> Tech > Protéger le Webroot

Protéger le Webroot

Tech - Par iTPro - Publié le 24 juin 2010
email

Les fichiers du répertoire Webroot peuvent être les plus sensibles sur un serveur Web. Ces fichiers sont exposés au public et contiennent souvent du code sensible que des intrus peuvent utiliser pour recueillir des informations et compromettre le serveur Web. Ainsi, votre code côté serveur peut contenir des informations de

connexion à  la base de données, comprenant
des mots de passe, fort intéressants
pour un intrus. Le code pourrait
aussi contenir des références à  des
fichiers et à  des répertoires tout aussi
intéressants le même individu. Si quelqu’un
parvient à  accéder à  ce code
source par une brèche du système de
visualisation des fichiers, votre serveur
est menacé.

Vous pouvez utiliser l’ISM (Internet
Services Manager) pour définir les permissions
de lecture, d’écriture, et de
consultation de répertoire pour les
applications Web, mais ces permissions
ne sont pas les mêmes que les
permissions NTFS. Les permissions
d’application Web contrôlent la manière
dont IIS traite les requêtes des
utilisateurs du Web ; les permissions
NTFS offrent un niveau de contrôle supérieur
et régulent quel IIS peut accéder.
Si ISM découvre une vulnérabilité
susceptible de faire révéler par IIS le
code côté serveur, les permissions
NTFS ont priorité et bloquent l’accès
au fichier. Bien que cet article ne traite
que des permissions NTFS, vous devez
aussi choisir soigneusement les permissions
attribuées dans l’ISM.

Pour sécuriser la racine Web, commencez
par enlever les permissions
héritées. Faites un clic droit sur le
répertoire Webroot, sélectionnez
Properties puis l’onglet Security.
Enlevez l’option Allow inheritable permissions
from parent to propagate to
this object. Quand le système vous demande
des instructions pour traiter les
permissions existantes, cliquez sur
Remove. On garantit ainsi que les répertoires
Web n’héritent pas par inadvertance
de permissions indésirables
provenant de répertoires parents.

Ensuite, imitez les permissions du
groupe Web Anonymous Users. Ne laissez
ce groupe Write dans aucun des répertoires
Web. Il ne faut pas que la plus
grande partie des Web Anonymous
Users écrivent dans le système de fichiers.
S’il existe une application qui
requiert des permissions Write, ajoutez
cette permission aux seuls répertoires
qui en ont besoin. Cette règle vaut
aussi pour des permissions Execute ;
enlevez les permissions Execute de
tous les répertoires Web sauf si elles
sont absolument nécessaires pour une
application Web. S’il y a des répertoires
qui contiennent des fichiers DLL ou
exécutables, les applications ne fonctionneront
correctement que si les utilisateurs
anonymes ont des permissions
Execute. Les fichiers script,
comme le code ASP, n’ont pas besoin
de permissions NTFS Execute.

Téléchargez gratuitement cette ressource

Comment sécuriser la Digital Workplace ?

Comment sécuriser la Digital Workplace ?

Avec le recours généralisé au télétravail, les entreprises ont ouvert davantage leur SI. En dépit des précautions prises, elles ont mécaniquement élargi leur surface d’exposition aux risques. Découvrez 5 axes à ne pas négliger dans ce Top 5 Sécurité du Télétravail.

Tech - Par iTPro - Publié le 24 juin 2010