5ième : Sécuriser les serveurs Web avec Security Templates

modèle .inf. Avec le composant logiciel enfichable Modèles de sécurité,
de la MMC, vous pouvez créer différents modèles pour chaque type de système, depuis
les stations de travail jusqu’aux serveurs. Vous pouvez ensuite appliquer un modèle
à  un système et le sécuriser en une étape. (Cette fonction aide aussi à  garantir
la standardisation parmi plusieurs implémentations de sécurité des serveurs Web).

Windows 2000 s’accompagne de modèles prédéfinis pour différents types de stations
de travail, serveurs membres et contrôleurs de domaine – et leurs variantes –
pour différents niveaux de sécurité. Mais Microsoft n’a pas personnalisé de modèles
pour les serveurs Web.

Le kit de ressources introduit secureintranetwebserver.inf et secureinternetwebserver.inf
pour les deux types de serveurs Web. Malgré mon enthousiasme de départ à  l’idée
de découvrir ces modèles, je suis resté un peu sur ma faim lorsque j’ai recherché
exactement les stratégies qui étaient spécifiées par chaque modèle. En effet,
les modèles ne font malheureusement guère plus que définir des stratégies de mot
de passe et d’audit arbitraires, sécuriser certains fichiers sous system32 et
changer quelques attributions de droits. Ces modèles n’effectuent que peu, le
cas échéant, d’actions de renforcement, ou de verrouillage spécifiques aux serveurs
Web (par exemple désactivation des services, restriction de l’accès au service
Server des utilisateurs qui naviguent). Selon la documentation, Microsoft a fourni
ces modèles comme point de départ utile à  développer avec ses propres connaissances
de la sécurisation d’IIS.