On vous conseillera souvent de mettre les fichiers écrivables et exécutables dans leurs propres répertoires, à l'écart de tout autre type de contenu. Il faut, par exemple, placer tous les fichiers exécutables dans un répertoire nommé \CGI ou \BIN. Vous pouvez donner au répertoire des permissions Execute, mais quand un
Protéger le Webroot (2)
répertoire les
possède, tous les programmes que
vous lui ajouterez seront aussi exécutables.
Donc, au lieu de donner au répertoire
des permissions Execute, il
vaut mieux ne donner ces dernières
qu’aux fichiers particuliers dont l’application
Web a besoin. Ce faisant, les
éventuels nouveaux fichiers que vous
mettrez dans le répertoire n’hériteront
pas automatiquement de permissions
Execute.
De nombreuses attaques véhiculées
par le Web passent par le chargement
sur le Web d’un programme
grâce auquel l’attaquant va faciliter son
accès au système. Ainsi, le virus
CodeRed chargeait le fichier root.exe
dans le répertoire Scripts du site Web
d’une victime. En n’accordant des permissions
d’exécution qu’au niveau du
fichier, vous empêchez les nouveaux fichiers
de devenir exécutables par leur
seule présence dans le bon répertoire.
Cette seule technique aurait pu atténuer
les conséquences du virus
CodeRed et de ses variantes.
Il faut aussi restreindre l’accès du
compte System aux répertoires Web.
IIS a été vulnérable à plusieurs types
d’attaques par débordement du buffer,
qui permettaient aux intrus de gagner
l’accès au niveau System, et des vulnérabilités
du même genre risquent fort
d’apparaître à l’avenir. On peut aussi
réduire l’exposition à de telles attaques
en limitant ce que le compte System
peut faire au Webroot. Bien que le
compte System puisse changer le jeu
de permissions NTFS sur n’importe
quel fichier, cette façon de faire nécessite
une approche plus complexe, limitant
du même coup l’exposition aux attaques
les plus sophistiquées.
Toutefois, sachez que si vous utilisez l’Indexing Service, le compte System
doit être en mesure de lire le Webroot
pour créer un index.
Téléchargez cette ressource
Microsoft 365 Tenant Resilience
Face aux failles de résilience des tenants M365 (configurations, privilèges, sauvegarde). Découvrez 5 piliers pour durcir, segmenter et surveiller vos environnements afin de limiter l’impact des attaques. Prioriser vos chantiers cyber et améliorer la résilience de vos tenants Microsoft 365.
Les articles les plus consultés
- Chiffrements symétrique vs asymétrique
- Et si les clients n’avaient plus le choix ?
- Partager vos images, vidéos, musique et imprimante avec le Groupe résidentiel
- Cybersécurité Active Directory et les attaques de nouvelle génération
- N° 2 : Il faut supporter des langues multiples dans SharePoint Portal Server
Les plus consultés sur iTPro.fr
- Cybersécurité française 2026 : explosion des startups, ralentissement des scale-ups et virage stratégique de l’IA
- Le Cercle de l’Innovation décerne le Prix de l’Innovation du Public 2026
- Avec l’IA agentique, la robustesse des SI redevient stratégique
- Les erreurs du secteur bancaire dans son approche IA
Articles les + lus
Couchbase lance AI Data Plane pour industrialiser l’IA agentique
Windows 11 : Microsoft généralise le point-in-time restore pour accélérer la remise en service des PC
Computex 2026 : 5 signaux forts à retenir
La chaîne d’approvisionnement, point de rupture récurent du SI
Microsoft Build 2026 : contre-offensive des modèles maison face à OpenAI et Anthropic
À la une de la chaîne Tech
- Couchbase lance AI Data Plane pour industrialiser l’IA agentique
- Windows 11 : Microsoft généralise le point-in-time restore pour accélérer la remise en service des PC
- Computex 2026 : 5 signaux forts à retenir
- La chaîne d’approvisionnement, point de rupture récurent du SI
- Microsoft Build 2026 : contre-offensive des modèles maison face à OpenAI et Anthropic
