> Tech > Contrôler l’identité des processus

Contrôler l’identité des processus

Tech - Par iTPro - Publié le 24 juin 2010
email

L'une des règles d'or de la sécurité des serveurs est que tous les processus ont un contexte de sécurité. Par conséquent, tout programme s'exécutant sur le serveur le fait comme une entité. Cette entité peut être l'utilisateur connecté ou un compte intégré (System, par exemple), mais chaque processus a une

identité. Tout administrateur
IIS consciencieux doit toujours
connaître l’identité du processus qui
héberge une application Web. Le tableau
1 donne des détails sur le modèle
de processus IIS et sur les identités
associées.
Pour se procurer l’identité d’un
processus, un pirate dispose de plusieurs
méthodes. Une attaque par débordement
de buffer sur votre serveur
d’applications ou serveur Web peut
fournir à  l’assaillant le contexte de sécurité
de l’identité du processus. Une
autre méthode tire parti de la fonction
RevertToSelf qu’un exécutable peut appeler.
Si le pirate peut invoquer un tel
exécutable, l’application s’exécutera
comme l’identité du processus. On
voit dans le tableau 1 que dans Internet
Information Services (IIS) 5.0 et Internet
Information Server (IIS) 4.0,
Inetinfo s’exécute comme le compte
System. Par conséquent, du point de
vue sécurité, vous devriez toujours éviter
d’exécuter les applications « in process
» (c’est-à -dire, d’exécuter dans le
processus Inetinfo autant que possible).
Dans IIS 6.0, les applications
Web ne fonctionnent pas avec l’identité
System sauf si vous les configurez
explicitement pour cela, ou si vous
avez configuré le serveur pour qu’il
fonctionne en mode IIS 5.0.
En tant qu’administrateur, vous ne
pouvez pas empêcher un programme
d’utiliser l’identité du processus, mais
vous pouvez inspecter un binaire pour
déterminer s’il appelle RevertToSelf.
Pour inspecter un exécutable, vous
pouvez vous servir de l’utilitaire
DumpBin, qui accompagne la plupart
des langages de développement.
Utilisez la commande suivante :

dumpbin /imports executable name |
find « RevertToSelf »

Pour plus d’informations sur la validation
du contenu exécutable, voir la
Secure Internet Information Services 5
Checklist.

Téléchargez gratuitement cette ressource

Guide de facturation électronique, voie royale pour le DAF et la digitalisation de la fonction finance

Guide de facturation électronique, voie royale pour le DAF et la digitalisation de la fonction finance

Ce livre blanc expose les problématiques auxquelles sont confrontés les DAF modernes et souligne les bénéfices de la facturation électronique pour la trésorerie. Il dévoile également le processus de déploiement de ce projet de transformation digitale que la réglementation rendra bientôt obligatoire.

Tech - Par iTPro - Publié le 24 juin 2010