Configurer sans peine

du dossier \tool\dataentry. L’utilitaire
est une collection de scripts, de pages Web et d’objets COM auto extractibles.
Ses deux répertoires (dataentry et engine) correspondent aux deux étapes du processus.
Dans la première, le composant DataEntry permet de sélectionner les fonctions
que l’on souhaite utiliser sur le site Web. L’outil désactive les fonctions non
sélectionnées. Du coup, moins on choisit de fonctions, plus l’utilitaire peut
sécuriser étroitement le serveur. Une fois les fonctions sélectionnées, cliquez
sur Créer un modèle (Figure 5) ; l’outil crée alors un modèle de fichier texte
dans lequel il stocke les données des sélections. effectuées
Mais attention ! Ne téléchargez pas Windows 2000 Internet Server Security Tool
et ne l’appliquez pas à  votre serveur sans comprendre d’abord parfaitement comment
il fonctionne. L’utilitaire contient certains bugs non documentés qui peuvent
vous bloquer hors de votre site ou exposer certaines vulnérabilités de votre serveur.
Pour vous aider à  éviter ces problèmes, nous allons parcourir une à  une les cases
à  cocher des sélections du modèle de sécurité, que montre la Figure 3, et examiner
de près comment l’outil désactive chacune d’elles.
Fonctions d’administration à  distance. L’accès administrateur
à  distance de Windows Networking permet de visualiser à  distance et d’utiliser
des outils tels que l’Observateur d’événements et la MMC pour administrer le système.
Pour restreindre cette fonction, l’utilitaire bloque le port TCP 139 dans les
stratégies IPSec (IP Security) locales du système. Pour empêcher l’administration
à  distance à  partir du site Web de l’administration, l’outil bloque le port TCP
6583 (ou tout port personnalisé pour le site). Notez que l’outil ne désactive
pas non plus la fonction d’administration à  distance, mais bloque simplement les
ports TCP applicables, pour empêcher l’accès à  distance. Cette distinction est
nécessaire pour permettre l’administration locale du serveur.
Utilisation spécialisée des serveurs. FTP, SMTP, NNTP (Network
News Transfer Protocol) et Telnet sont les points d’attaque communs des serveurs
Web. Pour désactiver l’utilisation des protocoles par un système, l’utilitaire
non seulement bloque les ports TCP associés (c’est-à -dire les ports 20 et 21 pour
FTP, le port 25 pour SMTP, le port 119 pour NNTP et le port 23 pour Telnet), mais
désactive aussi les services système correspondants. Il bloque aussi l’accès SSL
(Secure Sockets Layer), le port 443, sauf si vous sélectionnez cette fonction.
Enfin, il bloque automatiquement tous les autres ports, excepté le port TCP 80
pour l’accès au Web.
Prise en charge des fichiers non statiques et des ASP. L’impression
Internet, les SSI (server-side includes), les changements de mots de passe sur
le Web et Microsoft Index Server peuvent créer des failles de sécurité. Toutes
ces fonctions vulnérables utilisent des mapping de scripts IIS. Pour bloquer ces
fonctions l’utilitaire supprime donc ces mappings.

IIS comprend des échantillons d’applications Web, qui présentent des vulnérabilités
très recherchées par les hackers

Les échantillons Web. IIS comprend des échantillons d’applications
Web, qui présentent des vulnérabilités très recherchées par les hackers. Bien
que l’utilitaire permette théoriquement de désactiver ces applications, j’ai remarqué
un message dans le résultat du débogage indiquant  » Les échantillons de paramètres
sont actuellement NYI « . En examinant le code, j’ai déterminé que NYI signifie
pas encore implémenté. En incluant l’option de ce modèle avant qu’elle ne soit
opérationnelle, mais sans parvenir à  établir clairement le statut non actif de
l’option d’état, Microsoft donne à  ses clients une illusion de sécurité. Je vous
recommande de consulter dans la Security Checklist de Microsoft Internet Information
Server les instructions pour détruire les applications échantillons.
Au cours de la deuxième étape du processus de l’outil, le composant Engine utilise
le modèle pour configurer le serveur. Pour exécuter Engine à  partir de la ligne
de commande et sécuriser le système local, tapez :

iisconfig.cmd -f

Iistemplate.txt est le fichier texte qui a été créé pendant l’étape DataEntry.
Si vous n’exécutez pas la commande à  partir du répertoire contenant le fichier
texte, il vous faudra inclure le nom de chemin complet du fichier. Pour sécuriser
un serveur distant, utilisez le paramètre -s, suivi du nom NetBIOS ou DNS de ce
serveur. Engine ne permet pas uniquement de configurer le serveur, il fournit
aussi de bonnes informations de diagnostic. Chaque fois que vous exécutez iisconfig.cmd,
Engine récapitule tous les changements dans un ID d’événement source WSH (Windows
Script Host) 0 et le consigne dans le journal des Applications du serveur configuré.
Vous pouvez aussi utiliser le paramètre -d de iisconfig.cmd, qui affiche à  l’écran
des informations intéressantes sur le débogage. Cette étape de configuration peut
être incorporée dans un script comme élément du processus de déploiement ou de
récupération – une fonction bien précieuse en somme.
Enfin l’utilitaire applique automatiquement le modèle spécial Security Configuration
Editor, hisecweb.inf. (Ce composant est identique à  celui qu’utilise le composant
enfichable MMC Editeur de stratégies de groupes pour appliquer les paramètres
de sécurité. Ce modèle sécurise un serveur Web Internet externe autonome (c’est-à -dire
membre d’aucun domaine) qui n’est pas contrôleur de domaine. (Si vous voulez utiliser
l’outil sur un serveur membre d’un domaine, souvenez-vous que Windows 2000 commence
toujours par appliquer les stratégies locales et que celles-ci sont donc annulées
par les stratégies de groupes). Hisecweb.inf suppose aussi que le serveur est
un serveur Web dédié, physiquement sécurisé, qui ne permet pas les connexions
à  distance et permet seulement aux administrateurs de se connecter localement.
(Si vous configurez un serveur à  distance, l’outil n’appliquera pas hisecweb.inf
parce que le modèle ne fonctionne que localement). Hisecweb.inf spécifie des stratégies
raisonnables pour le mot de passe, le verrouillage des comptes, l’audit et la
configuration des journaux. Il permet de traiter nombre de paramètres du Registre
liés à  la sécurité et désactive beaucoup de services système inutiles (par exemple
Alerter, Browser, RAS).

Testez Engine dans un environnement de test et sauvegardez d’abord votre
configuration actuelle

Je vous recommande de tester Engine dans un environnement de test et de sauvegarder
d’abord votre configuration actuelle. Pour réactiver les paramètres du modèle,
réexécuter simplement l’outil Windows 2000 Internet Server Security Configuration
Tool et sélectionnez les fonctions précédemment désactivées dans la liste des
fonctions. Il est beaucoup plus difficile de restaurer les paramètres du Security
Configuration Editor. Ouvrez le composant enfichable MMC Configuration et analyse
de la sécurité et chargez hisec eb.inf. Puis restaurez chaque paramètre hisecweb
et réappliquez le modèle. Bien entendu, au lieu d’essayer de restaurer chaque
paramètre, vous pouvez utiliser votre sauvegarde pour restaurer la configuration
originale.
Cet outil prometteur ne permet pas, certes, toutes les améliorations possibles
de la sécurité (ni même tous les changements suggérés dans la liste de contrôle
de sécurité d’IIS) mais il protège réellement l’accès des administrateurs, les
vulnérabilités spécifiques à  IIS et limite les actes d’intrusion malveillante
potentiels sur le port TCP 80. Pour les administrateurs expérimentés, cet utilitaire,
qui inclut le code source qui peut être étendu ou modifié, est un point de départ
bien utile.