User Tools

Site Tools


formationsecurite:iis

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

formationsecurite:iis [2013/01/30 17:52] (current)
Line 1: Line 1:
 +Absent le 15/04/2005
  
 +IIS 5.0 (sorti avec [[Windows]] 2000).
 +
 +http://​users.skynet.be/​dicoinfo/​cours/​iis.htm
 +
 +Installation:​
 +Start -> [[Settings]] -> Control Panel -> Add / Remove Programs -> Add / Remove [[Windows]] Components -> cocher tout Internet Information Services (IIS)
 +
 +Création d'un folder C:\Inetpub, la racine du serveur web.
 +
 +Console d'​administration:​ Start -> Programs -> Administrative Tools -> Intenet Services Manager
 +
 +Les administrateurs de la machine sont administrateurs d'IIS par défaut. On peut également en rajouter manuellement.
 +
 +Il existe une corrélation AD et IIS.
 +
 +Création d'un anonymous user pour IIS dans l'AD.
 +Console Internet Information Services -> dc11 -> click droit -> Properties -> onglet Directory Security -> Anonymous access and authentication control -> Edit -> cocher anonymous access -> Edit
 +Ajout d'une IP 2e sur carte réseau, démarrage un 2e 
 +
 +Si on fait un backup C:\ et current state, quand on restore la machine, on n'a pas la configuration customisée qui est restaurée.
 +
 +Il faut donc backuper metabase (fichier virtuel) en faisant un backup en plus d'IIS:
 +Console Internet Information Services -> dc11 -> click droit -> Backup / Restore configuration
 +
 +Sécurité:
 +Par défaut, ne pas activer (sauf si nécessaire):​
 +  * isapi filters
 +  * scripts
 +  * debugging scripts
 +
 +
 +18/04/2005
 +
 +Exercice
 +
 +Créer 2 sites:
 +  * un sécurisé par mot de passe (écoute sur le port 8888)
 +    * Console Internet Information Services -> dc11 -> click droit -> New... -> website
 +    * wizard:
 +      * web site home directory: décocher accès anonyme
 +      * permissions
 +    * cliquer sur le site crée -> clic droit -> propriétés -> onglet directory services -> anonymous access and authentification control -> edit -> décocher anonymous access - authentification access:
 +      * basic: mots de passe en clair
 +      * digest: compressé
 +      * integrated [[Windows]] authentification:​ tout utilisateur dans l'AD peut s'​authentifier
 +    * créer une page default.htm
 +    * tester avec un browser: http://​localhost:​8888/​
 +    ​
 +  * un avec accès anonyme (écoute sur le port 80)
 +  * site 1: accessible à 3 utilisateurs de l'AD et c'est tout: on joue sur les permissions NTFS
 +    * aller sur le folder dans C:\ -> clic droit -> properties -> onglet security -> enlever tous les droits sur everyone (s'il y a des permissions héritées = en grisé, décocher //Allow inheritance permissions from parent to propagate at this object// -> Remove ou Copy -> ajouter les 3 users
 +
 +== Creation de certificat SSL ==
 +  * prendre un site crée -> clic droit -> properties -> onglet Directory Security -> bouton Server Certificate
 +  * web server certificate wizard -> create a new certificate ​
 +  * création d'une requête de certificat
 +    * prepare the request, but send it later
 +    * donner un nom au certificat, un taille de clé (512 OK)
 +    * Organisation et unité
 +    * nom du site (ex: callendor.zongo.be)
 +    * situation géographique
 +    * sauver la requête
 +  * pas de serveur de certificat sur la machine, donc on doit aller sur un serveur sur internet
 +  * http://​www.thawte.com/​ prendre un de test (21 days free trial)
 +    * compléter le formulaire
 +      * domain name: domain1.be
 +      * timeframe: research only
 +    * télécharger le root certificate de Thawte pour certifier mon certificat (encore remplir formulaire):​ un fichier zip
 +      * dézipper
 +      * Thawte test roots\Thawte test root.cer: double-cliquer pour l'​installer
 +    * next
 +    * cocher Server Gated Crypto (All servers) et Server Gated Crypto (Microsoft) -> next
 +    * copy-paste de la requête qu'on a générée (sauvée comme C:​\certreq.txt) -> next
 +    * sauver l'​output (= le certificat) en .cer
 +
 +retourner dans le web server certificate wizard -> process the pending request and install the certificate -> OK, le certificat est installé.
 +On peut le voir dans Internet Services Manager console: le site web -> clic droit -> properties -> onglet Directory Security -> View Certificate...
 +
 +Dans le site, ajouter le port 443 pour SSL:  Internet Services Manager console: le site web -> clic droit -> properties -> onglet Web Site -> SSL port: 443
 +
 +
 +== Bonnes pratiques IIS ==
 +
 +  * n'​installez IIS sur un contrôleur de domaine
 +  * ne pas connecter un serveur IIS au reseau avant de lui avoir appliqué tous les correctifs disponibles et toutes les mesures de sécurisation possibles, à l'​exception des modifications à la stratégie de groupe (qui doivent émaner des contrôleurs de domain de votre réseau)
 +  * utilisez un ordinateur dédié en tant que serveur web
 +  * protégez physiquement le serveur Web dans une pièce sécurisée
 +  * n'​autorisez personne à ouvrir une session en local sur l'​ordinateur à l'​exception de l'​administrateur
 +  * p'​autorisez pas les administrateurs à ouvrir une session sur l'​ordinateur via le réseau. Adoptez une bonne stratégie d'​administration locale
 +
 +Mesures de remédiation exigeant une implémentation manuelle.
 +Il s'agit notamment des mesures suivantes:
 +  * déplacement des répertoires de contenu Web
 +  * déplacement et sécurisation des fichiers journaux
 +  * restriction des autorisations sur la métabase
 +  * désactivation de l'​emplacement de contenu dans les réponses HTTP
 +  * désactivation des messages d'​erreur ASP détaillées
 +  * suppression des extensions serveur frontpage 2000
 +  * suppression des serveurs virtuels supplémentaires
 +
 +=== IIS Lockdown Tool ===
 +Il existe un petit logiciel qui verrouille tout comme il faut: ((http://​www.microsoft.com/​technet/​security/​tools/​locktool.mspx IIS Lockdown Tool))
 +
 +Installer: sélectionner le template qui se rapproche de plus du serveur. Ici: Static Server Web + installer l'URL scan filter
 +
 +C'est inclus de base dans IIS (qui ne tourne pas sous [[Windows]] 2000)
 +
 +=== IIS 6.0 resource kit ===
 +Permet migration depuis Apache ;)
 +
 +Avec IIS6:
 +  * il y a des web gardens: les threads sont groupés par application
 +  * la métabase est en XML, on peut donc la sauver lors des backups
formationsecurite/iis.txt · Last modified: 2013/01/30 17:52 (external edit)