Absent le 15/04/2005
IIS 5.0 (sorti avec Windows 2000).
http://users.skynet.be/dicoinfo/cours/iis.htm
Installation:
Start → Settings → Control Panel → Add / Remove Programs → Add / Remove Windows Components → cocher tout Internet Information Services (IIS)
Création d'un folder C:\Inetpub, la racine du serveur web.
Console d'administration: Start → Programs → Administrative Tools → Intenet Services Manager
Les administrateurs de la machine sont administrateurs d'IIS par défaut. On peut également en rajouter manuellement.
Il existe une corrélation AD et IIS.
Création d'un anonymous user pour IIS dans l'AD.
Console Internet Information Services → dc11 → click droit → Properties → onglet Directory Security → Anonymous access and authentication control → Edit → cocher anonymous access → Edit
Ajout d'une IP 2e sur carte réseau, démarrage un 2e
Si on fait un backup C:\ et current state, quand on restore la machine, on n'a pas la configuration customisée qui est restaurée.
Il faut donc backuper metabase (fichier virtuel) en faisant un backup en plus d'IIS:
Console Internet Information Services → dc11 → click droit → Backup / Restore configuration
Sécurité:
Par défaut, ne pas activer (sauf si nécessaire):
isapi filters
scripts
debugging scripts
18/04/2005
Exercice
Créer 2 sites:
un avec accès anonyme (écoute sur le port 80)
site 1: accessible à 3 utilisateurs de l'AD et c'est tout: on joue sur les permissions NTFS
aller sur le folder dans C:\ → clic droit → properties → onglet security → enlever tous les droits sur everyone (s'il y a des permissions héritées = en grisé, décocher Allow inheritance permissions from parent to propagate at this object → Remove ou Copy → ajouter les 3 users
Creation de certificat SSL
prendre un site crée → clic droit → properties → onglet Directory Security → bouton Server Certificate
web server certificate wizard → create a new certificate
création d'une requête de certificat
prepare the request, but send it later
donner un nom au certificat, un taille de clé (512 OK)
Organisation et unité
nom du site (ex: callendor.zongo.be)
situation géographique
sauver la requête
pas de serveur de certificat sur la machine, donc on doit aller sur un serveur sur internet
-
compléter le formulaire
domain name: domain1.be
timeframe: research only
télécharger le root certificate de Thawte pour certifier mon certificat (encore remplir formulaire): un fichier zip
next
cocher Server Gated Crypto (All servers) et Server Gated Crypto (Microsoft) → next
copy-paste de la requête qu'on a générée (sauvée comme C:\certreq.txt) → next
sauver l'output (= le certificat) en .cer
retourner dans le web server certificate wizard → process the pending request and install the certificate → OK, le certificat est installé.
On peut le voir dans Internet Services Manager console: le site web → clic droit → properties → onglet Directory Security → View Certificate…
Dans le site, ajouter le port 443 pour SSL: Internet Services Manager console: le site web → clic droit → properties → onglet Web Site → SSL port: 443
Bonnes pratiques IIS
n'installez IIS sur un contrôleur de domaine
ne pas connecter un serveur IIS au reseau avant de lui avoir appliqué tous les correctifs disponibles et toutes les mesures de sécurisation possibles, à l'exception des modifications à la stratégie de groupe (qui doivent émaner des contrôleurs de domain de votre réseau)
utilisez un ordinateur dédié en tant que serveur web
protégez physiquement le serveur Web dans une pièce sécurisée
n'autorisez personne à ouvrir une session en local sur l'ordinateur à l'exception de l'administrateur
p'autorisez pas les administrateurs à ouvrir une session sur l'ordinateur via le réseau. Adoptez une bonne stratégie d'administration locale
Mesures de remédiation exigeant une implémentation manuelle.
Il s'agit notamment des mesures suivantes:
déplacement des répertoires de contenu Web
déplacement et sécurisation des fichiers journaux
restriction des autorisations sur la métabase
désactivation de l'emplacement de contenu dans les réponses HTTP
désactivation des messages d'erreur ASP détaillées
suppression des extensions serveur frontpage 2000
suppression des serveurs virtuels supplémentaires
Il existe un petit logiciel qui verrouille tout comme il faut: 1)
Installer: sélectionner le template qui se rapproche de plus du serveur. Ici: Static Server Web + installer l'URL scan filter
C'est inclus de base dans IIS (qui ne tourne pas sous Windows 2000)
IIS 6.0 resource kit
Permet migration depuis Apache ;)
Avec IIS6:
il y a des web gardens: les threads sont groupés par application
la métabase est en XML, on peut donc la sauver lors des backups