TechNet
Exporter (0) Imprimer
Développer tout
Cet article a fait l’objet d’une traduction automatique. Pour afficher l’article en anglais, activez la case d’option Anglais. Vous pouvez également afficher le texte anglais dans une fenêtre contextuelle en faisant glisser le pointeur de la souris sur le texte traduit.
Traduction
Anglais

Meilleures pratiques de sécurité pour IIS 8

 

S'applique à: Windows Server 2012 R2, Windows Server 2012

Ce document contient une liste de recommandations pour améliorer la sécurité de votreIIS 8serveur web. Bien que ces recommandations ne garantit pas l'absence de problèmes de sécurité, ces recommandations peuvent réduire considérablement les risques.

Les recommandations sont regroupées je les catégories suivantes :

  • N'exécutez pas IIS sur un contrôleur de domaine ou un contrôleur de domaine.

    Tout d'abord, il n'y a aucun compte local sur un contrôleur de domaine. Les comptes locaux sont importants pour la sécurité de la plupart des installations serveur IIS. Placer un serveur web IIS et un contrôleur de domaine sur le même ordinateur sérieusement limite vos options de compte de sécurité. Ensuite, tout nouvel exploit qui compromet votre serveur web peut également compromettre l'ensemble du réseau lorsque le serveur web et le contrôleur de domaine se trouvent sur le même ordinateur.

  • Installer uniquement les modules IIS que vous avez besoin.

    IIS 8est composé de plus de 40 modules, ce qui vous permet d'ajouter des modules que vous avez besoin et supprimez les modules que vous n'avez pas besoin. Si vous installez uniquement les modules que vous avez besoin, vous réduisez la surface exposée aux attaques potentielles.

  • Supprimez régulièrement les gestionnaires et les modules inutilisés ou indésirables.

    Recherchez des modules et des gestionnaires de que vous n'est plus utilisé et les supprimer de votre installation IIS. Vous efforcer de garder votre surface d'exposition IIS aussi réduite que possible.
     

  • Pour les installations de volume élevé d'IIS, exécutez autres produits beaucoup de ressources tels que SQL Server ou Exchange sur des ordinateurs distincts.

  • Vous tenir un logiciel antivirus à jour.

    Installez et exécutez la dernière version du logiciel antivirus sur le serveur.

  • Déplacer leInetpubdossier à partir de votre lecteur système vers un autre lecteur.

    Par défautIIS 8configure leInetpubdossier sur votre lecteur système (généralement le lecteur C). Si vous déplacez le dossier vers une autre partition, vous pouvez économiser de l'espace sur votre lecteur système et améliorer la sécurité. Pour plus d'informations sur la façon desInetpubdossier, voir le blog suivant : Déplacer le répertoire INETPUB vers un autre lecteur.

  • Isoler les applications web.

    Différentes applications distinctes dans différents sites avec différents pools d'applications.

  • Implémenter le principe du moindre privilège.

    Exécuter votre processus de travail en tant qu'une identité privilégiée faible (identité du pool d'applications virtuelles) qui est unique pour chaque site.

  • Isoler les dossiers temporaires ASP.NET.

    Configurer un dossier temporaire ASP.NET distinct par site et ne donnent accès à l'identité de processus appropriée.

  • Isoler le contenu.

    Veillez à définir une ACL (liste de contrôle d'accès) sur chaque racine du site pour autoriser uniquement l'accès à l'identité de processus appropriée.

  • Si vous utilisez l'authentification Windows, activer la protection étendue.

    Protection étendue protège contre relayer les informations d'identification et de phishing attaques lors de l'utilisation de l'authentification Windows. Pour plus d'informations sur la protection étendue et l'activation dans IIS, consultezconfigurer la Protection étendue dans IIS 7.5.

  • N'oubliez pas que la configuration de l'authentification anonyme avec un autre type d'authentification pour le même site Web peut entraîner des problèmes d'authentification.

    Si vous configurez l'authentification anonyme et un autre type d'authentification, le résultat est déterminé par l'ordre dans lequel les modules s'exécutent. Par exemple, si l'authentification anonyme et l'authentification Windows sont l'authentification configurée et anonyme exécute tout d'abord, Windows l'authentification n'est jamais exécutée.

  • Désactiver l'accès anonyme aux répertoires du serveur et des ressources.

    Lorsque vous souhaitez accorder à un utilisateur l'accès à des répertoires du serveur et des ressources, utilisez une méthode d'authentification n'est pas anonyme.

  • N'autorisez pas les écritures anonymes sur le serveur.

    Authentifier l'utilisateur avec une méthode qui n'est pas anonyme avant d'autoriser l'utilisateur de télécharger quoi que ce soit sur votre site Web ou un site FTP.

  • Assurez-vous que les règles de filtrage de demande sont activés.

    Demander les filtres limitent les types de requêtes HTTP quiIIS 8les processus. En bloquant des demandes HTTP spécifiques, demander les filtres aident à empêcher les demandes potentiellement nuisibles d'atteindre le serveur. Le module de filtre de requête analyse les requêtes entrantes et rejette les requêtes sont indésirables en fonction des règles que vous définissez. Les sites Web et FTP doit avoir la protection de ce filtre de requête fournissent des règles. Pour plus d'informations sur le filtrage des demandes, consultezConfigurer le filtrage des demandes dans IIS.

  • Assurez-vous que les limites de demande sont définies sur des valeurs raisonnables.

    Examiner soigneusement les valeurs que vous affectez aux paramètres de configuration. Par exemple, assurez-vous qu'une valeur de limite supérieure est supérieure à une valeur de limite inférieure. Dans le cas contraire, le filtre ne peut jamais déclencher.

  • N'utilisez pas les identités de service intégré (tel que Service réseau, Service Local ou système Local).

    Pour une sécurité maximale, les pools d'applications doivent s'exécuter sous l'identité de pool d'applications est générée lorsque le pool d'applications est créé. Les comptes qui sont intégrés à IIS sont ApplicationPoolIdentity, service réseau, service local et LocalSystem. La valeur par défaut (recommandé) et le plus sécurisé est ApplicationPoolIdentity.

  • À l'aide d'un compte d'identité personnalisé est acceptable, mais veillez à utiliser un compte différent pour chaque pool d'applications.

  • Effectuer des sauvegardes périodiques du serveur IIS.

    Effectuez une installation complète à l'état du système de sauvegarde tous les jours ou deux. Également le faire avant de mises à niveau logicielles majeures ou des modifications de configuration.

  • Limiter les autorisations accordées à des non administrateurs.

    Recherchez les dossiers que les non-administrateurs ont des autorisations en écriture et les autorisations d'exécution de script à et supprimer les autorisations.

  • Activer SSL et mettre à jour les certificats SSL.

    Renouveler le certificat ou choisissez un nouveau certificat pour le site. Un certificat expiré devient non valide et empêche des utilisateurs d'accéder à votre site.

  • Utiliser SSL lorsque vous utilisez l'authentification de base.

    Utiliser l'authentification de base avec une liaison SSL et assurez-vous que le site ou l'application est configurée pour exiger SSL. Vous pouvez également utiliser une autre méthode d'authentification. Si vous utilisez l'authentification de base sans SSL, les informations d'identification sont envoyées en texte brut qui peut être intercepté par un code malveillant. Si vous souhaitez continuer à utiliser l'authentification de base, vous devez vérifier les liaisons de site pour vous assurer qu'une liaison HTTPS est disponible pour le site, puis configurez le site pour exiger SSL.

  • Lorsque vous définissez des règles de délégation de fonctionnalité, ne faites pas de règles qui sont plus permissifs que les valeurs par défaut.

  • Pour une application ASP classique, désactivez le mode de débogage.

Afficher:
© 2016 Microsoft