> Tech > Désactiver WebDAV

Désactiver WebDAV

Tech - Par Renaud ROSSET - Publié le 24 juin 2010
email

Utiliser WebDAV avec IIS n'est pas une mince affaire. WebDAV est un standard Internet Engineering Task Force (IETF) Request for Comments (RFC) (http:// www.ietf.org/rfc/rfc2518.txt) qui permet de créer un dossier Web côté client qui utilise une URL pour s'associer à  un serveur IIS. Vous pouvez ensuite faire glisser le contenu

du dossier
pour publier l’information sur le serveur
Web. IIS 6.0 et IIS 5.0 supportent
tous deux cette fonctionnalité.
WebDAV a été pour la première fois
propulsé au premier plan sur les serveurs
Microsoft avec Win2K. Mais
beaucoup d’administrateurs n’ont pas
encore pris conscience de la puissance
de WebDAV mais aussi de ses risques
potentiels. Bien entendu, un produit
aussi fonctionnel que WebDAV est prêt
pour l’exploitation. Il n’est donc pas
étonnant que de nombreux correctifs
de sécurité aient émergé impliquant
httpext.dll, les extensions HTTP qui
mettent en oeuvre WebDAV.
Mon principal grief contre WebDAV, tel qu’il est mis en oeuvre sur des serveurs
Win2K, est qu’il s’installe par défaut
avec IIS, en ne laissant aucun
moyen de le désactiver dans l’UI IIS. Si
les administrateurs Win2K doivent s’accommoder
de ces lacunes, ceux de
Windows Server 2003 qui installent IIS
6.0 seront heureux d’apprendre que
WebDAV est désactivé par défaut et
qu’on peut l’activer ou le désactiver en
utilisant le noeud Web Service Extensions
de la console IIS.
Les techniques spécifiques permettant
d’activer et de désactiver
WebDAV dans Win2K souffrent d’une
certaine confusion. C’est parce que
Microsoft a produit trois méthodes différentes
pour afficher WebDAV au fil du
temps, chacune avec ses propres avantages
et inconvénients. Microsoft n’en
recommande pas moins les trois méthodes
dans diverses publications.
Dénier à  tout le monde la permission
Execute sur httpext.dll. Pour traiter
les premiers exploits WebDAV sérieux,
Microsoft recommandait de
refuser la permission Execute sur le fichier
httpext.dll. L’outil IIS Lockdown
adopte cette méthode pour désactiver
WebDAV. Cependant, cette approche
soulève deux problèmes. Tout d’abord,
il faut refuser la permission Execute
sur tous les serveurs et faire ce changement
quand on crée un nouveau serveur.
Deuxièmement, le fait de refuser
la permission Execute ne désactive pas
entièrement WebDAV, comme documenté
dans l’ar ticle Microsoft
« Locking Down WebDAV Through
ACL Still Allows PUT and DELETE
Requests » (http://support.microsoft.
com/? kbid=307934).
Ajouter le paramètre de registre
DisableWebDAV. Sur un système Win2K
SP2 ou ultérieur, on peut naviguer vers
la sous-clé de registre HKEY_LOCAL_
MACHINE\SYSTEM\CurrentControlSetServices\W3SVC\Parameters,
ajouter le paramètre DisableWebDAV
et lui attribuer une valeur de 1 pour
désactiver WebDAV. C’est une solution
efficace mais il faut appliquer ce
changement sur tous vos systèmes.
Utiliser URLScan pour bloquer les
verbes WebDAV. En matière de sécurité
IIS de pointe, le meilleur conseil que je
puisse donner est d’implémenter l’outil
de sécurité URLScan sur vos serveurs
IIS. Cet outil fait beaucoup plus
que désactiver WebDAV, donc voyons
de plus près URLScan.

Téléchargez cette ressource

Comment sécuriser une PME avec l’approche par les risques ?

Comment sécuriser une PME avec l’approche par les risques ?

Disposant de moyens financiers et humains contraints, les PME éprouvent des difficultés à mettre en place une véritable stratégie de cybersécurité. Opérateur de services et d’infrastructures, Naitways leur propose une approche pragmatique de sécurité « by design » en priorisant les risques auxquelles elles sont confrontées.

Tech - Par Renaud ROSSET - Publié le 24 juin 2010