Internet Information Services


1.0 Installation

·         Cliquez sur Démarrer, Paramètres, Panneau de configuration, Ajout/Suppression de programme

·         Sélectionnez Tous les composants IIS :

o        Common files + Documentation

o        FTP : Fichier pour créer un serveur FTP

o        Frontpage 2000 server extension : obliger de l'installer

o        IIS snap-in : console de gestion local

o        Internet server manager : contrôle via interface Web

o        NNTP : serveur de News

o        SMTP: Serveur de mail

o        Web server : serveur Web

·         Le site Web par défaut est situé dans le répertoire Inetpub qui comporte plusieurs répertoires qui correspondent aux services installés, avec notamment le service Web et le service FTP.

·         Pour sauvegarder la configuration IIS 5.0 stockée en mémoire (>< IIS 6.0 ou c'est un fichier XML) suivez la procédure ci-dessous :

o        Cliquez sur Démarrer, Programmes, outils Administratif, Internet Services Manager

o        Cliquez droit sur le serveur et choisissez Backup/restore configuration

·         Il est possible d'installer un utilitaire IIS lockdown qui verrouille l'ensemble des trous de sécurité (Disponible ici)

 

2.0   Gestion de l'interface FTP

 

·         Cliquez sur Démarrer, Programmes, outils Administratif, Internet Services Manager

·         Cliquez droit sur le serveur et choisissez Propriétés

·         Dans Internet Information Services, Master Properties choisissez FTP puis Edit

o        Onglet FTP sites :

§         Configuration du  Nombre de connexion

§         Configuration du Timeout : temps avant que les utilisateurs

§         Gestion des log : Cochez Activez logging

·         Microsoft IIS log file format : nom codé sur Année, mois, jour

·         ODBC logging : intégré dans une BD SQL

·         W3C Extended Log File Format : choisir le format des log nous même (modification disponible en cliquant sur EDIT)

o        Onglet Security accounts :

§          L'authentification anonyme permet aux utilisateurs d'accéder aux zones publiques de votre site Web sans avoir à fournir un nom d'utilisateur ou un mot de passe. IIS fournit à Windows des informations d'authentification stockées en utilisant un compte d'utilisateur spécial, IUSR_nomordinateur.

§         Par défaut, IIS contrôle le mot de passe de ce compte.

o        Onglet Messages : Permet de configurer un message d'accueil  

o        Onglet Home directory : configurer l’accès au site (Unix ou DOS)

o        Onglet Directory security : configure les adresses IP qui ne peuvent accéder au site

o        Onglet service : Configurer IIS 3.0 administration

·         Cliquez droit sur Défaut site FTP et choisissez Propriétés Les onglet sont les mêmes que ci-dessus sauf Home directory qui permet de définir si la homedir est local ou pas + accès  

 

3.0   Gestion de l'interface Web

 

·         Cliquez sur Démarrer, Programmes, outils Administratif, Internet Services Manager

·         Cliquez droit sur le serveur et choisissez Propriétés

·         Dans Internet Information Services, Master Properties choisissez WWW puis Edit

o        Onglet Performance :

§         Permet de tuner les performances par rapport aux nombres d'accès 

§         Permet de limiter la bande passante

§         Permet de limiter l'utilisation du CPU de 10% avec des piques autoriser sauf si l’option Forcer la limite est cochée

o        Onglet ISAPI filters : ATTENTION : Trou de sécurité

§         = module autorisant des fonctionnalités supplémentaires

o        Onglet Home directory : définition de l’emplacement de la racine du site Web

o        Onglet Document : Permet de définir la page par défaut

o        Onglet Directory Security :

§         Méthode d’authentification

o        Accès anonyme

o        Accès authentifier : demander un login, mot de passe d’un utilisateurs créés via l’AD. Il existe 3 méthodes d’authentification :

§         Authentification basic: L'authentification de base est prise en charge par la plupart des serveurs Web d'Internet. Quand un serveur utilise cette méthode, le navigateur Web (ou le client FrontPage) demande à l'utilisateur un nom d'utilisateur et un mot de passe, informations qui sont transmises en clair via HTTP et permettent à IIS d'authentifier l'utilisateur Windows NT correspondant.

§         Authentification Digest : mécanisme de stimulation/réponse qui envoie un résumé (appelé digest ou hash) au lieu d'un mot de passe à travers le réseau.

§         Authentification intégrée Windows : le mécanisme de stimulation/réponse est basé sur Kerberos

§         IP address restriction : permet de restreindre l'accès à certaine IP

§         Serveur de certificat : qui permet d'identifier un user

o        Onglet Http header : Lors de chaque échange par le protocole http entre votre navigateur et le serveur, des donnés contenant des informations non affichées sont transmises

§         Expiration du contenu du site Web

§         Ajout du propre header du http

§         Content ratings : permet aux utilisateurs de savoir le type de contenu du site

o        Onglet Custom Errors : Permet de modifier les pages d'erreur

o        Onglet Service :

§         IIS 3.0 administration : dire quel site Web est afficher

§         HTTP compression : compression du site mais attention au dilemme usage bande passante/processeur

·         Cliquez droit sur Défaut site WeB et choisissez Propriétés. Les onglets sont les mêmes que ci-dessus sauf l’onglet Home directory :

o        Définir ou se trouve le site en local

o        Définir les droits

o        Définir nom de l'application par défaut

o        Execute permission : exécution de script et de fichier exécutable (pas conseillé)

o        Application protection : définit le nombre de process à faire tourner

§         Low : 1 seul process pour tous les sites

§         Medium : 1 process par sites

§         High: 1 process par requête

o        Si on clique sur configuration, on peut configurer les paramètres de l’application

§          AppOption :

§         Activer L’état de session : temps par défaut qu'une session soit vivant

§         Enable Buffering et Enable parent paths : trou de sécurité car il rend la main à l'utilisateur si crash

§         Process option : laisse par défaut

§         AppDebugg :

§         Décochez debugging flags car cela permet d'afficher le script utilisé et d’accéder à des informations sensibles

§         Cochez Envoyer message d’erreur

 

4.0   Création de site Web

 

·         Cliquez droit sur le DC et choisissez New Web site et suivre Wizard

·         Stopper les autres sites

·         Démarrer son site

·         Cochez la permission Parcours du répertoire dans Home directory

·         Vérifiez en tapant 127.0.0.1 dans un browser Internet

 

5.0   Certificat

 

·         Le cryptage des pages Web par SSL s’appuie sur les certificats. Ces derniers permettent d'identifier avec certitude une entité par l'intermédiaire de différentes informations qu'ils intègrent. Ils contiennent les clés assurant le cryptage et décryptage des données. Le certificat peut être délivré de deux manières, soit par une société spécialisée en la matière (VeriSign, Thawte par exemple), soit par une autorité de certification directement installée sur le réseau. C'est le rôle du service de certificat de Windows 2000.

·         Procédure de mise en place d'un certificat sans serveur de certificat sur la machine :

o        Cliquez sur Démarrer, Programmes, outils Administratif, Internet Services Manager

o        Cliquez droit sur le site, choisissez Propriétés, onglet Directory Security

o        Cliquez sur le bouton Serveur certificate :

o        Création d'une requête de certificat avec les options suivantes :

§         Prepare the request, but send it later

§         donner un nom au certificat, une taille de clé (512 OK)

§         Organisation et unité

§         nom du site

§         situation géographique

§         sauver la requête

o        Aller sur le site de Thawte ou VeriSign et compléter le formulaire pour obtenir un root certificate

o        Décompressez le fichier .zip et double cliquez sur Thawte test roots\Thawte test root.cer à création d'un fichier

o        Retourner sur le site faire Next cocher Server Gated crypto (ALL server et Microsoft)

o        Copier - coller de la requête générée

o        Cliquer sur Next et sauver le certificat

o        Cliquez sur Démarrer, Programmes, outils Administratif, Internet Services Manager

o        Cliquez droit sur le site, choisissez Propriétés, onglet Directory Security

o        Cliquez sur le bouton Serveur certificate et sélectionnez Process the pending request

o        Cliquez sur OK

o        Dans le site rajouter le port 443 pour SSL

 

6.0   Bonnes pratiques

 

·         Ne pas installez IIS sur un contrôleur de domaine

·         Ne pas connecter un serveur IIS avant que tous les patchs de sécurité soient installés

·         Protégez le serveur Web dans un local sécurisé

·         N'autorisez personne à ouvrir une session en locale sur la machine excepté l'administrateur

·         N'autorisez pas les administrations à distance

·         Déplacez le répertoire qui contient le site Web

·         Déplacez les fichiers journaux

·         Désactivation de l'emplacement de contenu  dans les réponses http (Enable Buffering et Enable parent paths)

·         Désactivation des messages d'erreurs ASP

·         Suppression des extensions serveur FrontPage 2000

·         Suppression des serveurs virtuels supplémentaires