La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

S ÉCURISER IIS Commerce électronique. P LAN Recommandation sur la sécurité dun serveur (Web) Configuration dun serveur IIS 7.0 Utilitaires.

Présentations similaires


Présentation au sujet: "S ÉCURISER IIS Commerce électronique. P LAN Recommandation sur la sécurité dun serveur (Web) Configuration dun serveur IIS 7.0 Utilitaires."— Transcription de la présentation:

1 S ÉCURISER IIS Commerce électronique

2 P LAN Recommandation sur la sécurité dun serveur (Web) Configuration dun serveur IIS 7.0 Utilitaires

3 R ECOMMANDATION SUR LA SÉCURITÉ D UN SERVEUR (W EB ) Trop cest comme pas assez! Pour éviter les problèmes, on désactive ce dont ont a pas besoin et on utilise nos propres éléments.

4 R ECOMMANDATION SUR LA SÉCURITÉ D UN SERVEUR (W EB ) La première règle à respecter est disoler le serveur. Ajouter des règles ne laissant ouverts que les ports 80 et 443, suivant lusage, en entrée sur ladresse du serveur et naccordant uniquement les réponses établis «ESTABLISHED » à ces demandes en sortie, empêchant ainsi le serveur de communiquer avec lextérieur.

5 P OOL D APPLICATIONS Afin disoler les différentes sites Web et services Web, il est possible de créer des pools dapplications. Chaque pool dapplications possèdera un (ou au moins un) processus dit de travail, qui traitera les requêtes à destination des sites du pool dapplications. Lexécution dans des processus indépendants assure, en cas de défaillance dun processus dun pool, la continuité des services fournis par les autres pools. Permettre laccès au pool dapplication avec un utilisateur pour ce pool.

6 R ECOMMANDATION SUR LA SÉCURITÉ D UN SERVEUR (W EB ) Les serveurs doivent aussi appliquer des correctifs de sécurité (Hotfix) par des téléchargements de mises à jour automatisées.

7 R ÈGLES DE SÉCURITÉ D UN SERVEUR (W EB ) Instaurer des comptes administrateurs avec des mots de passe forts. Fermer tous les services non utilisés comme FTP, SMTP et autres qui présentent des portes dentrées accessibles. « Tant quun service ou composant nest pas explicitement utilisé, il ne doit pas être présent sur le système ».

8 R ECOMMANDATION SUR LA SÉCURITÉ D UN SERVEUR (W EB ) Eviter les extensions FrontPage, dans le cas dIIS, qui présentent des failles connues. Supprimer le « Site Web par défaut » et en créer un avec un nom bien spécifique. De même, supprimer le compte anonyme et en recréer un avec un nom particulier, limiter ses droits suivant lusage et par répertoires (Lecture, Exécution, Ecriture, Affichage du contenu du dossier, etc …). Supprimer les pages dexemple, les documentations inhérentes à chaque service installé et les répertoires virtuels pointant vers ces fichiers. Il faudra de même « banaliser » les pages de messages derreurs (HTTP erreur 401, etc …) afin de donner le moins dinformations possibles aux visiteurs.

9 R ECOMMANDATION SUR LA SÉCURITÉ D UN SERVEUR (W EB ) Utiliser, quand cest nécessaire, le cryptage SSL. SSL (443) ne protège que le contenu des données et nempêche pas les intrusions. Veiller à reconfigurer les serveurs pour que les répertoires temporaires, qui servent par exemple à la décompression de fichiers, ne soient pas sur les partitions systèmes. Supprimer les filtres ISAPI et les Mapping superflus et non utilisées. Appliquer les correctifs de mise à jour de façon automatisée pour éviter loubli.

10 R ECOMMANDATION SUR LA SÉCURITÉ D UN SERVEUR (W EB ) Créer des répertoires spécifiques pour chaque usage de fichiers ex : Répertoire Images, un Répertoire pages dynamiques, un Répertoire pages statiques, etc... Nautoriser les permissions de ces répertoires quen fonction de lutilisation des fichiers. On pourrait aussi retirer toutes les commandes exécutables comme telnet.exe etc … des partitions systèmes ce qui reste, malgré tout, assez lourd à gérer. Il sera plus judicieux de désactiver lappel au Shell de commande avec la base de registre : \HKLM\CurrentControlSet\Services\W3SVC\Para meters\SSIEnableCmdDirective à zéro ou de désactiver toutes les extensions ISAPI faisant référence aux fichiers.EXE. dans le cadre dun serveur Microsoft.

11 C ONFIGURATION D UN SERVEUR IIS Allons nous amuser!

12 P OUR ALLER PLUS LOIN … 1. General Ne pas connecter le serveur à linternet tant quil nest pas complètement sécurisé. Placer le serveur dans un endroit sécuritaire Utiliser un serveur distinct pour le serveur IIS Ne pas installer dimprimante Installer les services packs, les patches et les hot fixes. Exécuter IISLockdown sur le serveur. Installer and configurer URLScan. Securiser laccès dadministration à distance avec lencryption et des time-outs de session. Désactiver les services non-utilisés. Vérifier que les service utilisé sont exécutés avec un minimum de privilège. Désactiver les services FTP, SMTP sils ne sont pas requis. Désactiver le service Telnet. Ne pas installer MS Index Server ou MS FrontPage Server extensions à moins que ce soit resquis. Désactiver le NetBIOS and SMB (fermer les ports 137, 138, 139 and 445).

13 P OUR ALLER PLUS LOIN … 2. Accounts a. Supprimer les comptes qui ne sont pas utilisés b. Suprimer laccount Invité c. Renommer le compte de ladministrateur et lui donner un mot de passe fort. d. Désactiver le compte IUSR_MACHINE application. e. Créer un compte personnalisé pour laccès anonyme à lapplication. Ne pas donner daccès décriture au compte anonyme. Bloquer laccès à lexécution de ligne de commande. Créer un utilisateur anonyme pour chacun des sites Web. Utiliser une politique de mot de passe fort. Enlever laccès à distance pour le groupe Everyone Ne pas créer plus de deux utilisateurs dans le groupe administrateur

14 P OUR ALLER PLUS LOIN … 3. Files and Directories Utiliser une partition NTFS différente du système dexploitation pour les répertoires du serveur Web Désactiver le Site Web par défaut et créer un nouveau site. Mettre les fichiers de logue sur une partition NTFS différente du système dexploitation Restreindre laccès du groupe Everyone (pas daccès à \WINNT\system32 ou les répertoires Web). Enlever lapplication dadministration à distance de IIS (\WINNT\System32\Inetsrv\IISAdmin). Enlever les application dexemples (\WINNT\Help\IISHelp, \Inetpub\IISSamples).

15 U TILITAIRE MBSA (http://www.microsoft.com/france/securite/outils/ mbsa.aspx)http://www.microsoft.com/france/securite/outils/ mbsa.aspx Microsoft Baseline Security Analyzer, ou MBSA, est un outil Microsoft destiné à analyser les failles de sécurité de votre serveur.

16 U TILITAIRE IISlockdown (http://www.microsoft.com/france/t echnet/securite/secmod113.mspx)http://www.microsoft.com/france/t echnet/securite/secmod113.mspx The IIS Lockdown Tool functions by turning off unnecessary features. This reduces the attack surface available to an attacker.

17 U TILITAIRE UrlScan ( us/security/cc aspx) UrlScan est un utilitaire de filtre Isapi inclus dans IISlockdown qui analyse les données entrantes du serveur. UrlScan analyse toutes les données entrantes par rapport à un fichier de configuration UrlScan.ini.

18 P OUR ALLER PLUS LOIN … 4. Shares a. Remove all unnecessary shares (including default administration shares). b. Restrict access to required shares (the Everyone group does not have access). c. Remove Administrative shares (C$ and Admin$) if they are not required (Microsoft Management Server (SMS) and Microsoft Operations Manager (MOM) require these shares). d. Ports i. Restrict Internet-facing interfaces to port 80 (and 443 if SSL is used). ii. Encrypt Intranet traffic (for example, with SSL), or restrict Internet traffic iii. if you do not have a secure data center infrastructure. 5. Registry a. Restrict remote registry access. b. Secure SAM (HKLM\System\CurrentControlSet\Control\LSA\NoLMHash). This applies only to standalone servers. c. Auditing and Logging i. Audit failed logon attempts. ii. Relocate and secure IIS log files. iii. Configure log files with an appropriate file size depending on the application security requirement. iv. Regularly archive and analyze log files. v. Audit access to the Metabase.bin file. vi. Configure IIS for W3C Extended log file format auditing. vii. Read How to use SQL Server to analyze Web logs at support.microsoft.com

19 P OUR ALLER PLUS LOIN … 6. Sites and Virtual Directories Mettre le site Internet sur une partition NTFS différent du système dexploitation. Supprimer les répertoires non-nécessaire (IISSamples, IISAdmin, IISHelp,Scripts, etc.). Ne pas permettre laccès en lecture aux sous-répertoire si ce nest pas nécesaire Ne pas permettre laccès en écriture et exécution pour les comptes anonymes. Sassurer que le code source des scripts sont dans un répertoire protégé. Sassurer que laccès en écriture est accessible aux clients authentifié et appliquer une connection encrypté SSL si nécessaire Supprimer les extension FrontPage si elles ne sont pas utilisées

20 P OUR ALLER PLUS LOIN … 7. Script Mappings Map extensions not used by the application to 404.dll (.idq,.htw,.ida,.shtml,.shtm,.stm, idc,.htr,.printer). b. Map unnecessary ASP.NET file type extensions to HttpForbiddenHandler in Machine.config. 8. ISAPI Filters Enlever les filtres ISAPI non nécessaires. 9. Server Certificates Sassurer que les certificat sont à jour. Seulement utiliser des certificats pour leur utilisations prévues


Télécharger ppt "S ÉCURISER IIS Commerce électronique. P LAN Recommandation sur la sécurité dun serveur (Web) Configuration dun serveur IIS 7.0 Utilitaires."

Présentations similaires


Annonces Google