitre 9 : Rôle du serveur Web

Dernière mise à jour le 27 décembre 2005

Sur cette page

Présentation
Accès anonyme et paramètres SSLF
Paramètres de stratégie d’audit
Attribution des droits de l’utilisateur
Options de sécurité
Paramètres du journal des événements
Paramètres de sécurité supplémentaires
Création de la stratégie recourant à l'Assistant Configuration de la sécurité (SCW)
Résumé

Présentation

Ce chapitre fournit des instructions qui permettent de renforcer les serveurs Web dans un environnement Microsoft® Windows Server™  2003 avec SP1. Afin de mettre en place une solution de sécurité complète pour les serveurs Web et les applications dans l'intranet de votre entreprise, Microsoft recommande de protéger tous les serveurs Microsoft IIS (Internet Information Services), ainsi que les sites Web et les applications qui s'exécutent sur ces serveurs, à partir d'ordinateurs clients qui peuvent se connecter à ces derniers. Vous devez également protéger ces sites Web et ces applications des sites Web et des applications qui s'exécutent sur les autres serveurs IIS au sein de l'intranet de votre entreprise.

Afin de renforcer la protection contre les utilisateurs malveillants, la configuration par défaut des membres de la famille Windows Server 2003 n'installe pas IIS. Lorsqu'il est installé, IIS est configuré dans un mode extrêmement sécurisé et « verrouillé ». Par exemple, dans son état par défaut, IIS sert uniquement le contenu statique. Dans la mesure où elles risqueraient d'être exploitées par des intrus, des fonctions telles que les pages ASP (Active Server Pages), ASP.NET, SSI (Server Side Includes), la publication WebDAV (Web Distributed Authoring and Versioning) et les extensions de serveur Microsoft FrontPage® doivent être activées par un administrateur. Ces fonctions et services peuvent être activés via le nœud Extensions du service Web dans le Gestionnaire des services IIS. Le Gestionnaire des services IIS est une interface utilisateur graphique destinée à faciliter l’administration des IIS. Il intègre des ressources pour la gestion de fichiers, de répertoires et la configuration des pools d’applications, ainsi que des fonctions de sécurité, de performances et de fiabilité.

Vous devez envisager de mettre en œuvre les paramètres qui sont décrits dans les sections suivantes de ce chapitre pour renforcer la sécurité des serveurs Web IIS qui hébergent le contenu HTML de l'intranet de votre entreprise. Pour compléter la sécurisation de vos serveurs, vous devez également mettre en œuvre les procédures de contrôle de sécurité, de détection et de réponse afin de détecter les menaces potentielles.

La plupart des paramètres mentionnés dans ce chapitre sont configurés et sont appliqués par la stratégie de groupe. Un objet GPO incrémentiel, qui complète la stratégie MSBP, est relié aux UO appropriées et offre une sécurité supplémentaire pour les serveurs Web. Par souci de clarté, seuls les paramètres de stratégie qui sont différents de ceux de la stratégie MSBP sont abordés dans ce chapitre.

Dans la mesure du possible, ces paramètres sont rassemblés dans un modèle de stratégie de groupe incrémentiel qui sera appliqué à l'UO des serveurs Web. Certains des paramètres mentionnés dans ce chapitre ne peuvent pas être appliqués par la stratégie de groupe. Des informations détaillées sur la configuration manuelle de ces paramètres sont fournies.

Le tableau suivant affiche les noms des modèles de sécurité de serveur Web pour les trois environnements qui sont définis dans ce guide. Ces modèles de sécurité de serveur Web fournissent les paramètres de stratégie pour le modèle de serveur Web incrémentiel. Vous pouvez utiliser ce modèle pour créer un nouvel objet GPO qui est relié à l'UO de serveurs Web dans l'environnement approprié. Le chapitre 2, « Mécanismes de renforcement de Windows Server 2003 », fournit des instructions détaillées permettant de créer les UO et les stratégies de groupe, puis d'importer le modèle de sécurité approprié dans chaque objet GPO.

Tableau 9.1 Modèles de sécurité du serveur IIS

Client hérité

Client Entreprise

Sécurité spécialisée – Fonctionnalité limitée

LC-Web Server.inf

EC-Web Server.inf

SSLF-Web Server.inf

Pour plus d'informations sur les configurations par défaut, consultez le guide compagnon, Menaces et contre-mesures : Paramètres de sécurité dans Windows Server 2003 et Windows XP, qui est disponible sur le site http://go.microsoft.com/fwlink/?LinkId=15159.

Ce guide démontre comment sécuriser IIS tout en disposant de fonctionnalités minimales installées et activées. Si vous avez l'intention d'utiliser des fonctionnalités supplémentaires dans IIS, il peut être nécessaire d'adapter certains paramètres de sécurité. Si vous installez des services supplémentaires, tels que SMTP, FTP ou NNTP, vous devez également adapter les modèles et les stratégies fournis.

L'article en ligne « IIS and Built-in Accounts (IIS 6.0) » sur la page www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/
3648346f-e4f5-474b-86c7-5a86e85fa1ff.mspx détaille les différents types de compte, ainsi que les fonctionnalités IIS utilisées et les privilèges requis pour ces dernières. Pour mettre en œuvre des paramètres plus sécurisés sur les serveurs Web qui hébergent des applications complexes, vous pouvez consulter la documentation complète d'IIS 6.0 sur le site http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/
Library/IIS/848968f3-baa0-46f9-b1e6-ef81dd09b015.mspx.

Accès anonyme et paramètres SSLF

Quatre des droits utilisateur qui sont définis explicitement dans le scénario SSLF de la stratégie MSBP sont conçus pour empêcher l'accès anonyme aux sites Web IIS. Cependant, si vous souhaitez autoriser l'accès anonyme dans un environnement SSLF, vous devez apporter des modifications importantes à la structure d'UO et aux objets GPO qui sont décrits dans les chapitres 2, 3 et 4 de ce guide. Vous devrez alors créer une nouvelle UO ne faisant pas partie de la hiérarchie située en dessous de l'UO de serveurs membres. Cette UO pourrait être liée directement à la racine du domaine, ou être une UO enfant dans une autre hiérarchie d'UO. Cependant, vous ne devez pas attribuer de droits utilisateur dans un objet GPO affectant tous les serveurs qui doivent figurer dans cette nouvelle UO. Vous pouvez transférer les serveurs IIS vers la nouvelle UO, créer un objet GPO, lui appliquer les paramètres MSBP, puis reconfigurer les attributions de droits utilisateur, de façon à ce qu'ils soient contrôlés par la stratégie locale et non pas par l'objet GPO basé sur le domaine. En d'autres termes, vous devez configurer les droits utilisateur suivants sur Non défini dans ce nouvel objet GPO.

  • Accéder à cet ordinateur à partir du réseau

  • Permettre l’ouverture d’une session locale

  • Ignorer la recherche de l'autorisation Passer sur le dossier

  • Ouvrir une session en tant que tâche

Les fonctionnalités IIS à activer déterminent si vous devez également reconfigurer les autres droits utilisateur sur Non défini.

Paramètres de stratégie d’audit

Les paramètres de stratégie d’audit pour les serveurs IIS dans les trois environnements définis dans ces instructions sont configurés via la stratégie MSBP. Pour plus d'informations sur la stratégie MSBP, voir le chapitre 4, « Stratégie de base des serveurs membres ». Les paramètres MSBP permettent de s'assurer que toutes les informations d'audit de sécurité pertinentes figurent sur l'ensemble des serveurs IIS.

Attribution des droits de l’utilisateur

Les paramètres d'attribution de droits utilisateur pour les serveurs IIS dans les trois environnements définis dans ces instructions sont configurés via la stratégie MSBP. Pour plus d'informations sur la stratégie MSBP, voir le chapitre 4, « Stratégie de base des serveurs membres ». Les paramètres MSBP permettent de s'assurer que toutes les informations d'audit de sécurité pertinentes figurent sur l'ensemble des serveurs IIS.

Options de sécurité

Les paramètres de l'option de sécurité pour les serveurs IIS dans les trois environnements définis dans ces instructions sont configurés via la stratégie MSBP. Pour plus d'informations sur la stratégie MSBP, voir le chapitre 4, « Stratégie de base des serveurs membres ». Les paramètres MSBP permettent de s'assurer que toutes les informations d'audit de sécurité pertinentes sont configurées sur l'ensemble des serveurs IIS.

Paramètres du journal des événements

Les paramètres du journal d'événements pour les serveurs IIS dans les trois environnements définis dans ces instructions sont configurés via la MSBP. Pour plus d'informations sur la stratégie MSBP, voir le chapitre 4, « Stratégie de base des serveurs membres ». Les paramètres MSBP permettent de s'assurer que tous les paramètres relatifs au journal des événements sont configurés de façon autonome sur l'ensemble des serveurs IIS.

Paramètres de sécurité supplémentaires

Lorsque IIS est installé sur un ordinateur qui exécute Windows Server 2003 avec SP1, sa configuration par défaut permet seulement de transmettre le contenu Web statique. Lorsque les sites et applications Web contiennent du contenu dynamique ou requièrent un ou plusieurs composants IIS supplémentaires, chaque fonctionnalité IIS supplémentaire doit être activée manuellement. Cependant, vous devez veiller à minimiser la surface d'attaque de chaque serveur IIS dans votre environnement. Si les sites Web de votre organisation ne comportent que du contenu statique et ne requièrent aucun autre composant IIS, la configuration IIS par défaut permet de réduire la surface d'attaque des serveurs IIS.

Les paramètres de sécurité appliqués via la stratégie MSBP offrent de nombreuses options de sécurité renforcée aux serveurs IIS. Cependant, vous devez également envisager quelques paramètres supplémentaires. Les paramètres décrits dans les sections suivantes ne peuvent pas être mis en œuvre avec la stratégie de groupe et doivent donc être appliqués de façon manuelle sur tous les serveurs IIS.

Installation des composants IIS nécessaires uniquement

IIS 6.0 inclut d’autres composants et services en plus du Service de publication Web, tels que les services nécessaires pour prendre en charge les protocoles FTP, NNTP et SMTP. Les composants et services IIS sont installés et activés à l’aide du serveur d’application Assistant Composants de Windows, lequel peut être lancé en double-cliquant sur Ajout/Suppression de programmes dans le Panneau de configuration. Après avoir installé IIS, vous devez activer tous les composants et tous les services IIS qui sont requis par vos sites Web et vos applications.

Pour installer IIS (Internet information Services) 6.0

  1. Dans le Panneau de configuration, double-cliquez sur Ajout/Suppression de programmes.

  2. Cliquez sur le bouton Ajouter ou supprimer des composants Windows pour démarrer l'Assistant Composants de Windows.

  3. Dans la liste Composants, cliquez sur Serveur d'applications, puis sur Détails.

  4. Dans la boîte de dialogue Serveur d'applications, dans la zone Sous-composants de Serveur d'applications, cliquez sur Services Internet (IIS), puis sur Détails.

  5. Dans la boîte de dialogue Services Internet (IIS), dans la liste Sous-composants de Services Internet (IIS), effectuez l'une des actions suivantes :

    • Pour ajouter d'autres composants, activez leur case à cocher.

    • Pour supprimer des composants optionnels, désactivez leur case à cocher.

  6. Cliquez sur OK jusqu'à ce que la fenêtre de l'Assistant Composants de Windows apparaisse de nouveau.

  7. Cliquez sur Suivant, puis sur Terminer.

Vous devez activer uniquement les composants et les services IIS essentiels qui sont requis par les sites Web et les applications. Si vous activez des composants et des services superflus, la surface d'attaque du serveur IIS augmente. Les illustrations et les tableaux suivants donnent l'emplacement des composants IIS et les paramètres conseillés.

Les sous-composants de la boîte de dialogue Serveur d'applications sont indiqués dans l'illustration suivante :

Cc163131.s3sgch0901(fr-fr,TechNet.10).gif

Figure 9.1 Boîte de dialogue Serveur d'application avec liste de sous-composants

Le tableau suivant récapitule les sous-composants du serveur d'applications et indique quand les activer.

Tableau 9.2 Paramètres recommandés des sous-composants du serveur d'application

Nom du composant dans l'interface utilisateur

Paramètre

Description du paramètre

Console du serveur d'applications

Désactivé

Fournit un composant logiciel enfichable de la console MMC (Microsoft Management Console) qui permet de gérer tous les composants du serveur d'applications Web. Ce composant n'est pas requis sur un serveur IIS dédié car il est possible d'utiliser le gestionnaire de serveurs IIS.

ASP.NET

Désactivé

Fournit la prise en charge des applications ASP.NET. Activez ce composant lorsqu'un serveur IIS exécute des applications ASP.NET.

Activer l'accès COM+ réseau

Activé

Permet à un serveur IIS d'héberger des composants COM+ pour les applications distribuées. Ce composant est requis, entre autre, pour le service FTP, l'extension du serveur BITS, le service World Wide Web et le gestionnaire des services Internet.

Activer l'accès DTC réseau

Désactivé

Permet à un serveur IIS d'héberger des applications participant aux transactions réseau via le Distributeur de transactions distribuées. Désactivez ce composant, sauf si les applications s'exécutant sur le serveur IIS le requièrent.

Services IIS (Internet Information Services)

Activé

Fournit les services Web et FTP de base. Ce composant est requis pour les serveurs IIS dédiés.

Remarque : Si ce composant n'est pas activé, tous les sous-composants sont désactivés.

Message Queuing

Désactivé

Microsoft Message Queuing (MSMQ) offre une couche intergicielle pour le routage, le stockage et le transfert des applications Web d'entreprise.

Les sous-composants de la boîte de dialogue Services Internet (IIS) sont présentés dans l'illustration suivante :

Cc163131.s3sgch0902(fr-fr,TechNet.10).gif

Figure 9.1 Boîte de dialogue IIS avec liste de sous-composants

Le tableau suivant récapitule les sous-composants IIS et indique quand les activer.

Tableau 9.3 Paramètres recommandés pour les sous-composants IIS

Nom du composant dans l'interface utilisateur

Paramètre

Description du paramètre

Extension serveur BITS (Background Intelligent Transfer Service)

Désactivé

L'extension serveur BITS permet aux BITS des clients de télécharger des fichiers sur ce serveur en arrière-plan. Si l'une des applications des clients utilise des BITS pour télécharger des fichiers sur ce serveur, activez et configurez l'extension serveur BITS. Laissez-la désactivée dans tous les autres cas. Tenez compte du fait que Windows Update, Mise à jour Microsoft, SUS, WSUS et Mises à jour automatiques ne nécessitent pas l'exécution de ce composant. Ils nécessitent le composant client BITS, qui ne fait pas partie d'IIS.

Fichiers communs

Activé

Les services IIS requièrent ces fichiers, qui doivent toujours être activés sur les serveurs IIS.

Service FTP (File Transfer Protocol)

Désactivé

Permet aux serveurs IIS d'offrir des services FTP. Ce service n'est pas requis pour les serveurs IIS dédiés.

Extensions serveur FrontPage 2002

Désactivé

Prend en charge FrontPage pour l'administration et la publication de sites Web. Désactivez ce composant sur les serveurs IIS dédiés lorsque aucun site Web n'utilise les extensions FrontPage.

Gestionnaire des services IIS

Activé

Interface d'administration des services IIS.

Impression Internet

Désactivé

Offre une gestion des imprimantes par le Web et permet de partager les imprimantes via le protocole HTTP. Ce composant n'est pas requis sur les serveurs IIS dédiés.

Service NNTP

Désactivé

Distribue, interroge, récupère et publie les articles Usenet sur Internet. Ce composant n'est pas requis sur les serveurs IIS dédiés.

Service SMTP

Désactivé

Prend en charge le transfert de messagerie électronique. Ce composant n'est pas requis sur les serveurs IIS dédiés.

Service World Wide Web

Activé

Fournit le contenu des services Web ainsi que les contenus statique et dynamique au client. Ce composant est requis sur les serveurs IIS dédiés.

Les sous-composants de la boîte de dialogue Message Queuing sont indiqués dans l'illustration suivante :

Cc163131.s3sgch0903(fr-fr,TechNet.10).gif

Figure 9.3 Boîte de dialogue Message Queuing avec liste de sous-composants

Le tableau suivant récapitule les sous-composants de Message Queuing et indique quand les activer.

Tableau 9.4 Configuration recommandée des sous-composants Message Queuing

Nom du composant dans l'interface utilisateur

Option d'installation

Description du paramètre

Intégration d'Active Directory

Désactivé

Offre l'intégration au service d'annuaire Microsoft Active Directory® lorsqu'un serveur IIS appartient à un domaine. Ce composant est requis lorsque des sites Web et des applications fonctionnant sur des serveurs IIS utilisent Microsoft Message Queuing (MSMQ).

Commun

Désactivé

Ce composant est requis lorsque des sites Web et des applications fonctionnant sur des serveurs IIS utilisent MSMQ.

Prise en charge de client de niveau inférieur

Désactivé

Offre l'accès à Active Directory et à la reconnaissance de sites pour les clients en aval. Ce composant est requis lorsque les sites Web et les applications d'un serveur IIS utilisent MSMQ.

Prise en charge HTTP MSMQ

Désactivé

Permet d'envoyer et de recevoir des messages à l'aide du protocole HTTP de transport. Ce composant est requis lorsque les sites Web et les applications d'un serveur IIS utilisent MSMQ.

Prise en charge du routage

Désactivé

Fournit des services de stockage et de transfert de messages ainsi que des services efficaces de routage pour MSMQ. Ce composant est requis lorsque des sites Web et des applications fonctionnant sur des serveurs IIS utilisent MSMQ.

Déclencheurs

Désactivé

Associe l'arrivée de messages entrants dans une file d'attente à l'une des fonctionnalités d'un composant COM ou d'un programme exécutable autonome.

Les sous-composants de la boîte de dialogue Extension serveur BITS (Background Intelligent Transfer Service) sont présentés dans l'illustration suivante :

Cc163131.s3sgch0904(fr-fr,TechNet.10).gif

Figure 9.4 Extensions de serveur BITS avec liste de sous-composants

Le tableau suivant récapitule les sous-composants des extensions du serveur BITS et indique quand les activer.

Tableau 9.5 Configuration recommandée des sous-composants des extensions serveur BITS

Nom du composant dans l'interface utilisateur

Option d'installation

Description du paramètre

Composant logiciel enfichable de la console de gestion BITS

Désactivé

Installe un composant logiciel enfichable MMC pour l'administration BITS. Activez ce composant lorsque l'extension serveur BITS pour ISAPI (Internet Server Application Programming Interface) est activée.

Extension ISAPI du serveur BITS

Désactivé

Installe l'interface ISAPI BITS de façon à ce qu'un serveur IIS puisse transférer des données à l'aide de BITS. L'extension serveur BITS permet aux BITS des clients de télécharger des fichiers sur ce serveur en arrière-plan. Si l'une des applications des clients utilise des BITS pour télécharger des fichiers sur ce serveur, activez et configurez l'extension serveur BITS. Laissez-la désactivée dans tous les autres cas. Tenez compte du fait que Windows Update, Mise à jour Microsoft, SUS, WSUS et Mises à jour automatiques ne nécessitent pas l'exécution de ce composant. Ils nécessitent le composant client BITS, qui ne fait pas partie d'IIS.

Les sous-composants de la boîte de dialogue Service World Wide Web sont présentés dans l'illustration suivante :

Cc163131.s3sgch0905(fr-fr,TechNet.10).gif

Figure 9.5 Boîte de dialogue World Wide Web Service avec liste de sous-composants

Le tableau suivant récapitule les sous-composants du service World Wide Web et indique quand les activer.

Tableau 9.6 Configuration recommandée pour les sous-composants World Wide Web Service

Nom du composant dans l'interface utilisateur

Option d'installation

Description du paramètre

Active Server Pages

Désactivé

Offre la prise en charge ASP. Désactivez ce composant lorsque ASP n'est utilisé par aucun site Web ou aucune application sur les serveurs IIS, ou désactivez-le à l'aide des extensions du service Web. Pour plus d'informations, voir la section suivante « Activation des extensions de service Web essentielles uniquement » de ce chapitre.

Internet Data Connector

Désactivé

Offre la prise en charge du contenu dynamique des fichiers portant l'extension .idc. Désactivez ce composant lorsque aucun fichier portant l'extension .idc n'est présent dans les sites Web ou les applications présents sur les serveurs IIS, ou désactivez-le à l'aide des extensions du service Web. Pour plus d'informations, voir la section suivante « Activation des extensions de service Web essentielles uniquement » de ce chapitre.

Administration à distance (HTML)

Désactivé

Fournit une interface HTML pour administrer IIS. Utilisez plutôt le gestionnaire des services Internet pour offrir une administration simplifiée et pour réduire les risques d'attaque d'un serveur IIS. Cette fonction n'est pas requise sur les serveurs IIS dédiés.

Connexion par le Web au Bureau à distance

Désactivé

Comprend un contrôle Microsoft ActiveX® et des pages d'exemples pour l'hébergement des connexions de client de services Terminal Server. Utilisez plutôt le gestionnaire des services Internet pour offrir une administration simplifiée et pour réduire les risques d'attaque d'un serveur IIS. Non requis sur un serveur IIS dédié.

Serveur – Inclusions

Désactivé

Offre la prise en charge des fichiers .shtm, .shtml et .stm. Désactivez ce composant si aucun fichier portant ces extensions n'est présent dans les sites Web et les applications dépendant d'un serveur IIS.

WebDAV

Désactivé

WebDAV permet d'étendre le protocole HTTP/1.1 afin de permettre aux clients de publier, de verrouiller et de gérer des ressources sur le Web. Désactivez ce composant sur les serveurs IIS dédiés ou désactivez-le à l'aide des extensions du service Web. Pour plus d'informations, voir la section suivante « Activation des extensions de service Web essentielles uniquement » de ce chapitre.

Service World Wide Web

Activé

Fournit le contenu des services Web ainsi que les contenus statique et dynamique au client. Ce composant est requis sur les serveurs IIS dédiés.

Activation des extensions de service Web essentielles uniquement

De nombreux sites et applications Web s’exécutant sur des serveurs IIS possèdent une fonctionnalité étendue qui va au-delà des pages statiques et comprend notamment la possibilité de générer du contenu dynamique. Tout contenu dynamique traité ou étendu par les fonctions fournies par un serveur IIS est réalisé au moyen des extensions de service Web.

Les fonctions de sécurité avancées de IIS 6.0 permettent d’activer ou de désactiver individuellement les extensions de service Web. Comme indiqué précédemment, les serveurs IIS transmettent uniquement le contenu statique après une nouvelle installation. Les possibilités de contenu dynamique peuvent être activées via le nœud Extensions du service Web dans le Gestionnaire des services IIS. Ces extensions regroupent ASP.NET, SSI, WebDAV et les extensions serveur FrontPage.

L'une des façons d'assurer la compatibilité la plus élevée possible avec les applications existantes consiste à activer toutes les extensions de service Web. Toutefois, cette méthode présente également un risque, car elle augmente la surface d'attaque d'IIS. Vous ne devez activer que les extensions de service Web qui sont requises par les sites Web et les applications qui s'exécutent sur les serveurs IIS de votre environnement. Cette approche réduit les fonctionnalités serveur et la surface d'attaque de chaque serveur IIS.

Pour réduire la surface d'attaque des serveurs IIS autant que possible, seules les extensions de service Web nécessaires doivent être activées sur les serveurs IIS des trois environnements définis dans ce guide.

Le tableau suivant répertorie les extensions du service Web prédéfinies et indique quand activer chaque extension.

Tableau 9.7 Activation des extensions de service Web

Extension du service Web

Activer l'extension lorsque

Active Server Pages

Au moins un site Web ou au moins une application fonctionnant sur des serveurs IIS possède un contenu ASP.

ASP.NET v1.1.4322

Au moins un site Web ou au moins une application fonctionnant sur des serveurs IIS possède un contenu ASP.NET.

Toutes les extensions CGI inconnues

Au moins un site Web ou au moins une application fonctionnant sur des serveurs IIS possède un contenu avec des extensions CGI inconnues.

Toutes les extensions ISAPI inconnues

Au moins un site Web ou au moins une application fonctionnant sur des serveurs IIS possède un contenu avec des extensions ISAPI inconnues.

Extensions serveur FrontPage 2002

Au moins un site Web fonctionnant sur des serveurs IIS utilise des extensions FrontPage.

Connecteur de données Internet

Au moins un site Web ou au moins une application fonctionnant sur des serveurs IIS utilise le connecteur de données Internet (IDC) pour afficher des informations de base de données (y compris des fichiers .idc et .idx).

Inclusions serveur

Au moins un site Web fonctionnant sur des serveurs IIS utilise des directives d'inclusions serveur pour insérer du contenu réutilisable (par exemple, une barre de navigation, un en-tête ou un pied de page) dans d'autres pages Web.

WebDav (Web Distributed Authoring and Versioning)

La prise en charge de WebDAV est requise sur les serveurs ISS pour les clients afin qu'ils puissent publier et gérer des ressources Web de manière transparente.

Placement du contenu sur un volume de disque dédié

IIS stocke les fichiers de son site Web par défaut dans le dossier <racine_système> \inetpub\wwwroot, où <racine_système> correspond au lecteur sur lequel le système d'exploitation Windows Server 2003 est installé.

Dans les trois environnements qui sont définis dans ce guide, tous les fichiers et les dossiers qui composent les sites Web et les applications sont placés sur des volumes de disque dédiés qui ne font pas partie du système d'exploitation. Cette approche permet d'éviter les attaques de pénétration de répertoire, où l'utilisateur malveillant envoie des requêtes portant sur un fichier qui est situé en dehors de la structure de répertoires d'un serveur IIS.

Par exemple, le fichier Cmd.exe existe dans le dossier <racine_système> \System32. Un utilisateur malveillant pourrait établir une demande vers l’emplacement suivant :

..\..\Windows\system\cmd.exe

pour tenter d'accéder à l'invite de commande.

Si le contenu du site Web se trouve sur un volume de disque distinct, une attaque transversale de répertoire de ce type échouera pour deux raisons. Tout d’abord, les autorisations sur le fichier cmd.exe ont été réinitialisées en tant que construction de base de Windows Server 2003 avec SP1, ce qui en limite l’accès à un groupe beaucoup plus restreint d’utilisateurs. Ensuite, le fichier cmd.exe ne se trouve plus sur le même volume de disque que la racine Web. Il n’existe actuellement aucune méthode connue permettant d’accéder aux commandes d’un autre lecteur par le biais d’une telle attaque.

Outre les avantages du point de vue de la sécurité, les tâches d'administration, telles que les sauvegardes et les restaurations, sont plus faciles lorsque le site Web, les fichiers d'application et les dossiers sont placés sur un volume de disque dédié. De plus, du fait de l'utilisation d'un lecteur physique dédié distinct, le risque de surcharge du disque sur le volume système est réduit et les performances relatives à l’accès au disque s’en trouvent améliorées.

Définition des autorisations NTFS

Les ordinateurs qui exécutent Windows Server 2003 avec SP1 examinent les autorisations du système de fichiers NTFS pour déterminer les types d’accès dont dispose un utilisateur ou un processus sur un fichier ou dossier donné. Vous devez assigner les autorisations NTFS pour permettre ou refuser l'accès à des utilisateurs spécifiques pour les sites Web figurant sur des serveurs IIS dans les trois environnements qui sont définis dans ce guide.

Elles n’affectent que les comptes pour lesquels l’accès au contenu des sites et applications Web a été accordé ou refusé. Vous devez utiliser les autorisations NTFS en conjonction avec les autorisations Web, et non pas à leur place. Les autorisations de site Web affectent tous les utilisateurs qui accèdent au site ou à l’application Web. Si les autorisations Web entrent en conflit avec les autorisations NTFS pour un répertoire ou fichier, ce sont les paramètres les plus restrictifs qui sont appliqués.

Vous devez refuser explicitement l'accès aux comptes anonymes sur les sites Web et les applications pour lesquels l'accès anonyme n'est pas souhaitable. L’accès anonyme correspond à l’accès aux ressources réseau par un utilisateur ne disposant pas de paramètres d’identification authentifiés. Les comptes anonymes comprennent le compte Invité intégré, le groupe Invités et les comptes Anonymes IIS. En outre, éliminez toute autorisation d’accès en écriture à tous les utilisateurs, à l’exception des administrateurs IIS.

Le tableau suivant propose quelques recommandations sur les autorisations NTFS devant être appliquées selon les différents types de fichier sur un serveur IIS. Ces types de fichier peuvent être regroupés dans des dossiers séparés pour simplifier l'attribution des autorisations NTFS.

Tableau 9.8 Configuration recommandée pour les autorisations NTFS

Type de fichier

Autorisations NTFS recommandées

Fichiers CGI (.exe, .dll, .cmd, .pl)

Tout le monde (exécuter)

Administrateurs (contrôle total)

Système (contrôle total)

Fichiers script (.asp)

Tout le monde (exécuter)

Administrateurs (contrôle total)

Système (contrôle total)

Fichiers Include (.inc, .shtm, .shtml)

Tout le monde (exécuter)

Administrateurs (contrôle total)

Système (contrôle total)

Contenu statique (.txt, .gif, .jpg, .htm, .html)

Tout le monde (lecture seule)

Administrateurs (contrôle total)

Système (contrôle total)

Définition des autorisations de site Web IIS

IIS examine les autorisations de site Web pour déterminer les types d’action pouvant intervenir dans un site Web, telles que l’attribution d’un accès à la source du script ou l’exploration des répertoires. Vous devez assigner des autorisations d'accès aux sites Web pour renforcer la sécurité des sites Web sur les serveurs IIS dans les trois environnements qui sont définis dans ce guide.

Les autorisations de site Web peuvent être utilisées en conjonction avec les autorisations NTFS, et peuvent être configurées pour des sites spécifiques, des répertoires et des fichiers. À l’inverse des autorisations NTFS, les autorisations de site Web affectent toute personne tentant d’accéder à un site Web exécuté sur un serveur IIS. Ces autorisations peuvent être appliquées via le composant logiciel enfichable Gestionnaire des services MMC IIS.

Le tableau suivant répertorie les autorisations de site Web prises en charge par IIS 6.0 et fournit une brève description expliquant les circonstances d’attribution d’une autorisation donnée à un site Web.

Tableau 9.9 Autorisations de site Web IIS 6.0

Autorisation de site Web

Autorisation accordée

Lecture

Les utilisateurs peuvent afficher le contenu et les propriétés des répertoires et fichiers. Cette autorisation est sélectionnée par défaut.

Écriture

Les utilisateurs peuvent modifier le contenu et les propriétés des répertoires et fichiers.

Accès à la source du script

Les utilisateurs peuvent accéder aux fichiers sources. Si l’option Lire est active, la source peut être lue ; si l’option Écrire est active, le code source du script peut être modifié. L’option Accès à la source du script comprend le code source des scripts. Si les options Lire et Écrire ne sont ni l’une ni l’autre actives, cette option n’est pas disponible.

Important : Lorsque l’accès au script source est actif, les utilisateurs peuvent voir des informations sensibles, telles qu’un nom d'utilisateur ou un mot de passe. Ils peuvent également changer le code source qui s’exécute sur un serveur IIS et affecter considérablement la sécurité et les performances du serveur.

Exploration de répertoire

Les utilisateurs peuvent afficher les listes et collections de fichiers.

Accès au journal

Une entrée de journal est créée pour chaque visite du site Web.

Indexer cette ressource

Permet au service d’indexation d’indexer les ressources, ce qui permet d'exécuter des recherches sur ces dernières.

Execute

Les options suivantes déterminent le niveau d’exécution du script pour les utilisateurs :

  • Aucune. N’autorise pas les exécutables de script à fonctionner sur le serveur.

  • Scripts seulement. Autorise uniquement les scripts sur le serveur.

  • Scripts et exécutables. Autorise les scripts et les exécutables à s'exécuter sur le serveur.

Configuration de l’enregistrement dans le journal IIS

Microsoft recommande d'activer l'enregistrement dans le journal IIS sur les serveurs IIS dans les trois environnements qui sont définis dans ce guide.

Des journaux distincts peuvent être créés pour chaque site ou application Web. IIS enregistre davantage d'information que les journaux d'événements et les fonctionnalités de contrôle des performances du système d'exploitation Windows. Les journaux IIS peuvent inclure des informations telles que l’identification de la personne qui a visité un site, des pages qu’elle a visitées et du moment où les informations ont été affichées pour la dernière fois. Les journaux IIS peuvent permettre d’évaluer la popularité du contenu, d’identifier les goulets d’étranglement des informations et peuvent servir de ressources lorsqu’il s’agit d’identifier la source d’une attaque.

Le composant logiciel enfichable Gestionnaire des services MMC IIS peut être utilisé pour configurer le format du fichier journal, la programmation du journal et les informations précises à y consigner. Pour limiter la taille des journaux, appliquez un processus de planification prudent qui permette de déterminer les champs à enregistrer.

Lorsque l’enregistrement dans les journaux IIS est actif, IIS utilise le format de fichier journal étendu W3C pour créer des journaux de l’activité quotidienne. Ces derniers sont stockés dans le répertoire indiqué pour le site Web dans le Gestionnaire des services IIS. Pour améliorer les performances du serveur, les journaux doivent être stockés sur un volume de disque agrégé par bandes ou agrégé par bandes/miroir autre que le volume système.

En outre, les journaux peuvent être écrits sur un disque distant partagé via le réseau à l’aide d’un chemin UNC (Universal Naming Convention) complet. L’enregistrement des journaux à distance permet aux administrateurs de mettre en place un stockage et une sauvegarde de fichiers journaux centralisés. Cependant, les performances du serveur risquent de se détériorer lorsque les fichiers journaux sont écrits par l'intermédiaire du réseau.

L’enregistrement dans les journaux IIS peut être configuré pour utiliser divers autres formats de fichier journal ASCII ou ODBC (Open DataBase Connectivity). Les journaux ODBC permettent de stocker des informations d'activité dans une base de données de SQL. Cependant, tenez compte du fait que lorsque l'enregistrement ODBC est activé, IIS désactive la mise en cache en mode noyau, ce qui risque de détériorer les performances générales du serveur.

Les serveurs IIS qui hébergent des centaines de sites peuvent activer l’enregistrement de journaux binaires centralisé pour améliorer les performances d'enregistrement. Celui-ci permet à tous les sites Web d’un serveur IIS d’écrire les informations relatives à l’activité dans un fichier journal unique. Cette méthode peut faciliter considérablement la possibilité d’administrer et de faire évoluer le processus de consignation IIS en réduisant le nombre de fichiers journaux qui doivent être stockés et analysés un par un. Pour plus d'informations sur l’enregistrement de journaux binaires centralisé, consultez la page IIS Centralized Binary Logging à l'adresse suivante www.microsoft.com/technet/prodtechnol
/WindowsServer2003/Library/IIS/13a4c0b5-686b-4766-8729-a3402da835f1.mspx.

Lorsque les journaux IIS sont stockés sur les serveurs IIS, seuls les administrateurs du serveur ont l’autorisation d’y accéder par défaut. Si un propriétaire de répertoire de fichier journal ou du fichier lui-même ne se trouve pas dans le groupe Administrateurs locaux, HTTP.sys (le pilote en mode noyau dans IIS 6.0) publie une erreur dans le journal des événements NT. Cette erreur indique que le propriétaire du répertoire ou du fichier ne se trouve pas dans le groupe Administrateurs locaux et que l’enregistrement de journal a été suspendu pour ce site jusqu’à ce que le propriétaire soit ajouté au groupe Administrateurs locaux , ou jusqu’à ce que le répertoire ou fichier journal existant soit supprimé.

Ajout manuel de groupes de sécurité spécifiques à des attributions de droits de l’utilisateur

La plupart des attributions de droits de l’utilisateur appliquées par le biais de la stratégie MSBP disposent des groupes de sécurité appropriés indiqués dans les modèles de sécurité qui accompagnent ce guide. Cependant, il existe un petit nombre de comptes et de groupes de sécurité qu’il est impossible d’inclure dans les modèles, car leur identificateur de sécurité (SID) est propre à un domaine Windows 2003 bien spécifique. Les attributions des droits de l'utilisateur devant être configurées manuellement figurent dans le tableau suivant.

Avertissement : Le tableau ci-après présente des valeurs se rapportant au compte Administrateur intégré. Ne confondez pas le compte Administrateur avec le groupe de sécurité Administrateurs intégré. Si le groupe de sécurité Administrateurs est ajouté à l’un des droits utilisateur d’accès refusé figurant dans la liste, vous devrez vous connecter localement pour corriger l’erreur.

D'autre part, vous pouvez avoir renommé le compte Administrateur intégré conformément aux recommandations du chapitre 4, « Stratégie de base des serveurs membres ». Lorsque vous ajoutez le compte Administrateur à l'un des droits utilisateur, assurez-vous que le compte renommé est spécifié.

Tableau 9.10 Ajout manuel de droits utilisateur

Paramètre par défaut du serveur membre

Client hérité

Client Entreprise

Sécurité spécialisée – Fonctionnalité limitée

Interdire l’accès à cet ordinateur à partir du réseau

Administrateur intégré ; Support_388945a0 ;

Invité ; tout compte de service hors système d'exploitation

Administrateur intégré ; Support_388945a0 ;

Invité ; tout compte de service hors système d'exploitation

Administrateur intégré ; Support_388945a0 ;

Invité ; tout compte de service hors système d'exploitation

Important : L'expression « tous les comptes de services hors système d'exploitation » recouvre les comptes de service qui sont utilisés pour des applications spécifiques à l'échelle d'une entreprise, mais n'inclut PAS les comptes SYSTÈME LOCAL, SERVICE LOCAL ou SERVICE RÉSEAU (i.e. les comptes incorporés que le système d'exploitation utilise).

Sécurisation de comptes bien connus

Windows Server 2003 comprend un certain nombre de comptes d’utilisateurs intégrés qu’il est impossible de supprimer, mais qui peuvent être renommés. Parmi les comptes intégrés les plus connus de Windows Server 2003, citons les deux suivants : Invité et Administrateur.

Par défaut, le compte Invité est désactivé sur les serveurs membres et les contrôleurs de domaine. Il est déconseillé de modifier cette configuration. De nombreuses variations de code malveillant font appel au compte Administrateur intégré dans une tentative initiale de compromettre un serveur. Vous devez donc renommer le compte Administrateur intégré et modifier sa description pour protéger les serveurs distants contre les attaques qui portent sur ce compte facile à identifier.

L’impact de ce changement de configuration s’est amenuisé au fil des dernières années avec l’apparition d’outils d’attaque qui ciblent l’identificateur de sécurité (SID, Security Identifier) du compte Administrateur intégré afin de déterminer son véritable nom et d'accéder ainsi au serveur. L'identificateur de sécurité correspond à la valeur qui définit de manière unique un compte d'utilisateur, de groupe ou d'ordinateur et une session en cours sur un réseau. Il est impossible de modifier l'identificateur de sécurité de ce compte intégré. Cependant, vos groupes d'opérations peuvent contrôler facilement les attaques tentées contre ce compte Administrateur si vous lui donnez un nom unique.

Pour sécuriser les comptes connus sur les serveurs IIS, procédez comme suit :

  • Renommez les comptes Administrateur et Invité, et modifiez leurs mots de passe en leur attribuant une valeur longue et complexe sur chaque domaine et serveur.

  • Choisissez des noms et mots de passe différents sur tous les serveurs. Si vous utilisez un seul nom et un seul mot de passe de compte pour l’ensemble des domaines et des serveurs, tout pirate qui parviendra à accéder à un serveur membre sera en mesure d’accéder à tous les autres.

  • Modifiez les descriptions des comptes en remplaçant les valeurs définies par défaut afin de rendre l’identification des comptes plus difficile.

  • Enregistrez les modifications apportées dans un emplacement sécurisé.

    Remarque : Vous pouvez renommer le compte administrateur intégré à l'aide de la stratégie de groupe. Ce paramètre n'a pas été implémenté dans les modèles de sécurité qui sont fournis avec ce guide, car chaque organisation doit choisir un nom unique pour ce compte. Cependant, vous pouvez configurer le paramètre Comptes : Renommer le compte administrateur pour renommer des comptes administrateur dans les trois environnements définis dans ce guide. Ce paramètre de stratégie fait partie de la section des options de sécurité d’un GPO.

Sécurisation des comptes de service

À moins que cela ne s’avère absolument nécessaire, évitez de configurer un service pour qu’il fonctionne dans le contexte de sécurité d’un compte de domaine. Si le serveur est endommagé physiquement, les mots de passe de comptes de domaine risquent d'être facilement obtenus en vidant les secrets LSA. Pour plus d'informations sur la sécurisation des comptes de service, voir le Guide de planification de la sécurité des services et comptes de service à l'adresse www.microsoft.com/france/technet/security/guidance/serversecurity/serviceaccount/default.mspx.

Création de la stratégie recourant à l'Assistant Configuration de la sécurité (SCW)

Pour déployer les paramètres de sécurité nécessaires, vous devez utiliser l'Assistant Configuration de la sécurité (SCW) et les modèles de sécurité qui sont inclus avec la version téléchargeable de ce guide pour créer une stratégie de serveur.

Lorsque vous créez votre propre stratégie, ignorez les sections « Paramètres de Registre » et « Stratégie d'audit ». Ces paramètres sont fournis par les modèles de sécurité pour l'environnement choisi. Cette approche permet de s'assurer que les éléments de stratégie fournis par les modèles sont prioritaires par rapport à ceux qui seraient configurés par SCW.

Vous devez utiliser une nouvelle installation du système d'exploitation pour commencer votre travail de configuration, ce qui permet de s'assurer qu'il ne subsiste aucun paramètre ou logiciel provenant des configurations précédentes. Vous devez utiliser un matériel aussi proche que possible de l'environnement de déploiement afin d'assurer la compatibilité. La nouvelle installation est appelée ordinateur de référence.

Pour créer la stratégie de serveur IIS

  1. Installez de nouveau Windows Server 2003 avec SP1 sur un nouvel ordinateur de référence.

  2. Installez le composant Assistant Configuration de la sécurité sur l'ordinateur en cliquant sur Panneau de configuration, Ajouter ou supprimer des programmes, Ajouter/Supprimer des composants Windows.

  3. Intégrez l’ordinateur au domaine qui applique tous les paramètres de sécurité des UO parents.

  4. Installez et configurez uniquement les applications obligatoires, présentes sur tous les serveurs qui partagent ce rôle. Les exemples incluent les services propres aux rôles, les agents logiciels et de gestion, les agents de sauvegarde sur bande et les utilitaires antivirus ou de détection des logiciels espions.

  5. Lancez l'interface graphique utilisateur (GUI) de l'Assistant de configuration de la sécurité, sélectionnez Créer une nouvelle stratégie, et dirigez-la vers l'ordinateur de référence.

  6. Assurez-vous que les rôles de serveur détectés conviennent à votre environnement (par exemple, les rôles de serveur d'applications et serveur Web).

  7. Assurez-vous que les fonctionnalités détectées du client correspondent à votre environnement.

  8. Assurez-vous que les options d'administration détectées correspondent à votre environnement.

  9. Assurez-vous que les services supplémentaires requis par votre base, tels que les agents de sauvegarde ou les logiciels antivirus, sont détectés.

  10. Décidez comment traiter les services non spécifiés dans votre environnement. Pour plus de sécurité, vous pouvez définir ce paramètre de stratégie sur Désactiver. Vous devez tester cette configuration avant de la déployer sur votre réseau de production, afin de prévenir les problèmes liés aux serveurs de production exécutant des services supplémentaires qui ne sont pas dupliqués sur votre ordinateur de référence.

  11. Assurez-vous que la case Ignorer cette section est désactivée dans la section « Sécurité réseau », puis cliquez sur Suivant. Les ports et les applications identifiés plus haut sont configurés en tant qu'exceptions pour le pare-feu Windows.

  12. Dans la section « Paramètres de Registre », cliquez sur la case Ignorer cette section, puis sur Suivant. Ces paramètres de stratégie sont importés à partir du fichier INF fourni.

  13. Dans la section « Stratégie d'audit », cliquez sur la case Ignorer cette section, puis sur Suivant. Ces paramètres de stratégie sont importés à partir du fichier INF fourni.

  14. Incluez le modèle de sécurité approprié (par exemple, EC-IIS Server.inf).

  15. Enregistrez la stratégie sous un nom approprié (par exemple, IIS Server.xml).

    Remarque : MSBP désactive plusieurs autres services liés à IIS, ce qui inclut FTP, SMTP et NNTP. La stratégie de serveur Web doit être modifiée si l’un de ces services doit être activé sur les serveurs IIS dans l’un des trois environnements définis dans le cadre de ce guide.

Testez la stratégie recourant à l'Assistant Configuration de la sécurité (SCW)

Après avoir créé et enregistré la stratégie, Microsoft recommande fortement de la déployer dans votre environnement de test. Dans l'idéal, vos serveurs de test reproduisent le matériel et la configuration logicielle des serveurs de production. Cette approche permet de trouver et réparer les problèmes potentiels, tels que la présence de services imprévus, requis par des périphériques matériels spécifiques.

Deux options sont disponibles pour tester la stratégie. Vous pouvez utiliser les fonctionnalités natives de déploiement de l'Assistant Configuration de la sécurité, ou déployer les stratégies avec un GPO.

Lorsque vous mettez en place vos stratégies, envisagez d'utiliser les fonctionnalités natives de déploiement de l'Assistant Configuration de la sécurité. Vous pouvez utiliser l'Assistant Configuration de la sécurité (SCW) pour pousser une stratégie de serveur en serveur, ou utiliser Scwcmd pour la pousser vers un groupe de serveurs. La méthode native de déploiement a pour avantage de simplifier la restauration des stratégies déployées à l'aide de l'Assistant Configuration de la sécurité. Cette capacité peut être très utile lorsque vous apportez plusieurs modifications à vos stratégies pendant le processus de test.

La stratégie est testée pour s'assurer que l'application de cette stratégie aux serveurs cibles ne nuira pas à leurs fonctions essentielles. Après avoir appliqué les modifications de configuration, vous devez vérifier les principales fonctionnalités de l'ordinateur. Par exemple, si le serveur est configuré en tant qu'autorité de certification, assurez-vous que les clients peuvent demander et obtenir des certificats, télécharger une liste de révocation de certificats, et ainsi de suite.

Lorsque vos configurations de stratégie sont fiables, vous pouvez utiliser Scwcmd comme indiqué dans la procédure suivante afin de convertir les stratégies en objet de stratégie de groupe (GPO).

Pour plus de détails sur la manière de tester les stratégies SCW, voir le Guide de déploiement pour l'Assistant de configuration de la sécurité à l'adresse http://technet2.microsoft.com/windowsserver/fr/
library/5254f8cd-143e-4559-a299-9c723b3669461036.mspx?mfr=true et la Documentation de l'Assistant Configuration de la sécurité à http://go.microsoft.com/fwlink/?linkid=43450.

Convertissez et déployez la stratégie

Après avoir testé la stratégie de façon exhaustive, procédez comme suit pour la convertir en objet GPO et la déployer :

  1. Suite à l'invite de commande, tapez la commande suivante :

                  scwcmd transform /p:<PathToPolicy.xml> /g:<GPODisplayName>
    

    puis appuyez sur ENTREE. Exemple :

                  scwcmd transform /p:"C:\Windows\Security\msscw\Policies\IIS
                  Server.xml" /g:"IIS Policy"
                
    

    Remarque : Les informations à entrer sur la ligne de commande sont présentées ici sur plusieurs lignes pour des raisons de limitation de l'affichage. Ces informations doivent être tapées sur une seule ligne.

  2. Utilisez la console de gestion des stratégies de groupe pour relier le nouveau GPO à l'UO correspondante.

Si le fichier de stratégie de sécurité de l'Assistant Configuration de la sécurité (SCW) contient des paramètres de pare-feu Windows, ce dernier doit être actif sur l'ordinateur local pour que cette procédure aboutisse. Pour s'assurer que le pare-feu Windows est actif, ouvrez le Panneau de configuration et double-cliquez ensuite sur Pare-feu Windows.

Vous devez maintenant procéder à un test final pour vous assurer que le GPO applique les paramètres voulus. Pour compléter cette procédure, assurez-vous que les paramètres appropriés ont été appliqués et que les fonctionnalités ne sont pas affectées.

Résumé

Ce chapitre a permis d'expliquer les paramètres de stratégie permettant de renforcer les serveurs IIS qui exécutent Windows Server 2003 avec SP1 dans les trois environnements qui sont définis dans ce guide. La plupart de ces paramètres sont appliqués par l'intermédiaire d'un objet stratégie de groupe (GPO) conçu pour compléter la stratégie MSBP. Les objets GPO peuvent être liés aux unités d'organisation (UO) appropriées qui contiennent les serveurs IIS pour plus de sécurité.

Certains des paramètres mentionnés ici ne peuvent pas être appliqués par la stratégie de groupe. Des instructions détaillées de configuration manuelle ont été fournies pour ces paramètres.

Informations complémentaires

Les liens suivants fournissent des informations supplémentaires sur les rubriques relatives au renforcement des serveurs Web basés sur IIS qui exécutent Windows Server 2003 avec SP1.

  • Pour plus d'informations sur la manière d'activer la journalisation IIS, consultez l'article suivant de la Base de connaissances Microsoft « How to enable logging in Internet Information Services » à http://support.microsoft.com/kb/313437/fr.

  • Vous trouverez des informations supplémentaires sur la journalisation à la page Enable Logging (IIS 6.0) à l'adresse www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/
    d29207e8-5274-4f4b-9a00-9433b73252d6.mspx.

  • Pour plus d'informations sur la manière d'enregistrer l'activité d'un site, consultez la page Logging Site Activity (IIS 6.0) à l'adresse www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/
    IIS/ab7e4070-e185-4110-b2b1-1bcac4b168e0.mspx.

  • Pour plus d'informations sur l’enregistrement de journal étendu, consultez la page Customizing W3C Extended Logging (IIS 6.0) à l'adresse www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/
    IIS/96af216b-e2c0-428e-9880-95cbd85d90a1.mspx.

  • Pour plus d'informations sur l’enregistrement de journaux binaires centralisé, consultez la page Centralized Binary Logging in IIS 6.0 (IIS 6.0) sur le site Microsoft.com à l'adresse www.microsoft.com/technet/prodtechnol/
    WindowsServer2003/Library/IIS/b9cdc076-403d-463e-9a36-5a14811d34c7.mspx.

  • Pour plus d'informations sur la journalisation à distance, consultez la page Remote Logging (IIS 6.0) à l'adresse www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/
    a6347ae3-39d1-4434-97c9-5756e5862c61.mspx.

  • Pour plus d'informations sur IIS 6.0, consultez la page Internet Information Services à l'adresse www.microsoft.com/WindowsServer2003/iis/default.mspx.


Téléchargement

Obtenir le Guide de sécurité Windows Server 2003

Notifications de mise à jour

Inscrivez-vous pour en savoir plus sur les mises à jour et les nouvelles publications

Commentaires

Envoyez-nous vos commentaires ou vos suggestions


Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.
Afficher:
© 2014 Microsoft