Sécurisation de l'administration
Vous effectuez des tâches d'administration de Windows Server AppFabric à l'aide des outils AppFabric du Gestionnaire des services Internet d'AppFabric. Presque toutes les fonctionnalités du Gestionnaire des services Internet sont accessibles via les cmdlets standard fournies avec AppFabric. Les outils disponibles dans AppFabric sont très puissants. Vous pouvez créer une installation fonctionnelle de AppFabric en activant une case à cocher, en cliquant avec la souris ou en exécutant des cmdlets. Toutefois, une installation de AppFabric peut rapidement devenir inutilisable si un utilisateur non autorisé parvient à obtenir un accès partiel ou total au système AppFabric et aux composants dont il dépend. Cette rubrique se concentre sur la manière de sécuriser les fonctionnalités d'administration pour AppFabric.
Privilèges d'administration d'AppFabric
Lorsque vous utilisez les outils de AppFabric pour l'administration, vous opérez toujours dans le même contexte de sécurité. Cela facilite l'administration de AppFabric et des technologies sur lesquelles il s'appuie, telles que Windows Server, IIS et SQL Server. Pour pouvoir administrer AppFabric, vous devez être membre du rôle conceptuel Administrateurs de serveur d'applications (groupe de sécurité Windows AS_Administrators) ou Opérateurs de serveur d'applications (groupe de sécurité Windows AS_Observers).
Pour une administration à distance de AppFabric, les groupes AS_Administrators et AS_Observers ont des privilèges d'administration correspondants. Vous pouvez installer AppFabric sur un serveur auquel les utilisateurs peuvent se connecter à distance en utilisant le mode de sécurité IIS avec le Gestionnaire des services Internet. En tant qu'administrateur, pour autoriser des utilisateurs à interroger les magasins de surveillance et de persistance, vous devez ajouter le compte du Gestionnaire des services Internet (généralement, le compte de service réseau intégré) au groupe AS_Administrators ou AS_Observers sur le serveur distant. Vous sélectionnez le groupe de sécurité sur la base des autorisations que vous voulez octroyer aux utilisateurs distants. Lorsque des utilisateurs s'authentifient dans IIS uniquement pour accéder aux outils d'administration, ils s'exécutent en tant que membres du groupe AS_Administrators ou AS_Observers avec les restrictions et les autorisations appropriées. Il s'agit d'une règle de sécurité Windows intangible. Pour administrer AppFabric à distance en utilisant le Gestionnaire des services Internet, vous devez être administrateur de domaine. Pour les tâches d'administration à distance, vous accédez aux ressources sous votre propre identifié. Il n'y a pas d'emprunt d'identité ni de proxy qui vous donne une identité distante alternative.
Un administrateur AppFabric peut utiliser l'option Délégation des fonctionnalités d'IIS pour déléguer diverses autorisations de sécurité à tous les sites Web figurant sur un ordinateur. Par exemple, vous pouvez définir des autorisations en lecture seule pour l'exploration de répertoire ou désactiver la journalisation. L'option Délégation des fonctionnalités apparaît dans la section Gestion de l'Affichage des fonctionnalités au niveau de l'ordinateur.
IIS permet également de verrouiller et déverrouiller certains paramètres de configuration aux différents niveaux d'étendue en utilisant un verrouillage de configuration. Pour effectuer un verrouillage de configuration, modifiez directement les éléments XML dans les fichiers de configuration. Un paramètre de configuration verrouillé ne peut être déverrouillé qu'au niveau où il a été verrouillé, et ne peut pas être modifié à des niveaux inférieurs. Vous pouvez utiliser cette option si vous ne voulez pas utiliser la même configuration pour différents sites et devez remplacer quelques propriétés choisies. Vous pouvez effectuer une gestion de verrou au niveau d'une section ou individuellement pour des attributs, des éléments et des éléments et directives d'une collection. Il n'y a pas de prise en charge d'outils directe pour cette fonctionnalité. Vous devez donc modifier manuellement le fichier de configuration au niveau approprié de l'étendue parentale à partir duquel vous voulez que les modifications affectent les dossiers enfants.
Pour les tâches d'administration classiques en relation avec l'installation, la configuration et l'exécution de AppFabric, affectez des utilisateurs au groupe LOCALHOST\Administrators local. Cela permet aux membres de ce dernier de modifier des configurations de serveur, de site ou d'application, de déployer des applications ou d'en annuler le déploiement, ainsi que d'exécuter des programmes auxiliaires tels que le Gestionnaire des services Internet, MSDeploy ou SvcConfigEditor.
.gif "security") Sécurité Remarque |
|---|
| Sachez que si vous octroyez à un compte de service les autorisations nécessaires pour interroger les magasins de surveillance et de persistance, vous les octroyez également à toutes les applications qui s'exécutent sous ce compte. |
Administration à distance
Lorsque vous procédez à l'administration locale de AppFabric, vous opérez sous le compte que vous avez utilisé pour vous connecter. Pour administrer AppFabric à distance, le service de gestion IIS autorise les administrateurs locaux et de domaine à utiliser le Gestionnaire des services Internet pour gérer un serveur Web à distance. Seul un administrateur local peut configurer le service de gestion IIS pour autoriser des connexions à distance. Cela fait, pour gérer la sécurité lors de l'accès à un ordinateur AppFabric distant, vous pouvez utiliser l'un des modes suivants :
Informations d’identification Windows uniquement. Dans ce mode, le service de gestion Web IIS s'exécute sous vos informations d'identification. Cela signifie que vous pouvez exécuter toutes les actions que vous pourriez effectuer si vous étiez connecté localement à l'ordinateur distant. Par exemple, si vous disposez localement des autorisations nécessaires pour modifier le fichier Web.config d'une application, vous pouvez également le modifier à distance. L'accès aux ressources AppFabric est protégé par votre appartenance aux groupes AS_Observers et AS_Administrators.
Informations d'identification Windows ou sécurité d'authentification du Gestionnaire des services Internet. Dans ce mode, vous vous connectez et opérez en tant que SERVICE LOCAL sur l'ordinateur à distance. Dans ce cas, le Gestionnaire des services Internet vous permet de voir des informations différentes de celles que vous verriez en utilisant uniquement les informations d'identification Windows. Étant donné que, par défaut, SERVICE LOCAL est autorisé à administrer toutes les applications sur l'ordinateur (modifier des fichiers Web.config ainsi qu'interroger et modifier des données de persistance et de surveillance), les autorisations effectives sur la connexion sont déterminées par l'étendue sur laquelle vous vous connectez. Par exemple, si vos informations d'identification vous permettent de vous connecter à une application spécifique, AppFabric s'assure que vous puissiez uniquement accéder aux informations relatives à cette application, sans vous autoriser à voir des données de persistance sensibles.
Pour administrer AppFabric, tant localement qu'à distance, vous allez utiliser les groupes conceptuels suivants ainsi que les groupes de sécurité Windows correspondants :
Administrateurs de serveur d'applications. Les membres du groupe conceptuel Administrateurs de serveur d'applications (autorisations d'accès illimitées) correspondent au groupe de sécurité Windows AS_Administrators. Les membres du groupe AS_Administrators peuvent interrompre, reprendre, arrêter ou supprimer des instances persistantes, créer et supprimer des sources et des collecteurs d'événements, ainsi qu'afficher, purger et archiver des données de surveillance. L'installation de AppFabric crée automatiquement le groupe AS_Administrators et ajoute le compte AUTORITE NT\SERVICE LOCAL. SERVICE LOCAL est le compte sous lequel les services service de collecte d'événements ; et Service de gestion du flux de travail opèrent. Vous pouvez ajouter manuellement des membres au groupe AS_Administrators auquel vous voulez octroyer un accès illimité pour l'administration de AppFabric.
Observateurs de serveur d'applications. Les membres du groupe conceptuel Observateurs de serveur d'applications (autorisations d'accès partielles) correspondent au groupe de sécurité Windows AS_Observers. Les membres du groupe AS_Observers disposent d'une visibilité partielle des données de persistance et de surveillance d'application. Ils peuvent énumérer des applications et services, afficher des configurations de service et d'application, consulter des données de surveillance et examiner des instances persistantes. L'installation de AppFabric crée automatiquement le groupe AS_Observers, mais n'y insère aucun compte. Vous pouvez ajouter manuellement des membres au groupe AS_Observers auquel vous voulez octroyer un accès partiel pour l'administration de AppFabric.
Pour plus d'informations sur la sécurisation de la configuration, de la délégation et l'administration à distance à l'aide d'IIS, consultez les rubriques Securing Configuration (https://go.microsoft.com/fwlink/?LinkId=183022) (en anglais) et Configuring Remote Administration and Feature Delegation in IIS 7.0 (https://go.microsoft.com/fwlink/?LinkId=184265) (en anglais).
2011-12-05