Lorsqu'il s'agit d'auditer un serveur Web IIS et de veiller à ce que les options d'authentification et de contrôle d'accès sont correctement configurées dans tout le site Web, on s'attaque à une tâche décourageante. Dans IIS, vous pouvez utiliser ISM (Internet Service Manager) pour configurer les paramètres de sécurité de
4ième : Auditer les serveurs Web IIS avec MetaEdit
chaque
répertoire et de chaque fichier de votre serveur Web. Les paramètres de sécurité
d’IIS se transmettent automatiquement de manière descendante des répertoires parents
aux fichiers et aux répertoires enfants. Il convient donc, naturellement, de commencer
par vérifier par le haut. Mais à part en ouvrant la fenêtre Propriétés de chaque
objet, comment déterminer si l’on a accidentellement affaibli les paramètres sur
les fichiers et les répertoires situés en dessous dans l’arborescence ?
Les informations de configuration d’IIS résident dans une base de données baptisée
métabase. IIS organise la métabase en clés et en valeurs. Chaque répertoire de
votre site Web a sa clé correspondante dans la métabase. Chaque propriété d’IIS
pour ce répertoire, y compris l’authentification et le contrôle d’accès, a une
valeur correspondante dans cette clé. La métabase est semblable au registre, mais
à une différence (importante) près : si vous définissez une valeur dans la métabase,
celle-ci se transmet automatiquement de manière descendante aux dossiers enfants
– ce qui explique le fonctionnement d’IIS.
MetaEdit (Metabase Editor), qui accompagne le composant Outils Internet Information
Server du kit de ressources, permet d’accélérer les contrôles de sécurité sur
un serveur IIS et de parcourir rapidement la configuration d’un site Web en naviguant
d’un répertoire à l’autre. Une fois que vous connaissez les noms de valeurs métabase
correspondants des paramètres dans la fenêtre Propriétés d’ISM, vous pouvez utiliser
MetaEdit pour traverser rapidement une branche de l’arbre des répertoires et veiller
à ce que la sécurité soit configurée de manière cohérente partout.
Pour tester MetaEdit, installez d’abord l’utilitaire en exécutant setup.exe à
partir du répertoire \apps\metaedit du CD-ROM du kit de ressources. Ouvrez ensuite
MetaEdit. Les sites Web résident dans la métabase IIS sous \LM\W3SCV. Chaque site
Web est contenu dans une sous-clé et identifié par un numéro. Par exemple, les
paramètres de Site Web par défaut résident sous \LM\W3SCV\1. Pour identifier un
site Web, regardez la valeur ServerComment. La Figure 5 montre cette valeur pour
le site Web par défaut.
Un paramètre de sécurité important pour chaque répertoire Web est AccessFlags.
Cette valeur DWORD représente les préférences déterminées par des cases à cocher
sur l’onglet Répertoire virtuel dans la fenêtre Propriétés d’un répertoire Web,
que montre la Figure 6. Access Flags détermine comment les navigateurs accèdent
au répertoire Web.
Une autre valeur importante est AuthFlags qui correspond aux méthodes d’authentification
pour un répertoire Web. AuthFlags n’est pas une baguette magique pour auditer
votre serveur IIS, mais si vous apprenez vos valeurs et vos noms de valeurs, vous
pouvez vérifier les propriétés des répertoires Web beaucoup plus vite qu’avec
ISM.
Téléchargez cette ressource

Rapport mondial 2025 sur la réponse à incident
Dans ce nouveau rapport, les experts de Palo Alto Networks, Unit 42 livrent la synthèse des attaques ayant le plus impacté l'activité des entreprises au niveau mondial. Quel est visage actuel de la réponse aux incidents ? Quelles sont les tendances majeures qui redessinent le champ des menaces ? Quels sont les défis auxquels doivent faire face les entreprises ? Découvrez les top priorités des équipes de sécurité en 2025.
Les articles les plus consultés
- Partager vos images, vidéos, musique et imprimante avec le Groupe résidentiel
- Activer la mise en veille prolongée dans Windows 10
- Et si les clients n’avaient plus le choix ?
- Afficher les icônes cachées dans la barre de notification
- Cybersécurité Active Directory et les attaques de nouvelle génération
Les plus consultés sur iTPro.fr
- Reporting RSE : un levier d’innovation !
- De la 5G à la 6G : la France se positionne pour dominer les réseaux du futur
- Datanexions, acteur clé de la transformation numérique data-centric
- Les PME attendent un meilleur accès aux données d’émissions de la part des fournisseurs
- Fraude & IA : Dr Jekyll vs. Mr Hyde, qui l’emporte ?
