S ÉCURISER IIS 8.5 Commerce électronique. P LAN Recommandation sur la sécurité d’un serveur Web (Best practices) Configuration d’un serveur IIS 8.5 sur.

Slides:



Advertisements
Présentations similaires
Sécurité informatique
Advertisements

Installer un serveur FTP
Botnet, défense en profondeur
Modélisation des menaces
Sécurité Informatique
Commerce électronique
MODEX WEB BAPTISTE DESPREZ Un peu de sécurité. Avant dentrer dans le vif du sujet JavaScript Langage de script (comme PHP) Exécuté par votre navigateur.
Analyse des protocoles de la couche application
Module 6 : Gestion de données à l'aide du système de fichiers NTFS
Gestion de données à l'aide du système de fichiers NTFS
Module 6 : Gestion de données à l'aide du système de fichiers NTFS
GESTION DE PARCS D’ORDINATEURS
WINDOWS Les Versions Serveurs
Développement dapplications web Authentification, session.
Présentation 1. Consumer/Soho Small BusinessMidsize Business CorporateEnterprise Windows Home Server 1-4 employés 1-4 PCs 1-4 employés 1-4 PCs 5-49 employés.
Module 8 : Maintenance des logiciels à l'aide des services SUS
MODEX WEB BAPTISTE DESPREZ Un peu de sécurité. Avant dentrer dans le vif du sujet JavaScript Langage de script (comme PHP) Exécuté par votre navigateur.
Module 1 : Installation de Microsoft Windows XP Professionnel
Yonel Grusson 1 SQL SERVER 2000 CLIENT/SERVEUR. Yonel Grusson 2 PLAN Présentation Installation Résultat de l'installation L'administration –Par le SQL.
Windows 2003 Server Modification du mode de domaine
Installation et Configuration Internet Information Server (IIS 6)
AFPA CRETEIL 14-1 Windows NT Environnement des utilisateurs Chapitre 14.
Création et gestion de comptes d'utilisateur
Module : Pages Web Dynamiques (Production Électronique Avancée)
Centralisation des sites web d’ELTA & Mise en place d’un serveur NAS
Module 1 : Vue d'ensemble de Microsoft SQL Server
Citrix ® Presentation Server 4.0 : Administration Module 9 : Déploiement d'applications.
V- Identification des ordinateurs sur le réseau
2000 Server I.I.S. & SSL.
LE SERVEUR PROXY Un serveur proxy (traduction française de «proxy server», appelé aussi «serveur mandataire») est à l'origine une machine faisant fonction.
F a c u l t é P o l y t e c h n i q u e d e M o n s Séminaire « Gestion et Sécurité de Systèmes » Alexandre Amorison, février 2002.
9 février 2010 Enrique Ruiz Mateos Architecte avant-vente Microsoft
Espace collaboratif du CODEV Blog, WIKI, Forum: c’est quoi?  Blog - Publication périodique et régulière d’articles La vocation d’un Blog est d'être un.
JI Les systèmes d’autorisation et d’authentification dans AMI Fabian Lambert.
COMPTE RENDU DU PPE 3 Cyrille Matungulu 1. S OMMAIRE Présentation de la demande du client MFC Choix techniques pour le projet Securisa Etapes du Montage.
Installation du PGI – CEGID
Question de gestion 13 : Le document peut-il être vecteur de coopération ? Le document : - Dématérialisation des documents - Partage, mutualisation, sécurisation.
Création d’un site WEB 1 – Un site WEB c’est quoi ? 2 – Questions à se poser avant la construction d’un site WEB 3 – Principes de fonctionnement d’un site.
Cours de Mme Dominique Meganck - ICC - IFC MICROSOFT ACCESS Un système de gestion de bases de données...
Mediator 9 - Un outil de développement multimédia 3AC Techno/Informatique.
Chapitre10 Prise en charge des utilisateurs distants Module S41.
Développement d’application avec base de données Semaine 3 : Modifications avec Entité Framework Automne 2015.
V- Identification des ordinateurs sur le réseau??? ? ? ? ?
1 Les bases de données Séance 7 Les fonctions avancées : Opérateurs ensemblistes, Sous-requêtes et transactions.
Chapitre 4 Gestion des disques Module S41. Plan du cours 1. Utilisation de l'outil Gestion des disques 2. Utilisation des disques de base 3. Utilisation.
Un outil de communication : la liste de diffusion Mis à jour en juillet 2008 Anne Maincent-Bourdalé CRDoc IUT Paul Sabatier.
Chapitre 6 Gestion et analyse du système DNS Module S43 1.
Professeur: Halima HOUSNY Chapitre1 Installation de Microsoft Windows XP Professionnel Module S41.
Module S42 Chapitre 1  Présentation de l'administration des comptes et des ressources.
Projet Personnel (Epreuve 6) Projet réalisé dans le cadre de mon épreuve E6 au sein de mon alternance au conseil départemental du val de marne Arnaud PICANO.
Migration Plan adressage EPLE Migration Plan d'adressage EPLE.
Chapitre 7 Résolution de noms NetBIOS à l'aide du service WINS Module S43 1.
CATALOGUE DES FORMATIONS Windows Serveur 2015 Formateur : KAMAL Laiss.
Présentation du fonctionnement des « Dossiers partagés » dans la version de la Rentrée Scolaire 2012 Alexis OLLIER 11 juin 2012.
A.I.P. Saint Michel 2011 A.I.P. Saint Michel 2011 Inside ASCOM v6 Nicolas CUVILLIER
INFSO-RI Enabling Grids for E-sciencE Sécurité sur la Grille C. Loomis (LAL-Orsay) Tutorial EGEE Utilisateur (LAL) 8 octobre 2007.
Formation Ouverte et A Distance Bureau des expertises techniques, des projets d'infrastructures et de la sécurité des systèmes d'information Parcours de.
Déploiement de la solution de supervision FAN au sein de société CBI et de ses filiales au Maroc et en Afrique.
Violation de Gestion d'Authentification et de Session
Introduction Depuis le début des sites web les urls sont utilisé pour la navigation. Avec l’arrivée des bases de données, les urls ont prit de l’importance.
(fait son épicerie les jeudi). Cross site Scripting est l'attaque web la plus commune.
PRESENTATION DES INITIATIONS 2015 / Nous sommes une équipe de bénévoles enthousiastes, ayant le souci de répondre aux attentes de nos adhérents.
Chapitre 9 Gestion des maîtres d'opérations
Les applications O.Legrand G. Seront. Les applications Chaque application a son Linux.
VISHNOO – Téléactions SPOT Romain RAYMOND - SDNO 06/10/2011.
FACTORY systemes Module 9 Section 1 Page 9-3 La sécurité d’une application FORMATION INTOUCH 7.0.
INFSO-RI Enabling Grids for E-sciencE Adaptation de GRIDSITE à WEBDAV Cédric Duprilot CNRS/IN2P3/LAL.
Colloque LCG France14-15 mars SURVEILLANCE ET GESTION D’INCIDENTS Cécile Barbier (LAPP)
Chapitre 5 Administration des accès aux objets dans les unités d'organisation Module S42.
Transcription de la présentation:

S ÉCURISER IIS 8.5 Commerce électronique

P LAN Recommandation sur la sécurité d’un serveur Web (Best practices) Configuration d’un serveur IIS 8.5 sur Windows Server 2012 Utilitaires Publier votre solution vers le serveur IIS

R ECOMMANDATION SUR LA SÉCURITÉ D ’ UN SERVEUR (W EB ) Trop c’est comme pas assez! Pour éviter les problèmes, on désactive ce dont ont a pas besoin et on utilise nos propres éléments.

R ECOMMANDATIONS : I NSTALLATION ET CONFIGURATION Si possible, utiliser un serveur seulement pour IIS. Installer un serveur SQL sur un serveur séparé. Conserver votre antivirus et votre serveur à jour Utiliser une partition différente et des noms de répertoires différents pour stocker votre site Internet Le par défaut c’est pour les communs

R ECOMMANDATIONS Instaurer des comptes administrateurs avec des mots de passe forts. Fermer tous les services non utilisés comme FTP, SMTP et autres qui présentent des portes d’entrées accessibles. « Tant qu’un service ou composant n’est pas explicitement utilisé, il ne doit pas être présent sur le système ».

R ECOMMANDATIONS : I SOLER VOTRE SERVEUR Afin d’isoler les différentes sites Web et services Web, il est possible de créer des pools d’applications. Chaque pool d’applications possèdera un (ou au moins un) processus dit de travail, qui traitera les requêtes à destination des sites du pool d’applications. L’exécution dans des processus indépendants assure, en cas de défaillance d’un processus d’un pool, la continuité des services fournis par les autres pools. Permettre l’accès au pool d’application avec un utilisateur pour ce pool. Bien définir les droits d’accès sur les répertoires…et la racine.

R ECOMMANDATIONS De même, supprimer le compte anonyme et en recréer un avec un nom particulier, limiter ses droits suivant l’usage et par répertoires (Lecture, Exécution, Ecriture, Affichage du contenu du dossier, etc …). Supprimer les pages d’exemple, les documentations inhérentes à chaque service installé et les répertoires virtuels pointant vers ces fichiers. Il faudra de même « banaliser » les pages de messages d’erreurs (HTTP erreur 401, etc …) afin de donner le moins d’informations possibles aux visiteurs. Désactiver les messages de debug de.Net

R ECOMMANDATIONS Utiliser, quand c’est nécessaire, le cryptage SSL. SSL (443) ne protège que le contenu des données et n’empêche pas les intrusions. Veiller à reconfigurer les serveurs pour que les répertoires temporaires, qui servent par exemple à la décompression de fichiers, ne soient pas sur les partitions systèmes. Supprimer les filtres ISAPI et les Mapping superflus et non utilisées.

R ECOMMANDATION SUR LA SÉCURITÉ D ’ UN SERVEUR (W EB ) Créer des répertoires spécifiques pour chaque usage de fichiers ex : Répertoire Images, un Répertoire pages dynamiques, un Répertoire pages statiques, etc... N’autoriser les permissions de ces répertoires qu’en fonction de l’utilisation des fichiers. On pourrait aussi retirer toutes les commandes exécutables comme telnet.exe etc … des partitions systèmes ce qui reste, malgré tout, assez lourd à gérer. Il sera plus judicieux de désactiver l’appel au Shell de commande avec la base de registre : \HKLM\CurrentControlSet\Services\W3SVC\Para meters\SSIEnableCmdDirective à zéro ou de désactiver toutes les extensions ISAPI faisant référence aux fichiers.EXE. dans le cadre d’un serveur Microsoft.

C ONFIGURATION D ’ UN SERVEUR IIS Allons nous amuser! à vos VM près partez!

U TILITAIRE MBSA ( mbsa.aspx) mbsa.aspx Microsoft Baseline Security Analyzer, ou MBSA, est un outil Microsoft destiné à analyser les failles de sécurité de votre serveur.

U TILITAIRE UrlScan ( us/security/cc aspx) UrlScan est un utilitaire de filtre Isapi inclus dans IISlockdown qui analyse les données entrantes du serveur. UrlScan analyse toutes les données entrantes par rapport à un fichier de configuration UrlScan.ini.

P OUR ALLER PLUS LOIN … 1. General Ne pas connecter le serveur à l’internet tant qu’il n’est pas complètement sécurisé. Placer le serveur dans un endroit sécuritaire Utiliser un serveur distinct pour le serveur IIS Ne pas installer d’imprimante Installer les services packs, les patches et les hot fixes. Exécuter IISLockdown sur le serveur. Installer and configurer URLScan. Securiser l’accès d’administration à distance avec l’encryption et des time-outs de session. Désactiver les services non-utilisés. Vérifier que les service utilisé sont exécutés avec un minimum de privilège. Désactiver les services FTP, SMTP s’ils ne sont pas requis. Désactiver le service Telnet. Ne pas installer MS Index Server ou MS FrontPage Server extensions à moins que ce soit resquis. Désactiver le NetBIOS and SMB (fermer les ports 137, 138, 139 and 445).

P OUR ALLER PLUS LOIN … 2. Accounts a. Supprimer les comptes qui ne sont pas utilisés b. Suprimer l’account Invité c. Renommer le compte de l’administrateur et lui donner un mot de passe fort. d. Désactiver le compte IUSR_MACHINE application. e. Créer un compte personnalisé pour l’accès anonyme à l’application. Ne pas donner d’accès d’écriture au compte anonyme. Bloquer l’accès à l’exécution de ligne de commande. Créer un utilisateur anonyme pour chacun des sites Web. Utiliser une politique de mot de passe fort. Enlever l’accès à distance pour le groupe “Everyone” Ne pas créer plus de deux utilisateurs dans le groupe administrateur

P OUR ALLER PLUS LOIN … 3. Files and Directories Utiliser une partition NTFS différente du système d’exploitation pour les répertoires du serveur Web Désactiver le Site Web par défaut et créer un nouveau site. Mettre les fichiers de logue sur une partition NTFS différente du système d’exploitation Restreindre l’accès du groupe “Everyone” (pas d’accès à \WINNT\system32 ou les répertoires Web). Enlever l’application d’administration à distance de IIS (\WINNT\System32\Inetsrv\IISAdmin). Enlever les application d’exemples (\WINNT\Help\IISHelp, \Inetpub\IISSamples).

P OUR ALLER PLUS LOIN … 4. Shares a. Remove all unnecessary shares (including default administration shares). b. Restrict access to required shares (the Everyone group does not have access). c. Remove Administrative shares (C$ and Admin$) if they are not required (Microsoft Management Server (SMS) and Microsoft Operations Manager (MOM) require these shares). d. Ports i. Restrict Internet-facing interfaces to port 80 (and 443 if SSL is used). ii. Encrypt Intranet traffic (for example, with SSL), or restrict Internet traffic iii. if you do not have a secure data center infrastructure. 5. Registry a. Restrict remote registry access. b. Secure SAM (HKLM\System\CurrentControlSet\Control\LSA\NoLMHash). This applies only to standalone servers. c. Auditing and Logging i. Audit failed logon attempts. ii. Relocate and secure IIS log files. iii. Configure log files with an appropriate file size depending on the application security requirement. iv. Regularly archive and analyze log files. v. Audit access to the Metabase.bin file. vi. Configure IIS for W3C Extended log file format auditing. vii. Read How to use SQL Server to analyze Web logs at support.microsoft.com

P OUR ALLER PLUS LOIN … 6. Sites et répertoire Virtual Directories Mettre le site Internet sur une partition NTFS différent du système d’exploitation. Supprimer les répertoires non-nécessaire (IISSamples, IISAdmin, IISHelp,Scripts, etc.). Ne pas permettre l’accès en lecture aux sous-répertoire si ce n’est pas nécesaire Ne pas permettre l’accès en écriture et exécution pour les comptes anonymes. S’assurer que le code source des scripts sont dans un répertoire protégé. S’assurer que l’accès en écriture est accessible aux clients authentifié et appliquer une connection encrypté SSL si nécessaire Supprimer les extension FrontPage si elles ne sont pas utilisées

P OUR ALLER PLUS LOIN … 7. Script Mappings Map extensions not used by the application to 404.dll (.idq,.htw,.ida,.shtml,.shtm,.stm, idc,.htr,.printer). b. Map unnecessary ASP.NET file type extensions to “HttpForbiddenHandler” in Machine.config. 8. ISAPI Filters Enlever les filtres ISAPI non nécessaires. 9. Server Certificates S’assurer que les certificat sont à jour. Seulement utiliser des certificats pour leur utilisations prévues

P UBLIER VOTRE SOLUTION Voir l’exemple