> Tech > Verrouiller IIS

Verrouiller IIS

Tech - Par iTPro - Publié le 24 juin 2010
email

CodeRed utilisait la prise en charge de l'IPP (Internet Printing Protocol) par IIS. Je ne connais personne qui utilise IPP, mais les mappings de script d'IIS (aussi connus sous le nom de filtres ISAPI - Internet Server API, mappings d'applications, ou mappings ISAPI) l'activent par défaut. Pour les ordinateurs sur

Verrouiller IIS

lesquels il faut installer IIS, sachez
que la plupart des exploits IIS dépendent
de fonctions dont les
utilisateurs n’ont en principe pas besoin.
Vous pouvez et devez désactiver
de telles fonctions sur la plupart des
serveurs Web. D’ailleurs, Microsoft
propose un excellent outil pour automatiser
l’opération : le IIS Lockdown
Wizard. Le wizard installe l’IIS
Lockdown Tool, lequel désactive les
fonctions non nécessaires comme les
mappings de script, supprime les fichiers
et répertoires exemple, supprime
les services non nécessaires
comme WWW Distributed Authoring
and Versioning (WebDAV) et renforce
les permissions par défaut. Le wizard
installe aussi URLScan, un filtre ISAPI
qui recherche et bloque tout contenu
suspect dans des requêtes URL.

Pour bénéficier de l’IIS Lockdown
Wizard, téléchargez iislockd.exe à 
partir de http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/tools/tools/locktool.asp. Exécutez

iislockd.exe /q /c /t:c:/iislockd

pour décharger les fichiers du wizard
dans le dossier C:\iislockd. Le fichier
iislockd.chm contient la documentation
du wizard. S’il y a de nombreux ordinateurs
IIS à  verrrouiller, il vaut
mieux exécuter le wizard en mode automatique
avec les documents runlockdunattended.doc du fichier.
Pour exécuter le wizard sur tous les ordinateurs
d’un groupe AD (Active
Directory), on peut configurer un
script de démarrage dans un GPO. On
peut, par exemple, utiliser un script de
démarrage dans le GPO FrontPage-
WorkstationPolicies pour exécuter le
wizard sur tout les systèmes dans le
groupe FrontPageWorkstations
exemple. Win2K exécute automatiquement
les scripts de démarrage chaque
fois qu’un ordinateur se réinitialise,
donc il faut ajouter la logique qui empêchera
le wizard de se réexécuter à 
chaque réinitialisation des ordinateurs.

Téléchargez gratuitement cette ressource

Guide de Services Cloud Managés

Guide de Services Cloud Managés

Accélérer votre transformation digitale, protéger et sécuriser vos environnements Cloud avec les offres de support, d'accompagnement et de services managés. Découvrez le TOP 3 des Services Managés pour accompagner la transformation de vos environnements Cloud, gagner en agilité et en sécurité dans un monde d'incertitudes.

Tech - Par iTPro - Publié le 24 juin 2010