Verrouiller IIS

lesquels il faut installer IIS, sachez
que la plupart des exploits IIS dépendent
de fonctions dont les
utilisateurs n’ont en principe pas besoin.
Vous pouvez et devez désactiver
de telles fonctions sur la plupart des
serveurs Web. D’ailleurs, Microsoft
propose un excellent outil pour automatiser
l’opération : le IIS Lockdown
Wizard. Le wizard installe l’IIS
Lockdown Tool, lequel désactive les
fonctions non nécessaires comme les
mappings de script, supprime les fichiers
et répertoires exemple, supprime
les services non nécessaires
comme WWW Distributed Authoring
and Versioning (WebDAV) et renforce
les permissions par défaut. Le wizard
installe aussi URLScan, un filtre ISAPI
qui recherche et bloque tout contenu
suspect dans des requêtes URL.

Pour bénéficier de l’IIS Lockdown
Wizard, téléchargez iislockd.exe à 
partir de http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/tools/tools/locktool.asp. Exécutez

iislockd.exe /q /c /t:c:/iislockd

pour décharger les fichiers du wizard
dans le dossier C:\iislockd. Le fichier
iislockd.chm contient la documentation
du wizard. S’il y a de nombreux ordinateurs
IIS à  verrrouiller, il vaut
mieux exécuter le wizard en mode automatique
avec les documents runlockdunattended.doc du fichier.
Pour exécuter le wizard sur tous les ordinateurs
d’un groupe AD (Active
Directory), on peut configurer un
script de démarrage dans un GPO. On
peut, par exemple, utiliser un script de
démarrage dans le GPO FrontPage-
WorkstationPolicies pour exécuter le
wizard sur tout les systèmes dans le
groupe FrontPageWorkstations
exemple. Win2K exécute automatiquement
les scripts de démarrage chaque
fois qu’un ordinateur se réinitialise,
donc il faut ajouter la logique qui empêchera
le wizard de se réexécuter à 
chaque réinitialisation des ordinateurs.