Sécurisation serveur web - Win NT/2K/XP - Windows & Software
Marsh Posté le 10-03-2005 à 15:26:56
Bon, j'ai avancé !
En fait, faut utiliser une mmc vierge et rajouter le composant enfichable : "Configuration et analyse de la securité".
On peut alors comparer les différents modèles à la config actuelle... On peut aussi et surtout créer une nouvelle "base de données" et importer un fichier .inf - comme on peut le faire dans AD - en local. Le plus dur c'était quand même de trouver le fichier qui allait bien, parce que s'amuser à configurer des centaines de paramètres de sécurité sans savoir trop vraiment à quoi chacun correspond ...
J'ai donc fini par mettre la main sur la description du modèle de sécurité qui me convenait en lisant le chapitre "Hardening Bastion Hosts" du Microsoft Security Guide pour W2k3.
Ils fournissent en plus les fichiers .inf adéquats qu'il suffit d'importer ! Fallait juste comprendre qu'un serveur Web faisait partie des serveurs bastion !
Faut maintenant essayer d'installer et de configurer IIS avec les stratégies en vigueur ...
J'ai vu aussi que pour cette étape, il y avait IIS LockDown et Urlscan qui permettaient de faire des trucs pas mal !
Je repost quand tout est fini.
Marsh Posté le 10-03-2005 à 16:15:05
Sous Windows 2003, pas de IIS LockDown, il est déjà intégré !!!!
Marsh Posté le 11-03-2005 à 11:59:39
Exact, encore faut-il configurer les filtres ISAPI ! Et peut-être d'autres choses encore !
Marsh Posté le 11-03-2005 à 12:03:55
Si tu en as de nouveau (php etc..) mais sinon la sécurisation est déjà assez intéressante.
Tu peux ajouter des Pools d'application afin de séparer les process w3p qui géront tes sites Web.
Ainsi il y aura un process par Pool.
Mais + de RAM par conséquent
Marsh Posté le 09-03-2005 à 15:35:43
Bonjour,
Je cherche à sécuriser un serveur web, pus particulièrement à durcir l'OS Windows Server 2003 Web Edition.
Je ne parle pas de services packs (et encore moins de release candidate ), ni de patchs. Je parle de sécurisation au niveau des services qui tournent, de l'ouverture des ports inutile, des restrictions d'accès pour certains comptes utilisateurs et/ou de services ... de stratégie de sécurité koi !
La petite difficulté évidemment est que le serveur en question ne sera pas intégré au domaine active directory de la boîte dans laquelle on veut le mettre en place. Il sera mis dans une DMZ un peu "à part".
Je suppose que je vais devoir passer par une GPO locale, mais je ne trouve pas grand-chose sur le site de microsoft décrivant la chose.
Y a-t-il un tutoriel sur le sujet ou un guide caché ? Je voudrais en fait trouver des "recommandations" à suivre de bout en bout pour l'application de la stratégie de sécurité.
Merci de m'indiquer toute piste en tout cas !
Bonne journée à tous
Olivier