> Tech > Permissions NTFS pour serveurs web IIS

Permissions NTFS pour serveurs web IIS

Tech - Par iTPro.fr - Publié le 24 juin 2010
email

par Mark Burnett - Mis en ligne le 29/04/2003
Le 26 janvier 2000 - près d'un mois après la release officielle de Windows 2000 - Microsoft a diffusé le Security Bulletin MS00-006 (Patch Available for « Malformed Hit-Highlighting Argument » Vulnerability), qui annonçait une vulnérabilité Microsoft IIS. Par cette faille, un intrus pouvait voir le code source des documents côté serveur, y compris les scripts ASP ...

C'est là  un risque grave car le code ASP contient souvent des informations sensibles comme des mots de passe ou des instructions SQL, dont les intrus se régalent. Les experts en sécurité conseillent d'instaurer des permissions de fichiers NTFS appropriées sur les disques durs de votre serveur Web. Depuis la release de Win2K, Microsoft a publié d'autres avis de ce genre et a martelé la nécessité d'instaurer des permissions de fichiers NTFS appropriées.

Mais quelles permissions devriezvous établir ? Beaucoup d'administrateurs qui avaient essayé de resserrer les permissions de fichiers sur un serveur Web ont découvert à  leurs dépens qu'ils avaient détruit quelque fonction d'une application Web. Ces mêmes administrateurs répugnent par conséquent à  changer des permissions de fichiers sur les serveurs qui marchent bien. Mais une bonne compréhension de la manière dont les serveurs Web et leurs utilisateurs interagissent avec le système de fichiers, vous permettra, en toute confiance, de définir correctement des permissions très bénéfiques pour la sécurité de votre serveur Web.

Permissions NTFS pour serveurs web IIS

Un système Win2K classique exécute
de nombreux processus à  un moment
donné. Si vous ouvrez Task Manager et
sélectionnez l’onglet Processes, vous
obtenez une liste des processus en
cours d’exécution. Ouvrez View, Select
Columns, et vous pouvez sélectionner
des informations supplémentaires sur chaque processus. Cochez la case User
Name et cliquez sur OK pour obtenir
une liste qui montre quels utilisateurs possèdent chaque processus.

Quand un utilisateur lance un processus,
c’est dans le contexte de cet
utilisateur. Si ce processus en lance un
autre, le processus enfant reste dans le
même contexte utilisateur que son parent.
Quand un processus accède à  un
volume NTFS, l’accès à  ce fichier se
fera toujours dans le contexte utilisateur
de ce processus.

Certains services, comme IIS, fonctionnent
sous le contexte système
mais, pour des raisons de sécurité, ils
imiteront des comptes de moindre privilège
– appelés impersonation – en
lançant un nouveau processus sous un
contexte utilisateur différent. Il en résulte
que le nouveau processus effectuera
les requêtes de fichier sous un
contexte utilisateur différent. Avant de
commencer à  verrouiller le système,
vous devez d’abord comprendre comment
chacun de ces rôles utilisateur
entre en scène.

Téléchargez cette ressource

Guide inmac wstore pour l’équipement IT de l’entreprise

Guide inmac wstore pour l’équipement IT de l’entreprise

Découvrez les dernières tendances et solutions IT autour des univers de Poste de travail, Affichage et Collaboration, Impression et Infrastructure, et notre dossier Green IT sur les actions engagés par inmac wstore pour réduire son impact environnemental

Tech - Par iTPro.fr - Publié le 24 juin 2010