Les fichiers du répertoire Webroot peuvent être les plus sensibles sur un serveur Web. Ces fichiers sont exposés au public et contiennent souvent du code sensible que des intrus peuvent utiliser pour recueillir des informations et compromettre le serveur Web. Ainsi, votre code côté serveur peut contenir des informations de
Protéger le Webroot
connexion à la base de données, comprenant
des mots de passe, fort intéressants
pour un intrus. Le code pourrait
aussi contenir des références à des
fichiers et à des répertoires tout aussi
intéressants le même individu. Si quelqu’un
parvient à accéder à ce code
source par une brèche du système de
visualisation des fichiers, votre serveur
est menacé.
Vous pouvez utiliser l’ISM (Internet
Services Manager) pour définir les permissions
de lecture, d’écriture, et de
consultation de répertoire pour les
applications Web, mais ces permissions
ne sont pas les mêmes que les
permissions NTFS. Les permissions
d’application Web contrôlent la manière
dont IIS traite les requêtes des
utilisateurs du Web ; les permissions
NTFS offrent un niveau de contrôle supérieur
et régulent quel IIS peut accéder.
Si ISM découvre une vulnérabilité
susceptible de faire révéler par IIS le
code côté serveur, les permissions
NTFS ont priorité et bloquent l’accès
au fichier. Bien que cet article ne traite
que des permissions NTFS, vous devez
aussi choisir soigneusement les permissions
attribuées dans l’ISM.
Pour sécuriser la racine Web, commencez
par enlever les permissions
héritées. Faites un clic droit sur le
répertoire Webroot, sélectionnez
Properties puis l’onglet Security.
Enlevez l’option Allow inheritable permissions
from parent to propagate to
this object. Quand le système vous demande
des instructions pour traiter les
permissions existantes, cliquez sur
Remove. On garantit ainsi que les répertoires
Web n’héritent pas par inadvertance
de permissions indésirables
provenant de répertoires parents.
Ensuite, imitez les permissions du
groupe Web Anonymous Users. Ne laissez
ce groupe Write dans aucun des répertoires
Web. Il ne faut pas que la plus
grande partie des Web Anonymous
Users écrivent dans le système de fichiers.
S’il existe une application qui
requiert des permissions Write, ajoutez
cette permission aux seuls répertoires
qui en ont besoin. Cette règle vaut
aussi pour des permissions Execute ;
enlevez les permissions Execute de
tous les répertoires Web sauf si elles
sont absolument nécessaires pour une
application Web. S’il y a des répertoires
qui contiennent des fichiers DLL ou
exécutables, les applications ne fonctionneront
correctement que si les utilisateurs
anonymes ont des permissions
Execute. Les fichiers script,
comme le code ASP, n’ont pas besoin
de permissions NTFS Execute.
Téléchargez cette ressource
Guide inmac wstore pour l’équipement IT de l’entreprise
Découvrez toutes nos actualités à travers des interviews, avis, conseils d'experts, témoignages clients, ainsi que les dernières tendances et solutions IT autour de nos 4 univers produits : Poste de travail, Affichage et Collaboration, Impression et Infrastructure.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
- Afficher les icônes cachées dans la barre de notification
- Partager vos images, vidéos, musique et imprimante avec le Groupe résidentiel
- Et si les clients n’avaient plus le choix ?
- Activer la mise en veille prolongée dans Windows 10
- N° 2 : Il faut supporter des langues multiples dans SharePoint Portal Server
