Utiliser WebDAV avec IIS n'est pas une mince affaire. WebDAV est un standard Internet Engineering Task Force (IETF) Request for Comments (RFC) (http:// www.ietf.org/rfc/rfc2518.txt) qui permet de créer un dossier Web côté client qui utilise une URL pour s'associer à un serveur IIS. Vous pouvez ensuite faire glisser le contenu
Désactiver WebDAV
du dossier
pour publier l’information sur le serveur
Web. IIS 6.0 et IIS 5.0 supportent
tous deux cette fonctionnalité.
WebDAV a été pour la première fois
propulsé au premier plan sur les serveurs
Microsoft avec Win2K. Mais
beaucoup d’administrateurs n’ont pas
encore pris conscience de la puissance
de WebDAV mais aussi de ses risques
potentiels. Bien entendu, un produit
aussi fonctionnel que WebDAV est prêt
pour l’exploitation. Il n’est donc pas
étonnant que de nombreux correctifs
de sécurité aient émergé impliquant
httpext.dll, les extensions HTTP qui
mettent en oeuvre WebDAV.
Mon principal grief contre WebDAV, tel qu’il est mis en oeuvre sur des serveurs
Win2K, est qu’il s’installe par défaut
avec IIS, en ne laissant aucun
moyen de le désactiver dans l’UI IIS. Si
les administrateurs Win2K doivent s’accommoder
de ces lacunes, ceux de
Windows Server 2003 qui installent IIS
6.0 seront heureux d’apprendre que
WebDAV est désactivé par défaut et
qu’on peut l’activer ou le désactiver en
utilisant le noeud Web Service Extensions
de la console IIS.
Les techniques spécifiques permettant
d’activer et de désactiver
WebDAV dans Win2K souffrent d’une
certaine confusion. C’est parce que
Microsoft a produit trois méthodes différentes
pour afficher WebDAV au fil du
temps, chacune avec ses propres avantages
et inconvénients. Microsoft n’en
recommande pas moins les trois méthodes
dans diverses publications.
Dénier à tout le monde la permission
Execute sur httpext.dll. Pour traiter
les premiers exploits WebDAV sérieux,
Microsoft recommandait de
refuser la permission Execute sur le fichier
httpext.dll. L’outil IIS Lockdown
adopte cette méthode pour désactiver
WebDAV. Cependant, cette approche
soulève deux problèmes. Tout d’abord,
il faut refuser la permission Execute
sur tous les serveurs et faire ce changement
quand on crée un nouveau serveur.
Deuxièmement, le fait de refuser
la permission Execute ne désactive pas
entièrement WebDAV, comme documenté
dans l’ar ticle Microsoft
« Locking Down WebDAV Through
ACL Still Allows PUT and DELETE
Requests » (http://support.microsoft.
com/? kbid=307934).
Ajouter le paramètre de registre
DisableWebDAV. Sur un système Win2K
SP2 ou ultérieur, on peut naviguer vers
la sous-clé de registre HKEY_LOCAL_
MACHINE\SYSTEM\CurrentControlSetServices\W3SVC\Parameters,
ajouter le paramètre DisableWebDAV
et lui attribuer une valeur de 1 pour
désactiver WebDAV. C’est une solution
efficace mais il faut appliquer ce
changement sur tous vos systèmes.
Utiliser URLScan pour bloquer les
verbes WebDAV. En matière de sécurité
IIS de pointe, le meilleur conseil que je
puisse donner est d’implémenter l’outil
de sécurité URLScan sur vos serveurs
IIS. Cet outil fait beaucoup plus
que désactiver WebDAV, donc voyons
de plus près URLScan.
Téléchargez cette ressource
État des lieux de la réponse à incident de cybersécurité
Les experts de Palo Alto Networks, Unit 42 et Forrester Research livrent dans ce webinaire exclusif leurs éclairages et stratégies en matière de réponses aux incidents. Bénéficiez d'un panorama complet du paysage actuel de la réponse aux incidents et de sa relation avec la continuité de l'activité, des défis auxquels font face les entreprises et des tendances majeures qui modèlent ce domaine. Un état des lieux précieux pour les décideurs et professionnels IT.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
