> Tech > 4ième : Auditer les serveurs Web IIS avec MetaEdit

4ième : Auditer les serveurs Web IIS avec MetaEdit

Tech - Par Renaud ROSSET - Publié le 24 juin 2010
email

Lorsqu'il s'agit d'auditer un serveur Web IIS et de veiller à  ce que les options d'authentification et de contrôle d'accès sont correctement configurées dans tout le site Web, on s'attaque à  une tâche décourageante. Dans IIS, vous pouvez utiliser ISM (Internet Service Manager) pour configurer les paramètres de sécurité de

chaque
répertoire et de chaque fichier de votre serveur Web. Les paramètres de sécurité
d’IIS se transmettent automatiquement de manière descendante des répertoires parents
aux fichiers et aux répertoires enfants. Il convient donc, naturellement, de commencer
par vérifier par le haut. Mais à  part en ouvrant la fenêtre Propriétés de chaque
objet, comment déterminer si l’on a accidentellement affaibli les paramètres sur
les fichiers et les répertoires situés en dessous dans l’arborescence ?

Les informations de configuration d’IIS résident dans une base de données baptisée
métabase. IIS organise la métabase en clés et en valeurs. Chaque répertoire de
votre site Web a sa clé correspondante dans la métabase. Chaque propriété d’IIS
pour ce répertoire, y compris l’authentification et le contrôle d’accès, a une
valeur correspondante dans cette clé. La métabase est semblable au registre, mais
à  une différence (importante) près : si vous définissez une valeur dans la métabase,
celle-ci se transmet automatiquement de manière descendante aux dossiers enfants
– ce qui explique le fonctionnement d’IIS.

MetaEdit (Metabase Editor), qui accompagne le composant Outils Internet Information
Server du kit de ressources, permet d’accélérer les contrôles de sécurité sur
un serveur IIS et de parcourir rapidement la configuration d’un site Web en naviguant
d’un répertoire à  l’autre. Une fois que vous connaissez les noms de valeurs métabase
correspondants des paramètres dans la fenêtre Propriétés d’ISM, vous pouvez utiliser
MetaEdit pour traverser rapidement une branche de l’arbre des répertoires et veiller
à  ce que la sécurité soit configurée de manière cohérente partout.

Pour tester MetaEdit, installez d’abord l’utilitaire en exécutant setup.exe à 
partir du répertoire \apps\metaedit du CD-ROM du kit de ressources. Ouvrez ensuite
MetaEdit. Les sites Web résident dans la métabase IIS sous \LM\W3SCV. Chaque site
Web est contenu dans une sous-clé et identifié par un numéro. Par exemple, les
paramètres de Site Web par défaut résident sous \LM\W3SCV\1. Pour identifier un
site Web, regardez la valeur ServerComment. La Figure 5 montre cette valeur pour
le site Web par défaut.

Un paramètre de sécurité important pour chaque répertoire Web est AccessFlags.
Cette valeur DWORD représente les préférences déterminées par des cases à  cocher
sur l’onglet Répertoire virtuel dans la fenêtre Propriétés d’un répertoire Web,
que montre la Figure 6. Access Flags détermine comment les navigateurs accèdent
au répertoire Web.

Une autre valeur importante est AuthFlags qui correspond aux méthodes d’authentification
pour un répertoire Web. AuthFlags n’est pas une baguette magique pour auditer
votre serveur IIS, mais si vous apprenez vos valeurs et vos noms de valeurs, vous
pouvez vérifier les propriétés des répertoires Web beaucoup plus vite qu’avec
ISM.

Téléchargez cette ressource

Comment sécuriser une PME avec l’approche par les risques ?

Comment sécuriser une PME avec l’approche par les risques ?

Disposant de moyens financiers et humains contraints, les PME éprouvent des difficultés à mettre en place une véritable stratégie de cybersécurité. Opérateur de services et d’infrastructures, Naitways leur propose une approche pragmatique de sécurité « by design » en priorisant les risques auxquelles elles sont confrontées.

Tech - Par Renaud ROSSET - Publié le 24 juin 2010