• Utilisez les informations d'identification les moins permissives pour l'ouverture de session. Il est préférable d'ouvrir une session sur votre ordinateur au moyen d'un compte ne faisant pas partie du groupe Administrateurs et d'utiliser la commande Exécuter en tant que pour exécuter le Gestionnaire des services Internet (IIS) en tant qu'administrateur.
  
• Limitez les zones vulnérables aux attaques. Désactivez tous les services superflus, y compris des services IIS tels que FTP, NNTP ou SMTP. Si une fonctionnalité ou un service n'est pas activé, il n'est pas nécessaire de le sécuriser.
  
• Ne téléchargez pas et n'exécutez pas de programmes émanant de sources non approuvées. Les programmes sont susceptibles de comporter des instructions visant à enfreindre la sécurité de plusieurs manières, notamment par le vol ou la destruction de données, ou encore le refus de service.
  
• Mettez à jour les programmes de détection de virus. Les programmes de détection de virus identifient souvent les fichiers infectés en recherchant une signature. Cette dernière, composant du virus, peut être reconnue lorsque le virus a déjà été identifié. Les programmes de détection de virus conservent ces signatures dans un fichier de signatures de virus, généralement enregistré sur le disque dur local. La découverte de nouveaux virus est fréquente. Ce fichier doit par conséquent être souvent mis à jour, afin que le programme de détection de virus puisse facilement identifier les virus les plus récents.
  
• Mettez régulièrement à jour tous vos logiciels. Les mises à jour logicielles apportent des solutions aux problèmes de sécurité connus. Consultez régulièrement les sites Web des éditeurs de logiciels afin de vérifier la disponibilité de nouvelles mises à jour destinés aux logiciels utilisés par votre organisation.
  
  • Le nouveau modèle de processus d'IIS 6.0 inclut le recyclage des processus, par lequel un administrateur peut facilement installer la plupart des mises à jour IIS et des nouvelles DLL de processus de travail sans interruption de service.
    
  • La version 1.0 de la mise à jour automatique comprend trois options destinées aux clients : notification dès leur sortie des mises à jour disponibles, téléchargement des mises à jour et notification du téléchargement, et installation planifiée. Pour plus d'informations, voir « Mises à jour automatiques Windows » dans le Centre d'aide et de support de Windows Server 2003.
    
• Utilisez le système de fichiers NTFS. Le système de fichiers NTFS est plus sûr que le système FAT ou FAT32.
  
• Attribuez des autorisations d'accès NTFS restrictives à vos ressources
  
• Faites particulièrement attention aux contrôleurs de domaine. Si vous utilisez un contrôleur de domaine comme serveur d'applications, sachez que si la sécurité du contrôleur de domaine est compromise, celle du domaine tout entier l'est également.
  

• Limitez les autorisations d'accès en écriture du compte IUSR_nom_ordinateur. Ceci permet de limiter l'accès des utilisateurs anonymes à votre ordinateur.
  
• Stockez les fichiers exécutables dans un répertoire distinct. De cette façon, les procédures d'attribution des autorisations d'accès et d'audit exécutées par les administrateurs sont simplifiées.
  
• Créez un groupe pour tous les comptes d'utilisateurs anonymes. Vous pouvez refuser l'accès à des ressources sur la base de l'appartenance à ce groupe.
  
• Refusez l'accès en exécution des utilisateurs anonymes sur tous les fichiers exécutables contenus dans les répertoires et sous-répertoires Windows.
  
• Utilisez la restriction d'adresse IP en cas d'administration d'IIS à distance. Pour plus d'informations, voir Sécurisation des sites avec les restrictions d'adresse IP.
  
• Attribuez les autorisations les plus restrictives possible. Par exemple, si votre site Web n'est utilisé que pour la consultation d'informations, attribuez uniquement les autorisations en lecture. Si un répertoire ou un site contient des applications, attribuez des autorisations Scripts seulement plutôt que des autorisations Scripts et exécutables. Pour plus d'informations, voir Sécurisation des sites Web avec les autorisations de site Web.
  
• N'attribuez pas les autorisations Écriture et Accès à la source du script ou les autorisations Scripts et exécutables. Utilisez cette combinaison avec la plus grande prudence. Elle peut permettre à un utilisateur de télécharger des fichiers exécutables potentiellement dangereux sur votre serveur et de les exécuter. Pour plus d'informations, voir Sécurisation des sites Web avec les autorisations de site Web.
  
• Activez le cryptage des données dans tous les scripts d'administration à distance WMI. Pour plus d'informations, voir Cryptage des données lors de l'exécution de scripts d'administration WMI à distance.
  
• Assurez-vous que l'Autorité de certification racine intermédiaire VeriSign de votre site Web est à jour. Vérifiez la date d'expiration et mettez à jour l'Autorité de certification racine intermédiaire le cas échéant. La nouvelle Autorité de certification racine intermédiaire possède les propriétés suivantes :
  
  Issued to: www.verisign.com/CPS Incorp.by Ref. LIABILITY LTD.(c)97 VeriSign
  Issued by: Class 3 Public Primary Certification Authority
  Valid from: 4/16/97 to 10/24/11

  Pour plus d'informations sur la vérification de la date d'expiration, voir Détermination de la version de l'Autorité de certification racine intermédiaire sur un serveur Web. Pour plus d'informations sur la mise à jour de l'Autorité de certification racine intermédiaire, voir le site Web de support VeriSign (éventuellement en anglais).
  

Pour plus d'informations sur les méthodes conseillées de sécurité pour la famille Windows Server 2003, voir « Méthodes conseillées de sécurité » dans le Centre d'aide et de support de Windows Server 2003.