Exporter (0) Imprimer
Développer tout

Liste de contrôle : sécurisation de votre serveur Web

Derniére mise à jour le 31 août 2004
Sur cette page

Correctifs et mises à jour Correctifs et mises à jour
IISLockdown IISLockdown
Services Services
Protocoles Protocoles
Comptes Comptes
Fichiers et répertoires Fichiers et répertoires
Partages Partages
Ports Ports
Registre Registre
Audit et journalisation Audit et journalisation
Sites et répertoires virtuels Sites et répertoires virtuels
Mappages de scripts Mappages de scripts
Filtres ISAPI Filtres ISAPI
Métabase IIS Métabase IIS
Certificats de serveur Certificats de serveur
Machine.config Machine.config
Sécurité par code d'accès Sécurité par code d'accès
Autres points de contrôle Autres points de contrôle
À faire ; à éviter À faire ; à éviter

Correctifs et mises à jour

Contrôle

Description

 

MBSA est exécuté à intervalles réguliers pour rechercher les mises à jour du système d'exploitation et des composants les plus récentes. Pour plus d'informations, consultez http://www.microsoft.com/technet/security/tools/mbsahome.mspx.

 

Les mises à jour et les correctifs les plus récents de Windows, d'IIS Server et de .NET Framework ont été appliqués. (Ils ont été testés sur les serveurs de développement avant d'être déployés sur les serveurs de production.)

 

Abonnez-vous au service de notification Microsoft Security Notification Service, sur le site http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/notify.asp.

IISLockdown

Contrôle

Description

 

IISLockdown a été exécuté sur le serveur.

 

URLScan est installé et configuré.

Services

Contrôle

Description

 

Les services Windows inutiles sont désactivés.

 

Les services s'exécutent à partir de comptes les moins privilégiés possible.

 

Les services FTP, SMTP et NNTP sont désactivés s'ils ne sont pas nécessaires.

 

Le service Telnet est désactivé.

 

Le service d'état ASP.NET est désactivé et n'est pas utilisé par vos applications.

Protocoles

Contrôle

Description

 

WebDAV est désactivé s'il n'est pas utilisé par l'application OU est sécurisé s'il doit être utilisé. Pour plus d'informations, reportez-vous à l'article 323470 de la base de connaissances « How To: Create a Secure WebDAV Publishing Directory ».

 

La pile TCP/IP est renforcée.

 

NetBIOS et SMB sont désactivé (fermeture des ports 137, 138, 139 et 445).

Comptes

Contrôle

Description

 

Les partages inutilisés sont supprimés du serveur.

 

Le compte Invité est désactivé.

 

Le compte administrateur est renommé et utilise un mot de passe fort.

 

Le compte IUSR_MACHINE est désactivé s'il n'est pas utilisé par l'application.

 

Si vos applications nécessitent un accès anonyme, un compte anonyme peu privilégié est créé.

 

Le compte anonyme n'a pas d'accès en écriture aux répertoires de contenu Web et ne peut pas exécuter d'outils de ligne de commande.

 

Le compte de processus ASP.NET est configuré avec le moins de privilèges possible. (Ceci s'applique uniquement si vous n'utilisez pas le compte ASPNET par défaut, qui est un compte peu privilégié.)

 

Les stratégies de compte et de mots de passe forts sont renforcées pour le serveur.

 

Les connexions distantes sont limitées. (Le droit utilisateur « Accéder à cet ordinateur depuis le réseau » est supprimé du groupe Tout le monde.)

 

Les comptes ne sont pas partagés entre administrateurs.

 

Les sessions NULL (connexions anonymes) sont désactivées.

 

La délégation d'un compte doit être approuvée.

 

Les utilisateurs et les administrateurs ne partagent pas les comptes.

 

Il n'existe pas plus de deux comptes dans le groupe Administrateurs.

 

Les administrateurs doivent se connecter localement OU la solution d'administration à distance est sécurisée.

Fichiers et répertoires

Contrôle

Description

 

Les fichiers et répertoires sont placés sur des volumes NTFS.

 

Le contenu du site Web est stocké sur un volume NTFS non système.

 

Les fichiers journaux sont stockés sur un volume NTFS non système et sur un volume distinct de celui sur lequel réside le site Web.

 

Le groupe Tout le monde est limité (pas d'accès aux répertoires \WINNT\system32 ou Web).

 

Le répertoire racine du site Web a une entrée de contrôle d'accès (ACE) interdisant l'écriture aux comptes Internet anonymes.

 

Les répertoires de contenu ont une entrée de contrôle d'accès (ACE) interdisant l'écriture aux comptes Internet anonymes.

 

L'application d'administration d'IIS à distance est supprimée ((\WINNT\System32\Inetsrv\IISAdmin).

 

Les outils, les utilitaires et les kits de développement (SDK) sont supprimés.

 

Les applications exemples sont supprimées (\WINNT\Help\IISHelp, \Inetpub\IISSamples).

Partages

Contrôle

Description

 

Tous les partages inutiles sont supprimés (y compris les partages d'administration par défaut).

 

L'accès aux partages requis est limité (le groupe Tout le monde n'y a pas accès).

 

Les partages administratifs (C$ et Admin$) sont supprimés s'ils ne sont pas requis (Microsoft Management Server (SMS) et Microsoft Operations Manager (MOM) requièrent ces partages).

Ports

Contrôle

Description

 

Les interfaces ouvertes sur Internet sont limitées au port 80 (et 443 si SSL est utilisé).

 

Le trafic intranet est crypté (avec SSL par exemple) ou limité si vous ne disposez pas d'une infrastructure de centre de données sécurisé.

Registre

Contrôle

Description

 

L'accès à distance au registre est limité.

 

SAM est sécurisé (HKLM\System\CurrentControlSet\Control\LSA\NoLMHash). Ceci ne s'applique qu'aux serveurs autonomes.

Audit et journalisation

Contrôle

Description

 

Les tentatives infructueuses de connexion sont analysées.

 

Les fichiers journaux IIS sont déplacés et sécurisés.

 

Les fichiers journaux sont configurés à la taille appropriée en fonction des exigences de sécurité de l'application.

 

Les fichiers journaux sont régulièrement archivés et analysés.

 

L'accès au fichier metabase.bin est analysé.

 

IIS est configuré pour l'audit du format de fichier journal étendu IIS W3C.

Sites et répertoires virtuels

Contrôle

Description

 

Les sites Web sont stockés sur une partition non système.

 

Le paramètre des chemins d'accès parents est désactivé.

 

Les répertoires virtuels présentant des dangers potentiels tels que IISSamples, IISAdmin, IISHelp et Scripts sont supprimés.

 

Le répertoire virtuel PSADC (RDS) est supprimé ou sécurisé.

 

Les répertoires Include n'ont pas d'autorisation de lecture sur le Web.

 

Sur les répertoires virtuels sur lesquels l'accès anonyme est autorisé, les autorisations Web Écrire et Exécuter du compte anonyme sont désactivées.

 

L'accès à la source du script n'est accordé que dans les dossiers prenant en charge la création de contenu.

 

L'accès en écriture n'est accordé que dans les dossiers qui prennent en charge la création de contenu et ces dossiers sont configurés pour l'authentification (et le cryptage SSL, si nécessaire).

 

Les extensions FrontPage Server (FPSE) sont supprimées si elles ne sont pas utilisées. Dans le cas contraire, elles sont mises à jour et l'accès aux FPSE est limité.

Mappages de scripts

Contrôle

Description

 

Les extensions non utilisées par l'application sont mappées vers le fichier 404.dll (.idq, .htw, .ida, .shtml, .shtm, .stm, idc, .htr, .printer).

 

Les extensions de type de fichier ASP.NET inutiles sont mappées vers « HttpForbiddenHandler » dans Machine.config.

Filtres ISAPI

Contrôle

Description

 

Les filtres ISAPI inutiles ou inutilisés sont supprimés du serveur.

Métabase IIS

Contrôle

Description

 

L'accès à la métabase est limité à l'aide des autorisations NTFS (%systemroot%\system32\inetsrv\metabase.bin).

 

Les informations sur la bannière IIS sont restreintes (l'adresse IP est désactivée dans les informations de localisation de contenu).

Certificats de serveur

Contrôle

Description

 

Les plages de dates des certificats sont valides.

 

Les certificats sont utilisés pour l'usage initialement prévu (ainsi, le certificat de serveur n'est pas utilisé pour la messagerie).

 

La clé publique du certificat est validée auprès d'une autorité de certification racine de confiance.

 

Le certificat n'a pas été révoqué.

Machine.config

Contrôle

Description

 

Les ressources protégées sont mappées vers HttpForbiddenHandler.

 

Les modules HttpModules inutilisés sont supprimés.

 

Le traçage est désactivé <trace enable="false"/>

 

Les compilations de débogage sont désactivées. <compilation debug="false" explicit="true" defaultLanguage="vb">

Sécurité par code d'accès

Contrôle

Description

 

La sécurité d'accès au code est activée sur le serveur.

 

Toutes les autorisations ont été supprimées de la zone intranet locale.

 

Toutes les autorisations ont été supprimées de la zone Internet.

Autres points de contrôle

Contrôle

Description

 

L'outil IISLockdown a été exécuté sur le serveur.

 

Les requêtes HTTP sont filtrées. URLScan est installé et configuré.

 

L'administration distante du serveur est sécurisée et configurée pour le cryptage, pour des délais d'attente de session courts et le verrouillage des comptes.

À faire ; à éviter

  • Utiliser une machine dédiée comme serveur Web.

  • Protéger physiquement la machine du serveur Web dans une salle machine sécurisée.

  • Configurer un compte utilisateur anonyme pour chaque application si vous hébergez plusieurs applications Web.

  • Ne pas installer le serveur IIS sur un contrôleur de domaine.

  • Ne pas connecter un serveur IIS sur Internet tant qu'il n'a pas été complètement sécurisé.

  • Ne permettre à personne, à l'exception de l'administrateur, de se connecter localement au serveur.

Microsoft réalise une enquête en ligne pour recueillir votre opinion sur le site Web de MSDN. Si vous choisissez d’y participer, cette enquête en ligne vous sera présentée lorsque vous quitterez le site Web de MSDN.

Si vous souhaitez y participer,
Afficher:
© 2015 Microsoft