Fonctions de IIS 6.0

Quelque chose de particulier se produit
chez Microsoft de temps en
temps. Lasse d’un problème dans l’un
de ses produits, elle le résout. Ainsi,
après la release de Windows NT 4.0,
Microsoft croula sous les doléances
concernant la stabilité. Quand la société
présenta Windows 2000, l’OS fut
célébré pour sa stabilité immédiate. IIS
5.0, installé par défaut sur les serveurs
Win2K, présente un énorme risque
tant qu’il n’est pas correctement sécurisé.
IIS 6.0 n’est pas installé par défaut
et, quand on l’installe, le serveur Web
ne rend que du contenu statique. De
ce fait, IIS 6.0 présente un risque de
sécurité bien moindre, même si des
problèmes avec les moteurs et les composants
de l’application IIS 6.0 se manifestent
plus tard. En outre, Windows
Server 2003 a une nouvelle Group
Policy : Prevent IIS installation. Vous
pouvez l’utiliser pour empêcher
Windows 2003 d’installer IIS 6.0 sur les
serveurs dans une forêt d’AD (Active
Directory) qui ne sont pas destinés à 
être des serveurs Web. La policy en
question aidera à  empêcher des serveurs
IIS voyous et peut-être vulnérables,
de surgir sur le réseau. A noter
que cette policy ne s’applique pour
l’instant qu’aux serveurs Windows
2003 et qu’elle n’empêchera pas Windows
XP Professional Edition ou
Win2K d’installer IIS 5.0.
Bien entendu, le fait que IIS 6.0 ne
rende pas le contenu dynamique automatiquement
et immédiatement, crée
la deuxième question posée le plus
souvent à  son sujet : « Pourquoi mon
serveur ne délivre-t-il pas ASP (Active
Server Pages) ? » (Comme je l’ai dit
dans l’article « IIS remanié dans la version
6.0 », la question la plus fréquente
est : « IIS 6.0 peut-il être installé sur
Win2K Server ? ». La réponse est non.)
Pour permettre aux programmes de
fonctionner sous IIS 6.0, vous utilisez
une nouvelle fonction nommée Extensions
de service Web. (Le nom implique
un certain genre de relation
avec les services XML Web, mais il n’y a
aucun rapport.)
Pour ajouter ou valider une extension
de service Web pour un programme, ouvrez IIS Manager (précédemment
Internet Services Manager –
ISM), sélectionnez Web Service Extensions,
comme le montre la figure 1
et cliquez sur Add a new Web service
extension pour démarrer un wizard
qui crée une nouvelle règle. Donnez
un nom à  la règle puis naviguez jusqu’à 
l’exécutable que vous voulez autoriser.
Vous pouvez utiliser le script iistext.vbs
dans \system32\inetsrv pour manipuler
les paramètres d’extension de service
Web.
Dans la figure 1, notons les extensions
de service Web All Unknown
ISAPI Extensions et All Unknown CGI
Extensions. Par défaut, toutes deux
présentent l’état Prohibited, signifiant
qu’une application ne s’exécutera sur
IIS 6.0 que si vous le permettez spécifiquement.
Si un utilisateur demande un
fichier qui n’est pas associé à  un processus
validé, IIS 6.0 renvoie HTTP
Error 404 File or directory not found à 
l’utilisateur et enregistre 404.2 Denied
due to lockdown policy dans le log
W3SVC. Le 404.2 et autres codes de
sous-états sont disponibles dans IIS 6.0
en option pour le fichier log W3SVC,
en vue d’aider au dépannage. (Les
codes de sous-états existent dans IIS
5.0 et Internet Information Server – IIS
– 4.0, mais IIS ne les enregistre pas
dans les logs W3SVC. Vous pouvez les
diriger vers des pages d’erreur personnalisées
pour un traitement spécial.)
Les codes de sous-états de IIS 6.0 fournissent
des détails intéressants sur le
problème : par exemple, 403.18
Forbidden – Cannot execute request
from this application pool ; 403.20
Forbidden: Password Login failed ; et
404.3 Not Found – Denied due to MIMEMAP
Policy. Ces erreurs, et d’autres,
sont aussi associées à  une page d’erreur
personnalisée qui ne révèle pas le
code de sous-état à  l’utilisateur, donc
d’éventuels intrus peuvent exploiter
l’information.
Une autre amélioration de sécurité
est la possibilité de désigner un CSP
(Cryptographic Service Provider) qui
aide à  intégrer les accélérateurs SSL
(Secure Sockets Layer) de type matériel
avec IIS 6.0. Le fait de déplacer la
tâche de cryptage de la CPU polyvalente
du serveur sur le matériel dédié
optimisé à  cet effet peut améliorer nettement
la performance. Pour désigner
un CSP, cochez la case Select cryptographic
service provider (CSV) for this
certificate quand vous utilisez le IIS
Certificate Wizard pour créer une requête
de certificat. Vous verrez alors
une liste de Available Providers dans laquelle
vous pourrez choisir. Si vous utilisez
une unité de cryptage, le fournisseur
donnera le nom du CSP
approprié.