> Tech > Rester à  la pointe de la sécurité avec IIS

Rester à  la pointe de la sécurité avec IIS

Tech - Par iTPro.fr - Publié le 24 juin 2010
email

par Randy Franklin Smith
Un serveur Web est l'un des systèmes les plus exposés aux attaques et la cible privilégiée des hackers. La sécurisation de Microsoft IIS est donc une priorité et Microsoft propose plusieurs documents et outils nouveaux (ou mis à  jour) très utiles. Ces ressources s'adressent pour la plupart davantage aux développeurs qu'aux administrateurs, mais la séparation entre le développement et l'administration est souvent floue dans le monde des serveurs Web.Comme beaucoup d'actes de malveillance sont dues aux vulnérabilités du code applicatif, plutôt qu'à  la configuration du système, la sécurité des sites Web dépend autant des développeurs que des administrateurs. Même si vous outsourcez le développement des sites Web, il est indispensable de connaître les problèmes de sécurité importants liés au développement, afin de protéger votre système IIS contre les intrusions.

Rester à  la pointe de la sécurité avec IIS

Comment sécuriser votre serveur Web ? La nouvelle version de la page Web Site
Security de Microsoft qui vient d’être entièrement recréée (http://www.microsoft.com/technet/security/web.asp)
est un bon point de départ pour trouver des réponses à  cette vaste question. Elle
propose de nombreux documents intéressants et récemment mis à  jour sur la sécurité
d’IIS. Les documents particulièrement utiles sont les suivants :
 » Security Checklist for Microsoft Internet Information Server « .
Cette check-list contient beaucoup d’astuces de configuration Windows NT et IIS,
qui sont autant d’incontournables de la sécurité des serveurs Web. C’est un bon
point de départ pour sécuriser votre serveur et le hisser au niveau du dernier
correctif de sécurité. Cela dit, je recommande fortement de s’abonner au service
Microsoft Security Notification Service pour se tenir au courant des mises à  jour
concernant les problèmes de sécurité et les produits.
 » Designing and Planning Windows NT External Security « . Les
services de consultation de Microsoft ont réalisé ce document à  partir des pratiques
optimales de plusieurs entreprises réelles. Bien qu’un peu dépassé (il cible,
par exemple, le SP4 de NT 4.0), il reste d’actualité concernant les discussions
sur l’implémentation de la DMZ (demilitarized zone) – et notamment, comment configurer
NT et IIS pour s’exécuter dans une DMZ. Ce document exhaustif couvre d’autres
domaines, tels que les stratégies de sécurité, la réponse aux incidents, la reprises
après incident, les implémentations de pare-feux et l’utilisation de PPTP et de
Microsoft Proxy Server.
 » Untangling Web Security : Getting the Most from IIS Security « . Aux
nouveaux venus de la sécurité d’IIS, je recommande de lire cette introduction
à  la sécurité d’IIS 4.0. Elle décrit plusieurs fonctions de sécurité de base et
montre comment optimiser leur configuration.
 » Implementing a Secure Site with ASP « . Cet article traite le
problème de la sécurité d’IIS concernant les développeurs. Bien que n’expliquant
pas comment coder en toute sécurité des ASP (Active Server Pages), il décrit l’interopérabilité
entre IIS, Windows NT, les ASP et Microsoft SQL Server du point de vue de la sécurité.
Il montre également comment les méthodes d’authentification d’IIS 4.0 fonctionnent
dans une application Web multi-niveau et aide à  mieux identifier l’option qui
fonctionne le mieux pour vos besoins.

Téléchargez gratuitement cette ressource

Cloud hybride : 4 Stratégies de réussite

Cloud hybride : 4 Stratégies de réussite

Que vous souhaitiez développer ou renforcer votre approche du Cloud hybride, évaluer les meilleures options ou encore enrichir votre processus de prise de décision, découvrez dans ce Guide, 4 stratégies de Cloud hybride alignées avec vos objectifs business & technologiques.

Tech - Par iTPro.fr - Publié le 24 juin 2010