formationsecurite:iis
Absent le 15/04/2005
IIS 5.0 (sorti avec Windows 2000).
http://users.skynet.be/dicoinfo/cours/iis.htm
Installation: Start → Settings → Control Panel → Add / Remove Programs → Add / Remove Windows Components → cocher tout Internet Information Services (IIS)
Création d'un folder C:\Inetpub, la racine du serveur web.
Console d'administration: Start → Programs → Administrative Tools → Intenet Services Manager
Les administrateurs de la machine sont administrateurs d'IIS par défaut. On peut également en rajouter manuellement.
Il existe une corrélation AD et IIS.
Création d'un anonymous user pour IIS dans l'AD. Console Internet Information Services → dc11 → click droit → Properties → onglet Directory Security → Anonymous access and authentication control → Edit → cocher anonymous access → Edit Ajout d'une IP 2e sur carte réseau, démarrage un 2e
Si on fait un backup C:\ et current state, quand on restore la machine, on n'a pas la configuration customisée qui est restaurée.
Il faut donc backuper metabase (fichier virtuel) en faisant un backup en plus d'IIS: Console Internet Information Services → dc11 → click droit → Backup / Restore configuration
Sécurité: Par défaut, ne pas activer (sauf si nécessaire):
- isapi filters
- scripts
- debugging scripts
18/04/2005
Exercice
Créer 2 sites:
- un sécurisé par mot de passe (écoute sur le port 8888)
- Console Internet Information Services → dc11 → click droit → New… → website
- wizard:
- web site home directory: décocher accès anonyme
- permissions
- cliquer sur le site crée → clic droit → propriétés → onglet directory services → anonymous access and authentification control → edit → décocher anonymous access - authentification access:
- basic: mots de passe en clair
- digest: compressé
- integrated Windows authentification: tout utilisateur dans l'AD peut s'authentifier
- créer une page default.htm
- tester avec un browser: http://localhost:8888/
- un avec accès anonyme (écoute sur le port 80)
- site 1: accessible à 3 utilisateurs de l'AD et c'est tout: on joue sur les permissions NTFS
- aller sur le folder dans C:\ → clic droit → properties → onglet security → enlever tous les droits sur everyone (s'il y a des permissions héritées = en grisé, décocher Allow inheritance permissions from parent to propagate at this object → Remove ou Copy → ajouter les 3 users
Creation de certificat SSL
- prendre un site crée → clic droit → properties → onglet Directory Security → bouton Server Certificate
- web server certificate wizard → create a new certificate
- création d'une requête de certificat
- prepare the request, but send it later
- donner un nom au certificat, un taille de clé (512 OK)
- Organisation et unité
- nom du site (ex: callendor.zongo.be)
- situation géographique
- sauver la requête
- pas de serveur de certificat sur la machine, donc on doit aller sur un serveur sur internet
- http://www.thawte.com/ prendre un de test (21 days free trial)
- compléter le formulaire
- domain name: domain1.be
- timeframe: research only
- télécharger le root certificate de Thawte pour certifier mon certificat (encore remplir formulaire): un fichier zip
- dézipper
- Thawte test roots\Thawte test root.cer: double-cliquer pour l'installer
- next
- cocher Server Gated Crypto (All servers) et Server Gated Crypto (Microsoft) → next
- copy-paste de la requête qu'on a générée (sauvée comme C:\certreq.txt) → next
- sauver l'output (= le certificat) en .cer
retourner dans le web server certificate wizard → process the pending request and install the certificate → OK, le certificat est installé. On peut le voir dans Internet Services Manager console: le site web → clic droit → properties → onglet Directory Security → View Certificate…
Dans le site, ajouter le port 443 pour SSL: Internet Services Manager console: le site web → clic droit → properties → onglet Web Site → SSL port: 443
Bonnes pratiques IIS
- n'installez IIS sur un contrôleur de domaine
- ne pas connecter un serveur IIS au reseau avant de lui avoir appliqué tous les correctifs disponibles et toutes les mesures de sécurisation possibles, à l'exception des modifications à la stratégie de groupe (qui doivent émaner des contrôleurs de domain de votre réseau)
- utilisez un ordinateur dédié en tant que serveur web
- protégez physiquement le serveur Web dans une pièce sécurisée
- n'autorisez personne à ouvrir une session en local sur l'ordinateur à l'exception de l'administrateur
- p'autorisez pas les administrateurs à ouvrir une session sur l'ordinateur via le réseau. Adoptez une bonne stratégie d'administration locale
Mesures de remédiation exigeant une implémentation manuelle. Il s'agit notamment des mesures suivantes:
- déplacement des répertoires de contenu Web
- déplacement et sécurisation des fichiers journaux
- restriction des autorisations sur la métabase
- désactivation de l'emplacement de contenu dans les réponses HTTP
- désactivation des messages d'erreur ASP détaillées
- suppression des extensions serveur frontpage 2000
- suppression des serveurs virtuels supplémentaires
IIS Lockdown Tool
Il existe un petit logiciel qui verrouille tout comme il faut: 1)
Installer: sélectionner le template qui se rapproche de plus du serveur. Ici: Static Server Web + installer l'URL scan filter
C'est inclus de base dans IIS (qui ne tourne pas sous Windows 2000)
IIS 6.0 resource kit
Permet migration depuis Apache ;)
Avec IIS6:
- il y a des web gardens: les threads sont groupés par application
- la métabase est en XML, on peut donc la sauver lors des backups
1)
http://www.microsoft.com/technet/security/tools/locktool.mspx IIS Lockdown Tool
formationsecurite/iis.txt · Last modified: 2013/01/30 17:52 (external edit)
Except where otherwise noted, content on this wiki is licensed under the following license: CC Attribution-Share Alike 4.0 International
