On vous conseillera souvent de mettre les fichiers écrivables et exécutables dans leurs propres répertoires, à l'écart de tout autre type de contenu. Il faut, par exemple, placer tous les fichiers exécutables dans un répertoire nommé \CGI ou \BIN. Vous pouvez donner au répertoire des permissions Execute, mais quand un
Protéger le Webroot (2)
répertoire les
possède, tous les programmes que
vous lui ajouterez seront aussi exécutables.
Donc, au lieu de donner au répertoire
des permissions Execute, il
vaut mieux ne donner ces dernières
qu’aux fichiers particuliers dont l’application
Web a besoin. Ce faisant, les
éventuels nouveaux fichiers que vous
mettrez dans le répertoire n’hériteront
pas automatiquement de permissions
Execute.
De nombreuses attaques véhiculées
par le Web passent par le chargement
sur le Web d’un programme
grâce auquel l’attaquant va faciliter son
accès au système. Ainsi, le virus
CodeRed chargeait le fichier root.exe
dans le répertoire Scripts du site Web
d’une victime. En n’accordant des permissions
d’exécution qu’au niveau du
fichier, vous empêchez les nouveaux fichiers
de devenir exécutables par leur
seule présence dans le bon répertoire.
Cette seule technique aurait pu atténuer
les conséquences du virus
CodeRed et de ses variantes.
Il faut aussi restreindre l’accès du
compte System aux répertoires Web.
IIS a été vulnérable à plusieurs types
d’attaques par débordement du buffer,
qui permettaient aux intrus de gagner
l’accès au niveau System, et des vulnérabilités
du même genre risquent fort
d’apparaître à l’avenir. On peut aussi
réduire l’exposition à de telles attaques
en limitant ce que le compte System
peut faire au Webroot. Bien que le
compte System puisse changer le jeu
de permissions NTFS sur n’importe
quel fichier, cette façon de faire nécessite
une approche plus complexe, limitant
du même coup l’exposition aux attaques
les plus sophistiquées.
Toutefois, sachez que si vous utilisez l’Indexing Service, le compte System
doit être en mesure de lire le Webroot
pour créer un index.
Téléchargez cette ressource

État des lieux de la réponse à incident de cybersécurité
Les experts de Palo Alto Networks, Unit 42 et Forrester Research livrent dans ce webinaire exclusif leurs éclairages et stratégies en matière de réponses aux incidents. Bénéficiez d'un panorama complet du paysage actuel de la réponse aux incidents et de sa relation avec la continuité de l'activité, des défis auxquels font face les entreprises et des tendances majeures qui modèlent ce domaine. Un état des lieux précieux pour les décideurs et professionnels IT.
Les articles les plus consultés
- N° 2 : Il faut supporter des langues multiples dans SharePoint Portal Server
- Activer la mise en veille prolongée dans Windows 10
- Cybersécurité Active Directory et les attaques de nouvelle génération
- Partager vos images, vidéos, musique et imprimante avec le Groupe résidentiel
- Et si les clients n’avaient plus le choix ?
Les plus consultés sur iTPro.fr
- Reporting RSE : un levier d’innovation !
- De la 5G à la 6G : la France se positionne pour dominer les réseaux du futur
- Datanexions, acteur clé de la transformation numérique data-centric
- Les PME attendent un meilleur accès aux données d’émissions de la part des fournisseurs
- Fraude & IA : Dr Jekyll vs. Mr Hyde, qui l’emporte ?
