Informateur sur IIS

Q: J’ai installé le cryptage sur
128 bits de Windows 2000
Service Pack 2 (SP2) sur un nouveau
serveur, et j’étudie la possibilité
de changer les mots de
passe au moyen de Microsoft
Internet Information Services
(IIS) 5.0. Le serveur Win2K est
membre d’un domaine Windows
NT 4.0. L’installation comporte
également un contenu provenant
d’un autre serveur utilisant
Internet Information Server (IIS)
4.0. J’ai utilisé Robocopy pour copier
le contenu sur le nouveau
serveur et Addusers pour répliquer
les comptes utilisateur. J’ai
ajouté le répertoire virtuel pour
Iisadmpwd dans le site Default
Web. J’ai activé l’authentification
Basic and Integrated Windows et
demandé des connexions SSL
(Secure Sockets Layer) de 128
bits. Quand un utilisateur accède
au site, celui-ci demande son
nom et son mot de passe, les accepte,
et semble fonctionner.
Mais le compte est marqué must
change password at next login et
donc le serveur affiche la page
correspondant à  un mot de passe
expiré et invite l’utilisateur à 
changer son mot de passe. Quand
l’utilisateur soumet le changement,
le serveur lui demande à 
nouveau aussitôt de changer le
mot de passe. Pourquoi le mot de
passe ne change-t-il pas ?

R: Migrer d’IIS 4.0 à  IIS 5.0 n’est pas une mince affaire et vous avez utilisé une méthodologie que je recommande
souvent. Votre migration et le
cryptage 128 bits ne devraient pas poser
de problème. Toutefois, avant de
parler d’une solution, permettez-moi
de dire que je déconseille de laisser les
utilisateurs changer les mots de passe
des comptes Win2K ou NT 4.0 sur
Internet, à  moins d’utiliser un VPN.
Changer des mots de passe sur
Internet n’est pas une bonne idée pour
deux raisons. Premièrement, c’est un
risque que de laisser ce genre de
porte ouverte à  tous les vents.
Deuxièmement, le seul moyen d’utiliser
un navigateur pour authentifier efficacement
sur Internet consiste à  définir
l’authentification Basic, qui
demande SSL pour être fiable. Par
conséquent, l’authentification sur
Internet suppose une diligence
constante pour maintenir la sécurité.
En outre, après avoir authentifié avec
Basic, vous ne pouvez pas désactiver
SSL parce que le serveur envoie des références
avec chaque requête d’un fichier.
Comme vous l’avez constaté,quand vous effectuez une installation
nette de IIS 5.0, le répertoire virtuel
Iisadmpwd, qui contient les fichiers
permettant aux utilisateurs de changer
les mots de passe, n’est pas présent
comme il l’était en IIS 4.0.
Les fichiers requis sont néanmoins
chargés sur le serveur IIS 5.0, et vous
pouvez créer manuellement le répertoire
virtuel Iisadmpwd et l’associer
(map) à  \%systemroot%\winnt\system32iisadmpwd. Dans ce répertoire
virtuel, vous découvrirez les fichiers
.htr de triste réputation qui permettent
aux utilisateurs de changer les mots de
passe pour leurs comptes utilisateur
sur Internet. (Je dis de triste réputation
parce que les fichiers .htr ont inspiré
plus d’un bulletin de sécurité de
Microsoft. J’ai tendance à  croire que
quand une fonction particulière a été
plusieurs fois jugée dangereuse, elle
est susceptible de provoquer d’autres
problèmes, bien plus en tout cas que
les autres parties du serveur.)
Si vous ne créez pas manuellement
le répertoire virtuel Iisadmpwd, les fichiers
.htr sont encore présents sur le
serveur, cible potentielle pour nuisibles.
Je suggère de supprimer les fichiers
.htr et la fonction Application
Mapping dans IIS 5.0, qui associe les fichiers
.htr à  C :\winnt\system32\inetsrvism.dll.
En plus de créer manuellement le
répertoire virtuel Iisadmpwd (ou de
permettre d’y accéder d’une autre manière),
vous devez apporter une modification
à  la métabase. Définissez
la valeur dans la métabase pour
w3svc//passwordchangeflags, où
est le numéro d’instance pour le
site Web:

• 0 – Les changements de mots de
passe nécessitent une connexion SSL

• 1 – Les changements de mots de
passe ne nécessitent pas un canal
SSL

• 2 – La notification du changement de
mots de passe est désactivée

• 4 – La notification avancée du
changement de mots de passe est
désactivée

Vous pouvez utiliser MetaEdit ou le
scripting avec Microsoft Active
Directory Service Interfaces (ADSI)
pour définir cette valeur.
Outre les problèmes de sécurité
liés aux changements de mots de passe
sur Internet, il existe au moins une difficulté
opérationnelle, que vous semblez
avoir rencontrée, avec IIS 5.0.
Parce qu’IIS 5.0 gère le changement de
mot de passe différemment d’IIS 4.0, si
vous ne permettez pas l’accès
Anonymous au répertoire virtuel
Iisadmpwd, vous tomberez dans une
boucle sans fin. (D’ailleurs, l’accès
Anonymous aux fichiers de changement
de mot de passe n’est pas une
bonne idée.) Heureurement, il existe
un hotfix pour ce bogue. Contactez
Microsoft Product Support Services
(PSS) à  http://support.microsoft.
com/directory/overview.asp, pour
obtenir le hotfix.