Les fichiers du répertoire Webroot peuvent être les plus sensibles sur un serveur Web. Ces fichiers sont exposés au public et contiennent souvent du code sensible que des intrus peuvent utiliser pour recueillir des informations et compromettre le serveur Web. Ainsi, votre code côté serveur peut contenir des informations de
Protéger le Webroot
connexion à la base de données, comprenant
des mots de passe, fort intéressants
pour un intrus. Le code pourrait
aussi contenir des références à des
fichiers et à des répertoires tout aussi
intéressants le même individu. Si quelqu’un
parvient à accéder à ce code
source par une brèche du système de
visualisation des fichiers, votre serveur
est menacé.
Vous pouvez utiliser l’ISM (Internet
Services Manager) pour définir les permissions
de lecture, d’écriture, et de
consultation de répertoire pour les
applications Web, mais ces permissions
ne sont pas les mêmes que les
permissions NTFS. Les permissions
d’application Web contrôlent la manière
dont IIS traite les requêtes des
utilisateurs du Web ; les permissions
NTFS offrent un niveau de contrôle supérieur
et régulent quel IIS peut accéder.
Si ISM découvre une vulnérabilité
susceptible de faire révéler par IIS le
code côté serveur, les permissions
NTFS ont priorité et bloquent l’accès
au fichier. Bien que cet article ne traite
que des permissions NTFS, vous devez
aussi choisir soigneusement les permissions
attribuées dans l’ISM.
Pour sécuriser la racine Web, commencez
par enlever les permissions
héritées. Faites un clic droit sur le
répertoire Webroot, sélectionnez
Properties puis l’onglet Security.
Enlevez l’option Allow inheritable permissions
from parent to propagate to
this object. Quand le système vous demande
des instructions pour traiter les
permissions existantes, cliquez sur
Remove. On garantit ainsi que les répertoires
Web n’héritent pas par inadvertance
de permissions indésirables
provenant de répertoires parents.
Ensuite, imitez les permissions du
groupe Web Anonymous Users. Ne laissez
ce groupe Write dans aucun des répertoires
Web. Il ne faut pas que la plus
grande partie des Web Anonymous
Users écrivent dans le système de fichiers.
S’il existe une application qui
requiert des permissions Write, ajoutez
cette permission aux seuls répertoires
qui en ont besoin. Cette règle vaut
aussi pour des permissions Execute ;
enlevez les permissions Execute de
tous les répertoires Web sauf si elles
sont absolument nécessaires pour une
application Web. S’il y a des répertoires
qui contiennent des fichiers DLL ou
exécutables, les applications ne fonctionneront
correctement que si les utilisateurs
anonymes ont des permissions
Execute. Les fichiers script,
comme le code ASP, n’ont pas besoin
de permissions NTFS Execute.
Téléchargez cette ressource
Sécuriser Microsoft 365 avec une approche Zero-Trust
Découvrez comment renforcer la cyber-résilience de Microsoft 365 grâce à une approche Zero-Trust, une administration granulaire et une automatisation avancée. La technologie Virtual Tenant de CoreView permet de sécuriser et simplifier la gestion des environnements complexes, tout en complétant vos stratégies IAM, y compris dans les secteurs réglementés.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
- N° 2 : Il faut supporter des langues multiples dans SharePoint Portal Server
- Les 6 étapes vers un diagnostic réussi
- Cybersécurité Active Directory et les attaques de nouvelle génération
- Partager vos images, vidéos, musique et imprimante avec le Groupe résidentiel
- Afficher les icônes cachées dans la barre de notification
Les plus consultés sur iTPro.fr
- Fraude par identité synthétique : comment l’IA peut redonner confiance aux entreprises et à leurs clients
- VirtualBrowser protège la navigation web à la source
- Innovation et performance : le rôle clé du consulting dans la transformation numérique
- Sekoia.io : l’alternative européenne qui s’impose dans la cybersécurité
Articles les + lus
Moderniser le développement logiciel : de la fragmentation à l’intégration
Analyse Patch Tuesday Mars 2026
Une nouvelle ère de la modernisation du mainframe
Communes, entreprises ? Non, face au RGAA 5, l’IA seule ne rendra pas vos sites accessibles
DevX Summit EMEA : les développeurs au cœur de la révolution de l’IA
À la une de la chaîne Tech
- Moderniser le développement logiciel : de la fragmentation à l’intégration
- Analyse Patch Tuesday Mars 2026
- Une nouvelle ère de la modernisation du mainframe
- Communes, entreprises ? Non, face au RGAA 5, l’IA seule ne rendra pas vos sites accessibles
- DevX Summit EMEA : les développeurs au cœur de la révolution de l’IA
