Sécurité des Serveurs Windows 2012/2008. Partie I. Les objectifs. Système d exploitation. Le Système d'exploitation

Transcription

1 Sécurité des Serveurs Windows 2012/2008 Systèmes d exploitation Windows IIS8 Serveur Web Serveur FTP WebDAV Windows SharePoint Service PHP avec IIS 8.0 ASP.NET Les objectifs Cette présentation a pour objectif de démontrer la faisabilité d une sécurisation des services serveur à partir du kit d'installation de Windows 2012 Server. Nous nous basons uniquement sur des techniques d'administrations et du bon sens approuvés dans la pratique et largement appliquer par les administrateurs de ce niveau des systèmes. Nous évitons l'utilisation de logiciels hors Microsoft dans le cadre de ce cours pour assurer un environnement propre lié à la sécurité des accès à un service serveur basé Microsoft. Ivan Madjarov, IUT-R&T, Partie I Le Système d'exploitation Système d exploitation Un système d'exploitation est composé : d'un noyau ; de bibliothèques ; d'un ensemble d'outils système ; de programmes applicatifs de base. 3 4

2 Système d exploitation noyau Gestion de l'exécution des processus: Gestion de la mémoire pour chaque processus; Ordonnancement des processus (répartition du temps d'exécution des processeurs); Synchronisation et communication entre processus. Gestion du temps Partage de la ressource entre processus. Gestion du systèmes de fichiers; Gestion des protocoles réseau (TCP/IP, IPX, etc.); Gestion des périphériques par des pilotes (drivers). Système d exploitation noyau Architecture d'un noyau monolithique (Kernel) 5 6 Systèmes d exploitation Windows Windows 2012 Server Windows Live Cycle and Versions Windows Server 2012 est conçu pour aider les administrateurs système à rationaliser leurs infrastructures. La nouvelle démarche "IO Model" consiste à : réduire les coûts liés à l administration des systèmes; augmenter le niveau de sécurité; augmenter le niveau de service; rendre l infrastructure plus agile. 7 8

3 Windows 2012 Server WS 2012 innove sur plusieurs axes : Console Server Manager pour installer, configurer et administrer les serveurs locaux et distants Option d installation Server Core qui diminue la surface exposée aux risques informatiques Hyper V 3.0, "hyperviseur" est une architecture qui héberge des machines virtuelles multiprocesseurs (64bit) Internet Information Server 8.0 (IIS 8) avec fonctions ASP, ASP.NET et PHP, plus sécurisé et mieux administré. Windows SharePoint Services 3.0 (WSS 3.0) permet de créer des sites Web spécialisés pour le partage d informations, de documents ou toutes autres démarches collaboratives. Partie II Internet Information Server 8.0 (IIS 8.0) 9 10 IIS 8.0 Les objectifs à atteindre IIS 8.0 Architecture Installer les différentes versions d'iis selon les plateformes cibles. Mettre en ligne des sites Web statiques et dynamiques. Implémenter les mécanismes de sécurité sur les sites Web. Optimise les fonctionnement d'iis pour l'utilisation de Scripting : ASP, PHP, ASP.NET, JSP, CGI Superviser le fonctionnement d'iis. Sauvegarder et restaurer des serveurs IIS. Les composants logiciels Windows 2012 Server se présentent sous deux formes: Le rôle est un service: d'annuaire, de résolution de noms, d'hébergement Web, de partage de fichiers, de gestion d'imprimantes; La fonctionnalité offre une option évoluée à un rôle installé. IIS 8.0 est installé sous la forme d'un rôle auquel on peut ajouter des options: Méthodes d'identification Langages dynamiques Outils d'administration 11 12

4 IIS 8.0 Architecture Sous IIS 8.0, l ensemble des fonctionnalités est découpé en modules qui s intègrent dans une procédure de traitement appelée pipeline. Il y a la possibilité de chargement ou déchargement des modules fonctionnels selon la demande. Les avantages de cette architecture sont multiples: Allègement du serveur qui bénéficie ainsi de meilleures performances. Une personnalisation plus poussée selon les besoins. Une plus grande facilitée à sécuriser le serveur par la réduction des profils de vulnérabilité. Une maintenance plus facile car seules les mises à jours des modules activés sont téléchargés et installés. IIS 8.0 Architecture Architecture interne de l IIS 8.0 et son implémentation dans le système d exploitation "Windows 2012 Server" IIS 8.0 Les modules IIS 8.0 Les modules Développement applicatif Infrastructure de développement et d'hébergement des applications pour créer des contenus ou pour étendre la fonctionnalité des services Intégrité et diagnostics Infrastructure pour analyser, gérer et dépanner les serveurs et les applications Web Sécurité infrastructure pour sécuriser le Serveur Web face aux utilisateurs et aux requêtes (demandes) Performances infrastructure pour mettre en cache le flux de sortie Outils de gestion Infrastructure pour gérer un Serveur Web : interface utilisateur (graphique), outils en ligne de commande scripts IIS (XML). Service de publication FTP Intègre le serveur FTP et la console de gestion FTP. Service WebDAV (HTTP 1.1) Service ASP.NET 15 16

5 IIS 8.0 La configuration La configuration depuis l'iis 7.0 et pour l'iis 8.0 repose sur une hiérarchie de fichiers XML : applicationhost.config : Un fichier qui contient la configuration globale côté serveur. web.config : Un fichier qui contient la configuration d un site Web défini. L'administration du serveur est améliorée: AppCmd.exe : outil de ligne de commande InetMgr.exe : Interface graphique très complète qui permet de gérer entièrement le serveur. Les outils d administration sont accessibles à distance via une connexion HTTPS/SSL. IIS 8.0 Le schéma fonctionnel IIS 8.0 est un serveur sécurisé, fiable et évolutive WAS gère la configuration du pool d'applications Worker process exécute les applications Web IIS protocol adapter reçoit les messages HTTP et les communique au WAS WMSvc permet la gestion à distance d'un serveur Web Installation de W2012 Serveur Installation de W2012 Serveur Règle générale: Installez le système d exploitation Windows 2012 Serveur sans aucun service additionnel; Installer ensuite les patches et les mises à jour du système Windows 2012 Serveur; Arrêtez tous les services qui ne vous servent pas. Désinstallez tous les protocoles réseaux à l'exception du TCP/IP. Windows Server 2012 Standard (Windows 8 Server) L'installation contient tous les rôles et fonctionnalités Le système couvre deux processeurs physiques et gère jusqu'à 640 cœurs et 4 To de mémoire. Il y a une limitation du nombre de licences concernant la virtualisation: deux machines virtuelles. Il n'y a pas de limite pour le nombre des machines virtuelles avec la version Datacenter de Windows 2012 Server

6 Installation de W2012 Serveur Server Core (version minime) : A l'installation de Windows Server 2012, on peut procéder à une installation Server Core qui comprend une installation de serveur minimale de l'ensemble Windows Server Avec ce type d'installation, l'interface Windows traditionnelle n'est pas installée et la configuration se fait à partir de l'invite de commande. Le rôle de serveur Web est disponible mais certains modules tels que le.net Framework et le code managé ne le sont pas. La version "Hyper V3.0" est la plus complète Installation de W8 Serveur (1) Configuration minimum: Processeur: 1.4GHz 64 bit RAM: 512Mo HDD: 32Go Sélectionner la langue par défaut: Installation de W8 Serveur (2) Installation de W8 Serveur (3) Cliquez sur "Install now" Entrez le numéro de série Acceptez les termes de la licence et cliquez sur "Next" Sélectionnez Windows Server 2012 Server with a GUI et cliquez sur "Next" 23 24

7 Installation de W8 Serveur (4) Sélectionnez le disque et la partition sur lesquels installer le système (minimum 32 Go) puis cliquez sur "Next" Installation de W8 Serveur (5) On peut suivre le déroulement de l'installation Sélectionnez le type d installation Définir le mot de passe de l'administrateur Installation de W8 Serveur (6) Installation de W8 Serveur (7) L'installation terminée, on peut ouvrir une session avec Ctrl+Alt+Del Pour installer un rôle: Gérer >Ajouter des rôles et fonctionnalités Identification pour une session Administrateur Le Server Manager du W8 Server: On défini les rôles et les fonctionnalités; activer ou désactiver On peut définir le nom et le domaine éventuel du serveur. Définissez ensuite l adresse (ou les adresses) IP de votre serveur 27 28

8 Installation de IIS 8.0 Gérer >Ajouter des rôles et fonctionnalités Installation de IIS 8.0 Gérer >Ajouter des rôles et fonctionnalités Installation de IIS 8.0 Sélectionner le serveur qui va abriter le rôle et les fonctionnalités Installation de IIS 8.0 Rôle de serveurs > Serveur Web (IIS) 31 32

9 Installation de IIS 8.0 Installation de IIS Installation de IIS 8.0 Démarrage de IIS 8.0 Le serveur Web répond en local à l URL:

10 Installation de IIS 8.0 par cmdlets Installation et suppression des rôles et des fonctionnalités à l'aide des cmdlets de PowerShell Get WindowsFeature : liste l'ensemble des rôles et fonctionnalités de Windows Server Installation de IIS 8.0 par cmdlets On peut obtenir la liste des composants installés dans le PowerShell par la commande : (on importe en premier le ServerManager) >Import Module ServerManager >Get WindowsFeature Select Object Name, InstallState Select String Pattern "Installed" Installation de IIS 8.0 par cmdlets On peut ajouter par la ligne de commande du PowerShell des rôles, des services et des fonctionnalités : ps> Import Module ServerManager ps> Add WindowsFeature Web Server, Web WebServer, Web Common Http, Web Static Content, Web Default Doc, Web Http Errors, Web Dir Browsing, Web Health, Web Http Logging, Web Performance, Web Stat Compression, Web Security, Web Filtering, Web Mgmt Tools, Web Mgmt Console Installation de IIS 8.0 par cmdlets On peut supprimer de la liste à l'aide de cmdlets PowerShell des packages déjà installés : ps> Import Module ServerManager ps> Remove WindowsFeature Web Server Restart Le commutateur Restart permet de redémarrer automatiquement le serveur à l'issue de l'opération cmdlets : scripts exécuté sur la ligne de commande PowerShell

11 Installation de IIS 8.0 avec dism Dans le contexte où il n'est pas possible d'utiliser PowerShell, l'installation des composants IIS peut s'appuyer sur l'outil dism.exe. L'utilisation de cet outil se base sur des commutateurs pour afficher, par exemple, la liste des rôles, services et fonctionnalités: dism /online / get features Pour lancer l'installation du rôles IIS : dism /online /enable feature /all /featurename:iis WebServer Ensuite, pour installer un service pour ce rôle : dism /online /enable feature /all /featurename:iis ASPNET Installation automatisée de IIS (1) Certain organisme installe un nombre conséquent de IIS serveurs en diverses localisations ou filères. Windows 2008/2012 Serveur propose Windows Deployment Services (WDS) pour un déploiement automatisé des technologies serveur. IIS 7.0 ou IIS 8.0 peut être entièrement installé à partir de la ligne de commande à l aide de l outil : start /w pkgmgr.exe /iu:update1;update2 Un minimum du rôle serveur Web: start /w pkgmgr /iu:iis WebServerRole; WAS WindowsActivationService;WAS ProcessModel; WAS NetFxEnvironment;WAS ConfigurationAPI Installation automatisée de IIS (2) Une installation complète demande le script : start /w pkgmgr /iu:iis WebServerRole;IIS WebServer;IIS CommonHttpFeatures;IIS StaticContent;IIS DefaultDocument;IIS DirectoryBrowsing;IIS HttpErrors;IIS HttpRedirect;IIS ApplicationDevelopment; IIS ASPNET;IIS NetFxExtensibility;IIS ASP;IIS CGI;IIS ISAPIExtensions;IIS ISAPIFilter;IIS ServerSideIncludes;IIS HealthAndDiagnostics;IIS HttpLogging;IIS LoggingLibraries;IIS RequestMonitor;IIS HttpTracing;IIS CustomLogging;IIS ODBCLogging;IIS Security;IIS BasicAuthentication;IIS WindowsAuthentication;IIS DigestAuthentication; IIS ClientCertificateMappingAuthentication; IIS IISCertificateMappingAuthentication;IIS URLAuthorization;IIS RequestFiltering;IIS IPSecurity;IIS Performance;IIS HttpCompressionStatic;IIS HttpCompressionDynamic;IIS WebServerManagementTools;IIS ManagementConsole;IIS ManagementScriptingTools;IIS ManagementService;IIS IIS6ManagementCompatibility;IIS Metabase;IIS WMICompatibility;IIS LegacyScripts;IIS LegacySnapIn;IIS FTPPublishingService;IIS FTPServer;IIS FTPManagement;WAS WindowsActivationService;WAS ProcessModel;WAS NetFxEnvironment;WAS ConfigurationAPI Installation automatisée de IIS (3) Une interface XML est également proposée : start /w pkgmgr /n:{unattend XML} Le fichier XML contient le script de l installation minime: <?xml version= 1.0?> <unattend xmlns= urn:schemas microsoft com:unattend xmlns:wcm= <servicing><package action= configure > <assembly Identity name= Microsoft Windows Foundation Package version= language= neutral processorarchitecture= x86 publickeytoken= 31bf3856ad364e35 versionscope= nonsxs /> <selection name= IIS WebServerRole state= true /> <selection name= WAS WindowsActivationService state= true /> <selection name= WAS ProcessModel state= true /> <selection name= WAS NetFxEnvironment state= true /> <selection name= WAS ConfigurationAPI state= true /> </package> 43 44

12 Configuration de l'iis 8.0 Configuration de l'iis 8.0 Pour configurer IIS 8.0 il faut lancer le "Gestionnaire des services Internet" 1. Gestionnaire de serveur 2. Rôles 3. Serveur Web 4. Gestionnaire des services 5. Sites 6. Site par défaut Configuration de l'iis 8.0 Configuration de IIS 8.0 inetmgr.exe : Outil d administration accessible et à distance par protocole sécurisé (HTTP et HTTPS) Approche générale de sécurité : Fermer la connexion Internet à l installation des services IIS; Télécharger la dernière version des Service Pack et les Patchs pour IIS; Activer Automatic Update pour le système d exploitation; Désactiver l accès Internet pour le site Web par défaut (default Web site) : Pour faire ça, il suffi d associé le site par défaut à l adresse L accès au site par défaut reste disponible uniquement par le navigateur de la machine locale

13 Création d'un site Web Configurer le nouveau site Web Nom d accès au site par un navigateur Adresse absolue sur unité physique différente du SE. C'est règle de sécurité simple et efficace Clique droit de la souris sur "Sites" et choisir "Ajouter un site Web" Accessibilité: protocole et port, ainsi que le nom de la machine hébergeur Accéder au nouveau site Web <html> <head> <title>site MMG</title> </head> <body> <h1 align="center">mon site Web MMG</h1> </body> </html> Ajouter un répertoire virtuel Sécurité accrue par le détachement des URLs des chemins d accès physiques du site. Clique droit de la souris sur le nom du site (MonSiteWeb) pour ouvrir le menu déroulant et "Ajouter un répertoire virtuel" Enregistré sous index.htm dans le répertoire d:\siteweb\ 51 52

14 Gérer un répertoire virtuel Si on souhaite autoriser l'affichage du contenu d'un répertoire accessible par le site Web et le protocole HTTP : Gérer un répertoire virtuel Ouvrir la fonctionnalité "Exploration de répertoire" et "Activer" ou "Désactiver" la fonctionnalité : Ajouter un répertoire virtuel L alias du répertoire virtuel est substitué par son accès absolu à travers le URL sur le serveur en affichant la page associée. Manager IIS 8.0 avec AppCmd.exe AppCmd.exe est un outil de ligne de commande pour configurer et interroger des objets sur le serveur Web. Le résultat retourné est sous forme de texte ou XML. Les tâches à effectuer sont : Créer et configurer des sites, applications, pools d'applications et répertoires virtuels. Démarrer et arrêter des sites Web. Démarrer, arrêter et recycler des pools d'applications. Afficher des informations sur les processus actifs et les requêtes en cours sur le serveur Web

15 Start Stop List Add Delete set Manager IIS 8.0 avec AppCmd.exe Démarrer AppCmd.exe avec droit d administrateur : Accéder au répertoire Activer l outil Manager IIS 8.0 avec AppCmd.exe Syntaxe de la commande APPCMD: APPCMD (command) (objet type) <identifier></parameter:value1 > Chaque objet type possède ses propres commandes: Manager IIS 8.0 avec AppCmd.exe Manager IIS 8.0 avec AppCmd.exe Pour chaque commande d un objet type on peut obtenir ses propres commandes: Démarrer ou arrêter un site Web dont on ne connait pas apriori le nom. appcmd list sites : affiche la liste des sites installés sur le serveur. appcmd stop sites "Default Web Site" : arête le site nommé "Default Web Site"

16 Manager IIS 8.0 avec AppCmd.exe Ajouter un nouveau site au serveur Web : appcmd add site /name: string /id: int /physicalpath: string /bindings: string /name : nom du site /id : identificateur du site /physicalpath : chemin d accès absolu au site /bindings : protocol/ip_address:port:host_header Manager IIS 8.0 avec AppCmd.exe Ajouter un nouveau site au serveur Web avec un accès virtuel pour tout le monde par le nom du site sur le port 80 vers un chemin d accès absolu: > APPCMD add site /name:monsitetest /id:3 /bindings:http/*:81: /physicalpath:c:\ivmad\siteweb\monsitetest Manager IIS avec AppCmd.exe L outil AppCmd peut générer des sorties XML: >AppCmd List Sites /XML Manager IIS 8.0 avec AppCmd.exe config des sites dans le fichier applicationhost.config 63 64

17 Manager IIS 8.0 avec AppCmd.exe Faire une sauvegarde de la configuration : Pour créer une nouvelle sauvegarde de la configuration nommée par exemple "Backup_1", taper la commande : appcmd add backup "Backup_1«Manager IIS 8.0 avec AppCmd.exe Pour lister les sauvegardes existantes : appcmd list backup La sauvegarde est créé dans le dossier "inetsrv/backup" : Pour restaurer la sauvegarde nommée "Backup_1" : appcmd restore backup "Backup_1" IIS 8.0 Journalisation (logs) IIS 8.0 la journalisation (log) La journalisation sous IIS8 permet de mettre en place un suivi des activités sur le serveur. Chaque requête envoyée au serveur est alors enregistrée dans un fichier log dans un format choisi. La journalisation est séparée pour les accès HTTP et FTP sur le serveur. Le contenu de la journalisation est paramétrable: Client IP adresse; User name; Date; Time; Service; Server name; Server IP adresse; Time taken; Client bytes sent; Server bytes sent; Service status code; Windows status code; Request type; Target; Parameters

18 IIS 8.0 la journalisation (log) IIS 8.0 la journalisation (log) Un requête correcte Confirmez par le bouton "Appliquer" #Software: Microsoft Internet Information Services 8.0 #Version: 1.0 #Date: :32:37 #Fields: date time s ip cs method cs uri stem cs uri query s port cs username c ip cs(user Agent) cs(referer) sc status sc substatus sc win32 status time taken :32: HEAD / :34: HEAD / Une recherche de vulnérabilité #Software: Microsoft Internet Information Services 8.0 #Version: 1.0 #Date: :52:00 #Fields: date time s ip cs method cs uri stem cs uri query s port cs username c ip cs(user Agent) cs(referer) sc status sc substatus sc win32 status time taken :52: GET /phptest/zologize/axa.php :52: GET /phpmyadmin/scripts/setup.php :52: GET /pma/scripts/setup.php :52: GET /myadmin/scripts/setup.php IIS 8.0 un accès sécurisé (HTTPS) Pour mettre en place la sécurité sur un site il faut lui ajouter un accès en HTTPS (HyperText Transfer Protocol Secured port 443 par défaut) en utilisant des certificats. installer une autorité de certification générer des certificats pour utiliser le protocole HTTPS via SSL (Secure Socket Layer) Un certificat permet de garantir que l'émetteur est bien celui qu'il prétend être. On peut aussi restreindre l'accès à certains utilisateurs. IIS 8.0 un accès sécurisé (HTTPS) Pour installer une autorité de certification, il faut ajouter un rôle à partir du "Server Manager"

19 IIS 8.0 un accès sécurisé (HTTPS) L'assistant lance le Services de rôle et il faut choisir : IIS 8.0 un accès sécurisé (HTTPS) IIS 8.0 un accès sécurisé (HTTPS) IIS 8.0 un accès sécurisé (HTTPS) 75 76

20 IIS 8.0 un accès sécurisé (HTTPS) IIS 8.0 un accès sécurisé (HTTPS) IIS 8.0 un accès sécurisé (HTTPS) IIS 8.0 un accès sécurisé (HTTPS) 79 80

21 IIS 8.0 un accès sécurisé (HTTPS) IIS 8.0 un accès sécurisé (HTTPS) IIS 8.0 un accès sécurisé (HTTPS) IIS 8.0 un accès sécurisé (HTTPS) 83 84

22 IIS 8.0 un accès sécurisé (HTTPS) IIS 8.0 un accès sécurisé (HTTPS) IIS 8.0 un accès sécurisé (HTTPS) IIS 8.0 un accès sécurisé (HTTPS) 87 88

23 IIS 8.0 un accès sécurisé (HTTPS) IIS 8.0 un accès sécurisé (HTTPS) Le certificat dans le fichier CertWebRequest.txt Indiquer le nom de fichier pour la demande de certificat Configuration de HTTPS via SSL Le pas suivant est de générer un certificat auto signé pour utiliser SSL. Pour cela, il faut aller dans l'assistant d'iis7/iis8 et ouvrir "Certificats de serveur". Configuration de HTTPS via SSL On sélectionne dans le menu de droite "Créer un certificat auto signé"

24 Configuration de HTTPS via SSL Nommer le certificat et on valide : Configuration de HTTPS via SSL Le certificat apparait désormais dans la liste des certificats d'iis. On va maintenant pouvoir associer HTTPS à notre site Web. Pour cela, clic droit sur notre site puis "Edit Binding". Une fenêtre apparait nous spécifiant que ce site est déjà associé au protocole HTTP. Cliquez sur "Ajouter" pour lui associer HTTPS. Il est désormais possible de choisir un certificat pour utiliser le protocole SSL pour crypter le transfert des données entre l'utilisateur et le serveur Configuration de HTTPS via SSL Ainsi, le résultat est visible à l écran suivant. Il reste à confirmer les informations choisies. Configuration de HTTPS via SSL Pour configurer le protocole SSL sur le site Web il faut choisir dans l'assistant d'iis7.0 "SSL Settings". Modifier les paramètres SSL dans la fenêtre : 95 96

25 Test sur les clients (HTTPS via SSL) Lorsque l'on accède à l'adresse le navigateur nous demande si on souhaite faire confiance au certificat du site émetteur. Test sur les clients (HTTPS via SSL) Si on continue, on arrive sur le site mais l'adresse est surlignée en rouge : Test sur les clients (HTTPS via SSL) Le code minimal pour une page Web, enregistrée dans un fichier HTML nommé index.htm <html> <head> <title>site MMG</title> </head> <body> <h1 align="center">mon site Web MMG</h1> </body> </html> Internet Information Services 8.0 "PowerShell" avec 50 nouvelles cmdlets "Database Manager" pour "SQL Server management" intégré dans "IIS Manager" "Configuration Editor" qui à travers un GUI génère des scripts pour l'automatisation de certains tâches "Web Deployment Tool" pour le déploiement ou la migration de sites Web, applications ou serveurs "WebDav" intégré nativement "URLScan" filtre nativement les requetés HTTP "FTP server services" avec ".NET XML based *.config" ".NET Framework" intégré dans "Server Core"

26 Sécurité des Serveurs Windows 2012 Serveur FTP 8.0 WebDAV 8.0 PHP avec IIS 8.0 Windows SharePoint Service Les objectifs Cette présentation a pour objectif de démontrer qu'on peut arriver à sécuriser les services serveur disponibles à partir du kit d'installation de Windows 2008 Serveur. Nous nous basons uniquement sur des techniques d'administrations et du bon sens approuvés dans la pratique et largement appliquer par les administrateurs de ce niveau de systèmes. Nous évitons l'utilisation de logiciels hors Microsoft dans le cadre de ce cours pour assurer un environnement propre lié à la sécurité des accès à un service serveur basé Microsoft. Ivan Madjarov, IUT-R&T, 2014 IvMad, FTP Installation Partie IV Serveur FTP (File Transfert Protocol) Un serveur FTP sert à partager des fichiers entre utilisateurs. Installation du serveur FTP pour IIS 8.0 Gestionnaire de serveur Gérer > Ajouter des rôles et fonctionnalités La page "Avant de commencer" on click "Suivant" La page "Type d'installation" on choisi "Installation basée sur un rôle ou une fonctionnalité" La page "Sélection du serveur" et on click "Suivant" Ivan Madjarov, IUT R&T, 2014 IvMad,

27 FTP Installation FTP Installation IvMad, IvMad, FTP Installation FTP Installation IvMad, IvMad,

28 FTP Installation FTP Configuration Il faut créer un dossier pour le partage du service FTP avec un seul accès administrateur. On peut aussi se servir de la ligne de commande pour aller plus vite : mkdir "c:\inetpub\ftproot\noroute.monftp.eu" cacls "c:\inetpub\ftproot\noroute.monftp.eu" /G Administrateur:F /T /E Pour modifier les attributs d'accès d'un utilisateur ou dossier on peut se servir de la ligne de commande avec "calcs" ou "icalcs". cacls "c:\inetpub\ftproot\noroute.monftp.eu" /G username:f /T /E IvMad, IvMad, FTP Configuration FTP Création d'un certificat Dans le "Gestionnaire des services Internet" on sélectionne les "Certificats de serveur". IvMad, IvMad,

29 FTP Création d'un certificat Pour créer un "Certificat auto signé". FTP Configuration L'espace FTP On crée un répertoire "pub" dans le chemin d'accès : "C:\inetpub\ftproot\pub" L'espace FTP de dépôt de fichiers se crée à partir de l'outils d Administration de l'iis. D'un clique droit de la souris sur le "Sites" on peut ajouter un ou plusieurs sites FTP : IvMad, IvMad, FTP Configuration L assistant de création d'un site FTP demande des informations sur le nom du site et son accès physique. FTP Configuration Il faut configurer l accès au site FTP puis définir les paramètres SSL en choisissant un certificat : IvMad, IvMad,

30 FTP Configuration Possibilités de choix d'authentification "anonyme" accès publique "de base" accès restreint aux comptes "Active Directory" FTP Configuration Après le bouton "Terminer" on obtient dans l'espace administrateur de IIS7 : IvMad, IvMad, FTP client et test Pour effectuer le test on a besoin d'un client FTP (FileZilla, par exemple) qui faut le configurer pour une connexion TLS/SSL avec le serveur FTP et le site. FTP client et test A la connexion réussie il faut accepter le certificat : IvMad, IvMad,

31 FTP client et test Le contenu du répertoire est listé à présent : FTP Création automatique Dans certains cas l'installation automatique du serveur FTP et la création aussi automatique de sites FTP peut s'avérer indispensable. Installation automatique : cmd /c "pkgmgr /iu:iis FTPSvc;IIS FTPExtensibility" Création automatique d'un site FTP par un script : L'accès au site est contrôlé par "Authentification de base"; Les droits "read" et "write" sont attribués au dossier "ftproot"; Le site bloque l'accès "anonymous"; La connexion SSL n'est pas demandée, ainsi les clients se connectent sur un canal non crypté. Suite IvMad, IvMad, FTP Création automatique cd %windir%\system32\inetsrv REM ftproot is the location of the ftp data directory set ftproot=%systemdrive%\inetpub\ftproot REM ftpsite is the name of the ftp site set ftpsite="ftp site" if not exist %ftproot% (mkdir "%ftproot%") cacls "%ftproot%" /G IUSR:W /T /E appcmd add site /name:%ftpsite% /bindings:ftp://*:21 /physicalpath:"%ftproot%" appcmd set config section:system.applicationhost/sites [name='%ftpsite%'].ftpserver.security.ssl.controlchannelpolicy:"sslallow" appcmd set config section:system.applicationhost/sites /[name='%ftpsite%'].ftpserver.security.ssl.datachannelpolicy:"sslallow" appcmd set config section:system.applicationhost/sites /[name='%ftpsite%']. ftpserver.security.authentication.basicauthentication.enabled:true appcmd set config %ftpsite% /section:system.ftpserver/security/authorization /+[accesstype='allow',permissions='read,write',roles='',users='*'] /commit:apphost IvMad, 2014 FTP Virtualisation Sécuriser d'avantage le site FTP en ajoutant des répertoires virtuels aux points sensibles : 23 IvMad,

32 FTP Virtualisation Le répertoire virtuels est assigné par un alias qui est confondu sur le serveur au moment de la connexion avec l'accès physique sur une partition: FTP Virtualisation La présence du répertoire virtuel est signalé dans la fenêtre du Gestionnaire des services Internet : IvMad, IvMad, FTP Client et test L'accès client ajuste le dossier distant par défaut : FTP Client et test Accès au dossier résolu : IvMad, IvMad,

33 FTP la journalisation (logs) Ouvrez le Gestionnaire des services Internet. Dans le volet Connexions, sélectionnez le niveau serveur ou site. Dans Affichage des fonctionnalités, double cliquez sur l'icône Journalisation FTP. Dans le menu Un fichier journal par, sélectionnez Site ou Serveur. Dans Fichier journal, cliquez sur Sélectionner des champs W3C et sélectionnez les informations à journaliser. Dans Répertoire, tapez le chemin du dossier de base dans lequel vous voulez stocker les fichiers journaux FTP ou cliquez sur le bouton Parcourir pour naviguer jusqu'au dossier de base. FTP la journalisation (logs) Dans Encodage, sélectionnez UTF8 ou ANSI. Dans Substitution de fichier journal, sélectionnez la façon dont FTP crée les fichiers journaux dans la liste suivante : Planification : sélectionnez Toutes les heures, Tous les jours, Toutes les semaines ou Tous les mois pour créer les fichiers journaux à des intervalles fixes. Taille de fichier maximale (en octets) : entrez un entier positif pour créer de nouveaux fichiers journaux lorsque la taille de fichier dépasse le nombre d'octets indiqué. Cochez la case Utiliser l'heure locale pour la désignation et la substitution du fichier pour spécifier que l'heure locale et non l'heure universelle coordonnée (UTC) est utilisée pour la désignation et la substitution du fichier journal. IvMad, IvMad, Partage WebDAV Partie V Serveur WebDAV 8 (partage de fichiers via le Web) WebDAV (Web based Distributed Authoring and Versioning) est une extension du protocole HTTP/1.1 WebDAV utilise le port 80. Facilite la publication des pages sur un site Web (IE 5.x 8x, MS Office de XP à 2013). Développement en collaboration entre plusieurs auteurs. Peut remplacer le protocole FTP, car plus sécurisé et plus fonctionnel. Peut jouer le rôle de serveur de fichiers. Ivan Madjarov, IUT R&T, IvMad,

34 Partage WebDAV Partage WebDAV Pour installer et activer le WebDAV dans Microsoft Windows 2012 Server, procédez comme suit : Dans Assistant "Ajout de rôles et de fonctionnalités", cliquez sur "Installation basée sur un rôle ou une fonctionnalité", puis sur "Suivant". Sélectionnez votre serveur et cliquez sur "Suivant". Développez Serveur Web (IIS) > Serveur Web > Fonctionnalités HTTP communes, puis sélectionnez Publication WebDAV. Cliquez sur Suivant > Suivant, puis sur Installer. IvMad, IvMad, Partage WebDAV Partage WebDAV IvMad, IvMad,

35 Partage WebDAV Partage WebDAV Installation Sous Connexions, développez votre serveur Web, puis Sites et sélectionnez votre site Web. Cliquez deux fois sur Règles de création WebDAV. Cliquez sur Activer WebDAV. Cliquez sur Paramètres WebDAV. Si l'accès anonyme est activé, sélectionnez True pour Autoriser les requêtes de propriété anonymes et cliquez sur Appliquer. Sélectionnez le répertoire ou le répertoire virtuel auquel vous souhaitez autoriser l'accès à WebDAV. Cliquez deux fois sur Règles de création WebDAV. IvMad, IvMad, Partage WebDAV Installation Cliquez sur Ajouter une règle de création et ajoutez les règles appropriées pour votre environnement. Cliquez avec le bouton droit de la souris sur le répertoire ou le répertoire virtuel dans lequel vous avez ajouté des règles de création et cliquez sur Modifier les autorisations. Cliquez sur Sécurité et ajoutez les droits d'accès appropriés. Par exemple, si vous autorisez l'accès anonyme à votre serveur Web, ajoutez des droits d'accès pour l'utilisateur à accès anonyme. Vous pouvez trouver cet utilisateur en sélectionnant le site Web, en cliquant deux fois sur Authentification et en affichant les propriétés pour les utilisateurs affichés. Partage WebDAV Installation On voit apparaître un nouvel icône dans l assistant de IIS7 et IIS8 : IvMad, IvMad,

36 WebDAV 8 Configuration Pour activer WebDAV, cliquez sur "Règles de création WebDAV" : WebDAV 8 Configuration Dans le gestionnaire des services Internet "Activer WebDAV" ou "Désactiver WebDAV": IvMad, IvMad, WebDAV 8 Configuration WebDAV est maintenant activée. Il faut configurer les autorisations pour accéder au partage des fichiers. Pour cela, cliquez dans le menu de droite sur "Ajouter une règle de création". La fenêtre suivante permet de configurer une règle WebDAV. Le premier onglet permet de définir les fichiers accessibles via WebDAV. Le second onglet permet de définir les utilisateurs pouvant accéder au WebDAV. Le dernier onglet permet de définir les permissions des utilisateurs. IvMad, WebDAV 8 Configuration Les droits sont attribués à l utilisateur "IvMad" ou à "Tous les utilisateurs" et ils peuvent accéder à tous les types de fichiers présents sur le serveur : IvMad,

37 WebDAV 8 Configuration Les données sont désormais présentes sur la console de IIS WebDAV 8 Configuration WebDAV utilise le mode d authentification "Authentification Windows" : utilise le login et mot de passe de connexion Windows) "Authentification de base" : Authentification via une popup couplé avec SSL. La configuration du mode d authentification est accessible par l assistant d IIS7 et dans "Authentification" IvMad, IvMad, WebDAV 8 Configuration Il suffit d activer le module souhaité par une sélection : "Activer" ou "Désactiver". WebDAV 8 Test Pour faire le test il nous faut un client. On peut utiliser un Windows 7 qui se connecte au serveur via l utilisateur "Administrateur". Pour accélérer la connexion on peut définir par la commande : net use Lecteur: URL ainsi, on crée un lecteur réseau qui pointe vers le répertoire configuré WebDAV. Ainsi, on n autorise que les utilisateurs authentifiés et non les utilisateurs anonymes IvMad, IvMad,

38 WebDAV 8 Test Le gestionnaire de fichiers sous Windows 7 contient désormais un lecteur réseau sur Z: Partie IV Windows SharePoint Services IvMad, Ivan Madjarov, IUT R&T, 2010 Windows SharePoint Services Windows SharePoint Services WSS est natif pour W2008SRV. WSS est un moteur de "groupware" offrant des fonctionnalités de portail Web et d'intranet Au travers d'un site WSS on peut gérer un planning, ou gérer les différentes versions d'un document. Les services SharePoint sont utilisés par les applications de portail Web Microsoft Office SharePoint Portal Server Microsoft Office Project Server. WSS est lié à une BD référentiel de toutes les données : BD de configuration les données de contenu. IvMad, 2014 Les sites WSS reposent sur la technologie ASP.NET et doivent être hébergés via le serveur Web de IIS. Le stockage des informations est confié à une BD Microsoft SQL Server. L'authentification peut être basé soit sur: un annuaire Active Directory, un annuaire LDAP, une authentification dite "Forms" basée sur des providers ASP.NET L'interface utilisateur exploite des fonctionnalités spécifiques à Internet Explorer (ActiveX, Javascript et HTML). 51 IvMad,

39 Windows SharePoint Services 20 modèles d'application d'administrateur de serveur de WSS 3.0 sont disponibles à téléchargement Les modèles compris dans ce téléchargement sont les suivants: Gestion des demandes de congé et de la planification des absences Budgétisation et suivi de plusieurs projets Centre d'appels Gestion des demandes de modification Gestion des contacts Révision et bibliothèque de documents Planification d'événements Windows SharePoint Services Site d'approbation et de remboursement des dépenses Service d'assistance Suivi du stock Espace de travail de l'équipe informatique Gestion des entretiens et des offres d'emploi Base de connaissances Bibliothèque de prêt Gestion et suivi des biens physiques Espace de travail de suivi de projet Réservations d'équipement et de salles Pipeline de prospect IvMad, IvMad, Serveur Web: "Valk" Le cours est disponible à l'adresse: gtr.univ mrs.fr/iis IvMad,

40 Sécurité des Serveurs Windows 2008/2003 Systèmes d exploitation Windows IIS 7.0 / IIS 6.0 Serveur Web Serveur FTP WebDAV Windows SharePoint Service PHP avec IIS 7.0 ASP.NET Les objectifs Cette présentation a pour objectif de démontrer la faisabilité d une sécurisation des services serveur à partir du kit d'installation de Windows 2008 Server. Nous nous basons uniquement sur des techniques d'administrations et du bon sens approuvés dans la pratique et largement appliquer par les administrateurs de ce niveau des systèmes. Nous évitons l'utilisation de logiciels hors Microsoft dans le cadre de ce cours pour assurer un environnement propre lié à la sécurité des accès à un service serveur basé Microsoft. Ivan Madjarov, IUT-R&T, IvMad, Partie I Le Système d'exploitation Système d exploitation Un système d'exploitation est composé : d'un noyau ; de bibliothèques ; d'un ensemble d'outils système ; de programmes applicatifs de base. IvMad, IvMad,

41 Système d exploitation noyau Gestion de l'exécution des processus: Gestion de la mémoire pour chaque processus; Ordonnancement des processus (répartition du temps d'exécution des processeurs); Synchronisation et communication entre processus. Gestion du temps Partage de la ressource entre processus. Gestion du systèmes de fichiers; Gestion des protocoles réseau (TCP/IP, IPX, etc.); Gestion des périphériques par des pilotes (driver). Système d exploitation noyau Architecture d'un noyau monolithique (Kernel) IvMad, IvMad, Systèmes d exploitation Windows Windows 2008 Server Windows - Live Cycle Windows Server 2008 est conçu pour aider les administrateurs système à rationaliser leurs infrastructures. La nouvelle démarche "IO Model" consiste à : réduire les coûts liés à l administration des systèmes; augmenter le niveau de sécurité; augmenter le niveau de service; rendre l infrastructure plus agile. IvMad, IvMad,

42 Windows 2008 Server WS 2008 innove sur plusieurs axes: Console Server Manager pour installer, configurer et administrer les serveurs locaux et distants Option d installation Server Core qui diminue la surface exposée aux risques informatiques Hyper V, "l hyperviseur" est une architecture qui héberge des machines virtuelles multiprocesseurs (32 et 64 bits) Internet Information Server 7.0 (IIS 7) avec fonctions ASP, ASP.NET et PHP, plus sécurisé et mieux administré. Windows SharePoint Services 3.0 (WSS 3.0) permet de créer des sites Web spécialisés pour le partage d informations, de documents ou toutes autres démarches collaboratives. Partie II Internet Information Server 7.0 (IIS 7.0) IvMad, IvMad, IIS 7.0 Nouvelle architecture IIS 7.0 Nouvelle architecture Sous IIS 7.0, l ensemble des fonctionnalités est découpé en modules qui s intègrent dans une procédure de traitement appelée pipeline. Possibilité de chargement ou déchargement des modules fonctionnels selon la demande. Les avantages de cette architecture sont multiples: Allègement du serveur qui bénéficie ainsi de meilleures performances. Une personnalisation plus poussée selon les besoins. Une plus grande facilitée à sécuriser le serveur par la réduction des profils de vulnérabilité. Une maintenance plus facile car seules les mises à jours des modules activés sont téléchargés et installés. Architecture interne de l IIS 7.0 et son implémentation dans le système d exploitation "Windows 2008 Server" IvMad, IvMad,

43 IIS 7.0 Les modules Développement applicatif Infrastructure de développement et d'hébergement des applications pour créer des contenus ou pour étendre la fonctionnalité des services Intégrité et diagnostics Infrastructure pour analyser, gérer et dépanner les serveurs et les applications Web Sécurité infrastructure pour sécuriser le serveur Web face aux utilisateurs et aux requêtes (demandes) Performances infrastructure pour mettre en cache le flux de sortie IIS 7.0 Les modules Outils de gestion Infrastructure pour gérer un serveur Web : interface utilisateur, outils en ligne de commande scripts IIS (XML). Service de publication FTP Intègre le serveur FTP et la console de gestion FTP. Service WebDAV (HTTP 1.1) Service ASP.NET IvMad, IvMad, IIS 7.0 La configuration IIS 7.0 Le schéma fonctionnel La configuration de l'iis7 repose sur une hiérarchie de fichiers XML : applicationhost.config : Un fichier qui contient la configuration globale côté serveur. web.config : Un fichier qui contient la configuration d un site Web défini. L'administration du serveur est améliorée: AppCmd.exe : outil de ligne de commande InetMgr.exe : Interface graphique très complète qui permet de gérer entièrement le serveur. Les outils d administration sont accessibles à distance via une connexion HTTPS/SSL. IIS 7.0 est un serveur sécurisé, fiable et évolutive WAS gère la configuration du pool d'applications Worker process exécute les applications Web IIS protocol adapter reçoit les messages HTTP et les communique au WAS WMSvc permet la gestion à distance d'un serveur Web IvMad, IvMad,

44 Installation de W2008 Serveur Règle générale: Installez le système d exploitation Windows 2008 serveur sans aucun service additionnel; Installer ensuite les patches et les mises à jour du système Windows 2008 Serveur; Arrêtez tous les services qui ne vous servent pas. Désinstallez tous les protocoles réseaux à l'exception du TCP/IP. Installation de W2008 Serveur Server Core (version minime) : A l'installation de Windows Server 2008, on peut procéder à une installation Server Core qui comprend une installation de serveur minimale de l'ensemble Windows Server Avec ce type d'installation, l'interface Windows traditionnelle n'est pas installée et la configuration se fait à partir de l'invite de commande. Le rôle de serveur Web est disponible mais certains modules tels que le.net Framework et le code managé ne le sont pas. La version "Hyper V" est la plus complète IvMad, IvMad, Installation de IIS 7.0 Démarrer/Panneau de Configuration/Programmes et fonctionnalités Installation de IIS 7.0 Activer ou désactiver des fonctionnalités Windows Pour activer une fonctionnalité Windows encore non installée Pour installer IIS 7.0 il faut "Ajouter des rôles" IvMad, IvMad,

45 Installation de IIS 7.0 Liste des rôles disponibles Installation de IIS 7.0 Écran d introduction au serveur Web et services attachés Choisir le rôle "Serveur Web (IIS)" IvMad, IvMad, Installation de IIS 7.0 Pour le rôle serveur Web choisir les services attachés Installation de IIS 7.0 Revue des fonctionnalité et services choisies avant le lancement de l installation Choisir les services nécessaire pour le fonctionnement du rôle serveur Web selon les besoins du moment et l utilisation du serveur IvMad, IvMad,

46 Installation de IIS 7.0 État du processus d installation des services Installation de IIS 7.0 Confirmation des résultats de l installation IvMad, IvMad, Installation de IIS 7.0 Composants du serveur Web (IIS) Installation de IIS 7.0 La page d accueil en local de l IIS7 : Liste des services système Le serveur Web répond en local à l URL: Liste des services de rôle IvMad, IvMad,

47 Gestion de IIS 7.0 Le gestionnaire du serveur Web inetmgr.exe : Outil d administration accessible et à distance par protocole sécurisé 1. Gestionnaire de serveur 2. Rôles 3. Serveur Web 4. Gestionnaire des services 5. Sites 6. Site par défaut Configuration de IIS 7.0 Approche générale de sécurité : Fermer la connexion Internet à l installation des services IIS; Télécharger la dernière version des Service Pack et les Patchs pour IIS; Activer Automatic Update pour le système d exploitation; Désactiver l accès Internet pour le site Web par défaut (default Web site) : Pour faire ça, il suffi d associé le site par défaut à l adresse L accès au site par défaut reste disponible uniquement par le navigateur de la machine locale. IvMad, IvMad, Site Web Création d un site Web Ajouter un Site Web Configurer le nouveau site Web Nom d accès au site par un navigateur Adresse absolue sur unité physique Clique droit de la souris sur "Sites" et choisir "Ajouter un site Web" Accessibilité: protocole et port, ainsi que le nom de la machine hébergeur IvMad, IvMad,

48 Ajouter un Site Web Accéder au nouveau site Web <html> <head> <title>site MMG</title> </head> <body> <h1 align="center">mon site Web MMG</h1> </body> </html> Ajouter un répertoire virtuel Sécurité accrue par le détachement des URLs des chemins d accès physiques du site. Clique droit de la souris sur le nom du site (MMG) pour ouvrir le menu déroulant et "Ajouter un répertoire virtuel" Enregistré sous index.htm dans le répertoire C:\inetpub\wwwroot\MMG IvMad, IvMad, Ajouter un répertoire virtuel L alias du répertoire virtuel est substitué par son accès absolu à travers le URL sur le serveur Web en affichant la page associée. IvMad, Manager IIS 7.0 avec AppCmd.exe AppCmd.exe est un outil de ligne de commande pour configurer et interroger des objets sur le serveur Web. Le résultat retourné est sous forme de texte ou XML. Les tâches à effectuer sont : Créer et configurer des sites, applications, pools d'applications et répertoires virtuels. Démarrer et arrêter des sites Web. Démarrer, arrêter et recycler des pools d'applications. Afficher des informations sur les processus actifs et les requêtes en cours sur le serveur Web. 35 IvMad,

49 Start Stop List Add Delete set Manager IIS 7.0 avec AppCmd.exe Démarrer AppCmd.exe avec droit d administrateur : Accéder au répertoire Activer l outil Manager IIS 7.0 avec AppCmd.exe Syntaxe de la commande APPCMD: APPCMD (command) (objet type) <identifier></parameter:value1 > Chaque objet type possède ses propres commandes: IvMad, IvMad, Manager IIS 7.0 avec AppCmd.exe Pour chaque commande d un objet type on peut obtenir ses propres commandes: Manager IIS 7.0 avec AppCmd.exe Démarrer ou arrêter un site Web dont on ne connait pas apriori le nom. appcmd list sites : affiche la liste des sites installés sur le serveur. appcmd stop sites "Default Web Site" : arête le site nommé "Default Web Site". IvMad, IvMad,

50 Manager IIS 7.0 avec AppCmd.exe Ajouter un nouveau site au serveur Web : appcmd add site /name: string /id: int /physicalpath: string /bindings: string /name : nom du site /id : identificateur du site /physicalpath : chemin d accès absolu au site /bindings : protocol/ip_address:port:host_header Manager IIS 7.0 avec AppCmd.exe Ajouter un nouveau site au serveur Web avec un accès virtuel pour tout le monde par le nom du site sur le port 80 vers un chemin d accès absolu: > APPCMD add site /name:monsitetest /id:3 /bindings:http/*:81: /physicalpath:c:\ivmad\siteweb\monsitetest IvMad, IvMad, Manager IIS 7.0 avec AppCmd.exe L outil AppCmd peut générer des sorties XML: >AppCmd List Sites /XML Manager IIS 7.0 avec AppCmd.exe config des sites dans le fichier applicationhost.config IvMad, IvMad,

51 Manager IIS 7.0 avec AppCmd.exe Faire une sauvegarde de la configuration : Pour créer une nouvelle sauvegarde de la configuration nommée par exemple "Backup_1", taper la commande : appcmd add backup "Backup_1«Manager IIS 7.0 avec AppCmd.exe Pour lister les sauvegardes existantes : appcmd list backup La sauvegarde est créé dans le dossier "inetsrv/backup" : Pour restaurer la sauvegarde nommée "Backup_1" : appcmd restore backup "Backup_1" IvMad, IvMad, Les méthodes d authentification Les méthodes d authentification Sélection les trois méthodes disponibles. Authentification de base : On utilise l authentification de base pour restreindre les accès aux fichiers sur un serveur Web. La méthode se base sur l ID utilisateur. La méthode encode les informations en base 64 sans les chiffrer, et les envois en clair sur le réseau, ce qui présente un problème de sécurité. La méthode nécessite un compte par utilisateur, et les différents droits d ouverture de session doivent être accordés à ce compte. IvMad, IvMad,

52 Les méthodes d authentification Authentification Windows : Cette méthode intégrée est plus sécurisée que l'authentification de base et fonctionne bien dans un environnement Intranet dans lequel les utilisateurs possèdent des comptes de domaine Windows. Dans ce cadre, le navigateur tente d'utiliser les informations d'identification de l'utilisateur actuel à partir d'une ouverture de session sur un domaine. En cas d'échec, l'utilisateur est invité à entrer un nom d'utilisateur et un mot de passe. A l utilisation de cette méthode le mot de passe de l'utilisateur n'est pas transmis au serveur. Les méthodes d authentification Authentification Digest : Avec l'authentification Digest le mot de passe n'est pas envoyé en texte clair. On peut utiliser l'authentification Digest par l'intermédiaire d'un serveur proxy. La méthode d'authentification Digest s'appuie sur un mécanisme de stimulation/réponse (utilisé par l'authentification Windows intégrée) dans lequel le mot de passe est envoyé sous forme chiffrée. IvMad, IvMad, Installation automatisée de IIS 7.0 Installation automatisée de IIS 7.0 Certain organisme installe un nombre conséquent de IIS serveurs en diverses localisations. Windows 2008 Serveur propose Windows Deployment Services (WDS) pour un déploiement automatisé des technologies serveur. IIS 7.0 peut être entièrement installé à partir de la ligne de commande à l aide de l outil : start /w pkgmgr.exe /iu:update1;update2 Un minimum du rôle serveur Web: start /w pkgmgr /iu:iis-webserverrole;was- WindowsActivationService;WAS- ProcessModel;WAS-NetFxEnvironment;WAS- ConfigurationAPI IvMad, Une installation complète demande le script : start /w pkgmgr /iu:iis WebServerRole;IIS WebServer;IIS CommonHttpFeatures;IIS StaticContent;IIS DefaultDocument;IIS DirectoryBrowsing;IIS HttpErrors;IIS HttpRedirect;IIS ApplicationDevelopment; IIS ASPNET;IIS NetFxExtensibility;IIS ASP;IIS CGI;IIS ISAPIExtensions;IIS ISAPIFilter;IIS ServerSideIncludes;IIS HealthAndDiagnostics;IIS HttpLogging;IIS LoggingLibraries;IIS RequestMonitor;IIS HttpTracing;IIS CustomLogging;IIS ODBCLogging;IIS Security;IIS BasicAuthentication;IIS WindowsAuthentication;IIS DigestAuthentication; IIS ClientCertificateMappingAuthentication;IIS IISCertificateMappingAuthentication;IIS URLAuthorization;IIS RequestFiltering;IIS IPSecurity;IIS Performance;IIS HttpCompressionStatic;IIS HttpCompressionDynamic;IIS WebServerManagementTools;IIS ManagementConsole;IIS ManagementScriptingTools;IIS ManagementService;IIS IIS6ManagementCompatibility;IIS Metabase;IIS WMICompatibility;IIS LegacyScripts;IIS LegacySnapIn;IIS FTPPublishingService;IIS FTPServer;IIS FTPManagement;WAS WindowsActivationService;WAS ProcessModel;WAS NetFxEnvironment;WAS ConfigurationAPI 51 IvMad,

53 Installation automatisée de IIS 7.0 Une interface XML est également proposée : start /w pkgmgr /n:{unattend XML} Le fichier XML contient le script de l installation minime: <?xml version= 1.0?> <unattend xmlns= urn:schemas microsoft com:unattend xmlns:wcm= <servicing><package action= configure > <assembly Identity name= Microsoft Windows Foundation Package version= language= neutral processorarchitecture= x86 publickeytoken= 31bf3856ad364e35 versionscope= nonsxs /> <selection name= IIS WebServerRole state= true /> <selection name= WAS WindowsActivationService state= true /> <selection name= WAS ProcessModel state= true /> <selection name= WAS NetFxEnvironment state= true /> <selection name= WAS ConfigurationAPI state= true /> </package> IIS 7.0 un accès sécurisé (HTTPS) Pour mettre en place la sécurité sur un site créé précédemment il faut lui ajouter un accès en HTTPS (HyperText Transfer Protocol Secured) en utilisant des certificats. installer une autorité de certification générer des certificats pour utiliser le protocole HTTPS via SSL (Secure Socket Layer) Un certificat permet de garantir que l'émetteur est bien celui qu'il prétend être. On peut aussi restreindre l'accès à certains utilisateurs. IvMad, IvMad, IIS 7.0 un accès sécurisé (HTTPS) Pour installer une autorité de certification, il faut ajouter un rôle à partir du "Server Manager". IIS 7.0 un accès sécurisé (HTTPS) L'assistant se lance et il faut choisir : IvMad, IvMad,

54 IIS 7.0 un accès sécurisé (HTTPS) On configure l autorité en fonction des besoins et du réseau. IIS 7.0 un accès sécurisé (HTTPS) L inscription de l autorité de certification via le Web comporte des services à ajouter dans ce rôle : IvMad, IvMad, IIS 7.0 un accès sécurisé (HTTPS) Tous les éléments sont maintenant réunis IIS 7.0 un accès sécurisé (HTTPS) Il en existe 2 types d autorité de certification : IvMad, IvMad,

55 IIS 7.0 un accès sécurisé (HTTPS) Choix si l autorité de certification est à la racine de l infrastructure à clef publique ou dépend d'une autre. IIS 7.0 un accès sécurisé (HTTPS) On génère une paire de clefs à l'autorité de certification (clef publique / clef privée). On peut soit en créer une nouvelle soit en choisir une existante. IvMad, IvMad, IIS 7.0 un accès sécurisé (HTTPS) On renseigne les paramètres de chiffrement des clés. J'ai choisis d'utiliser l'algorithme RSA/SHA avec une clef d'une longueur de 4096 BITS. IIS 7.0 un accès sécurisé (HTTPS) On donne un nom à l autorité de certification : IvMad, IvMad,

56 IIS 7.0 un accès sécurisé (HTTPS) On choisit la période de validité des certificats : IIS 7.0 un accès sécurisé (HTTPS) Valider les chemins par défaut de l autorité de certification : IvMad, IvMad, IIS 7.0 un accès sécurisé (HTTPS) Après avoir confirmé les quelques écrans qui suivent on aboutit à l écran de l installation qui résume tous les paramètres choisis! IIS 7.0 un accès sécurisé (HTTPS) La progression du processus d installation : IvMad, IvMad,

57 IIS 7.0 un accès sécurisé (HTTPS) Le récapitulatif de fin d installation : Configuration de HTTPS via SSL Le pas suivant est de générer un certificat auto signé pour utiliser SSL. Pour cela, il faut aller dans l'assistant d'iis7 et ouvrir "Certificats de serveur". IvMad, IvMad, Configuration de HTTPS via SSL On sélectionne dans le menu de droite "Créer un certificat auto signé". Configuration de HTTPS via SSL Nommer le certificat et on valide : IvMad, IvMad,

58 Configuration de HTTPS via SSL Le certificat apparait désormais dans la liste des certificats d'iis. On va maintenant pouvoir associer HTTPS à notre site Web. Pour cela, clic droit sur notre site puis "Edit Binding". Une fenêtre apparait nous spécifiant que ce site est déjà associé au protocole HTTP. Cliquez sur "Ajouter" pour lui associer HTTPS. Il est désormais possible de choisir un certificat pour utiliser le protocole SSL pour crypter le transfert des données entre l'utilisateur et le serveur. Configuration de HTTPS via SSL Ainsi, le résultat est visible à l écran suivant. Il reste à confirmer les informations choisies. IvMad, IvMad, Configuration de HTTPS via SSL Pour configurer le protocole SSL sur le site Web il faut choisir dans l'assistant d'iis7.0 "SSL Settings". Modifier les paramètres SSL dans la fenêtre : Test sur les clients (HTTPS via SSL) Lorsque l'on accède à l'adresse le navigateur nous demande si on souhaite faire confiance au certificat du site émetteur. IvMad, IvMad,

59 Test sur les clients (HTTPS via SSL) Si on continue, on arrive sur le site mais l'adresse est surlignée en rouge : Test sur les clients (HTTPS via SSL) Le code minimal pour une page Web, enregistrée dans un fichier HTML nommé index.htm <html> <head> <title>site MMG</title> </head> <body> <h1 align="center">mon site Web MMG</h1> </body> </html> IvMad, IvMad, Internet Information Services 7.5 Internet Information Services 7.5 "PowerShell" avec 50 nouvelles cmdlets "Database Manager" pour "SQL Server management" intégré dans "IIS Manager" "Configuration Editor" qui à travers un GUI génère des scripts pour l'automatisation de certains tâches "Web Deployment Tool" pour le déploiement ou la migration de sites Web, applications ou serveurs "WebDav" intégré nativement "URLScan" filtre nativement les requetés HTTP "FTP server services" avec ".NET XML based *.config" ".NET Framework" intégré dans "Server Core" Remarques: A ajouter pour 2012 Pages web en html pour chaque site et niveau de configuration Page html pour répertoire virtuel IvMad, IvMad,

60 Sécurité des Serveurs Windows 2008 Serveur FTP 7.5 WebDAV 7.5 PHP avec IIS 7.0 et IIS 6.0 Windows SharePoint Service Les objectifs Cette présentation a pour objectif de démontrer qu'on peut arriver à sécuriser les services serveur disponibles à partir du kit d'installation de Windows 2008 Serveur. Nous nous basons uniquement sur des techniques d'administrations et du bon sens approuvés dans la pratique et largement appliquer par les administrateurs de ce niveau de systèmes. Nous évitons l'utilisation de logiciels hors Microsoft dans le cadre de ce cours pour assurer un environnement propre lié à la sécurité des accès à un service serveur basé Microsoft. Ivan Madjarov, IUT-R&T, 2012 IvMad, FTP Installation Partie IV Serveur FTP (File Transfert Protocol) Un serveur FTP sert à partager des fichiers entre utilisateurs. Installation du serveur FTP 7.x pour IIS 7.0 Télécharger FTP 7.x du le site de Microsoft la version incluse dans IIS 7.0 est la version 6. Le fichier à télécharger pour la version FTP 7.5 porte le nom : "ftp7_x86fre_fr fr.msi". Ivan Madjarov, IUT R&T, 2012 IvMad,

61 FTP Installation Télécharger et exécuter le fichier.msi: FTP Installation Une fois le fichier téléchargé, l assistant d installation se lance automatiquement : IvMad, IvMad, FTP Installation Cliquez sur suivant et acceptez la licence. FTP Installation Liste de modules pour maximum de performance : IvMad, IvMad,

62 FTP Installation Validez pour installer FTP 7.5 FTP Installation Progression de l'installation pour FTP 7.5 IvMad, IvMad, FTP Installation Installation terminée de FTP 7.5 FTP Installation Une série de nouveaux icônes apparaissent dans la fenêtre d administration d IIS7 : IvMad, IvMad,

63 FTP Configuration Il faut créer un dossier pour le partage du service FTP avec un seul accès administrateur. On peut aussi se servir de la ligne de commande pour aller plus vite : mkdir "c:\inetpub\ftproot\noroute.monftp.eu" cacls "c:\inetpub\ftproot\noroute.monftp.eu" /G Administrateur:F /T /E Pour modifier les attributs d'accès d'un utilisateur ou dossier on peut se servir de la ligne de commande avec "calcs" ou "icalcs". cacls "c:\inetpub\ftproot\noroute.monftp.eu" /G username:f /T /E FTP Configuration IvMad, IvMad, FTP Création d'un certificat Dans le "Gestionnaire des services Internet" on sélectionne les "Certificats de serveur". FTP Création d'un certificat Pour créer un "Certificat auto signé". IvMad, IvMad,

64 FTP Configuration L'espace FTP On crée un répertoire "pub" dans le chemin d'accès : "C:\inetpub\ftproot\pub" L'espace FTP de dépôt de fichiers se crée à partir de l'outils d Administration de l'iis. D'un clique droit de la souris sur le "Sites" on peut ajouter un ou plusieurs sites FTP : FTP Configuration L assistant de création d'un site FTP demande des informations sur le nom du site et son accès physique. IvMad, IvMad, FTP Configuration FTP Configuration Il faut configurer l accès au site FTP puis définir les paramètres SSL en choisissant un certificat : Possibilités de choix d'authentification "anonyme" accès publique "de base" accès restreint aux comptes "Active Directory" IvMad, IvMad,

65 FTP Configuration Après le bouton "Terminer" on obtient dans l'espace administrateur de IIS7 : FTP client et test Pour effectuer le test on a besoin d'un client FTP (FileZilla, par exemple) qui faut le configurer pour une connexion TLS/SSL avec le serveur FTP et le site. IvMad, IvMad, FTP client et test A la connexion réussie il faut accepter le certificat : FTP client et test Le contenu du répertoire est listé à présent : IvMad, IvMad,

66 FTP Création automatique Dans certains cas l'installation automatique du serveur FTP et la création aussi automatique de sites FTP peut s'avérer indispensable. Installation automatique : cmd /c "pkgmgr /iu:iis FTPSvc;IIS FTPExtensibility" Création automatique d'un site FTP par un script : L'accès au site est contrôlé par "Authentification de base"; Les droits "read" et "write" sont attribués au dossier "ftproot"; Le site bloque l'accès "anonymous"; La connexion SSL n'est pas demandée, ainsi les clients se connectent sur un canal non crypté. Suite IvMad, 2012 FTP Création automatique cd %windir%\system32\inetsrv REM ftproot is the location of the ftp data directory set ftproot=%systemdrive%\inetpub\ftproot REM ftpsite is the name of the ftp site set ftpsite="ftp site" if not exist %ftproot% (mkdir "%ftproot%") cacls "%ftproot%" /G IUSR:W /T /E appcmd add site /name:%ftpsite% /bindings:ftp://*:21 /physicalpath:"%ftproot%" appcmd set config section:system.applicationhost/sites [name='%ftpsite%'].ftpserver.security.ssl.controlchannelpolicy:"sslallow" appcmd set config section:system.applicationhost/sites /[name='%ftpsite%'].ftpserver.security.ssl.datachannelpolicy:"sslallow" appcmd set config section:system.applicationhost/sites /[name='%ftpsite%']. ftpserver.security.authentication.basicauthentication.enabled:true appcmd set config %ftpsite% /section:system.ftpserver/security/authorization /+[accesstype='allow',permissions='read,write',roles='',users='*'] /commit:apphost 25 IvMad, FTP Virtualisation Sécuriser d'avantage le site FTP en ajoutant des répertoires virtuels aux points sensibles : FTP Virtualisation Le répertoire virtuels est assigné par un alias qui est confondu sur le serveur au moment de la connexion avec l'accès physique sur une partition: IvMad, IvMad,

67 FTP Virtualisation La présence du répertoire virtuel est signalé dans la fenêtre du Gestionnaire des services Internet : FTP Client et test L'accès client ajuste le dossier distant par défaut : IvMad, IvMad, FTP Client et test Accès au dossier résolu : Partie V Serveur WebDAV 7.x (partage de fichiers via le Web) IvMad, Ivan Madjarov, IUT R&T,

68 Partage WebDAV WebDAV (Web based Distributed Authoring and Versioning) est une extension du protocole HTTP/1.1 WebDAV utilise le port 80. Facilite la publication des pages sur un site Web (IE 5.x 8x, MS Office de XP à 2010). Développement en collaboration entre plusieurs auteurs. Peut remplacer le protocole FTP, car plus sécurisé et plus fonctionnel. Peut jouer le rôle de serveur de fichiers. Partage WebDAV Installation WebDAV permet de partager, récupérer, déposer et synchroniser des fichiers facilement à travers le Web. Pour installer le service WebDAV il faut télécharger WebDAV 7.x du site officiel de Microsoft : IvMad, IvMad, Partage WebDAV Installation Le fichier à télécharger pour la version WebDAV 7.5 porte le nom: "webdav_fr fr_i386.msi". Une fois exécuté, l assistant d installation se lance. Partage WebDAV Installation Une fois la licence validée et clique sur suivant, l installation se lance. IvMad, IvMad,

69 Partage WebDAV Installation L'installation est assez rapide : Partage WebDAV Installation On voit apparaître un nouvel icône dans l assistant d IIS7 : IvMad, IvMad, WebDAV 7.5 Configuration Pour activer WebDAV, cliquez sur "Règles de création WebDAV" : WebDAV 7.5 Configuration Dans le gestionnaire des services Internet "Activer WebDAV" ou "Désactiver WebDAV": IvMad, IvMad,

70 WebDAV 7.5 Configuration WebDAV est maintenant activée. Il faut configurer les autorisations pour accéder au partage des fichiers. Pour cela, cliquez dans le menu de droite sur "Ajouter une règle de création". La fenêtre suivante permet de configurer une règle WebDAV. Le premier onglet permet de définir les fichiers accessibles via WebDAV. Le second onglet permet de définir les utilisateurs pouvant accéder au WebDAV. Le dernier onglet permet de définir les permissions des utilisateurs. IvMad, WebDAV 7.5 Configuration Les droits sont attribués à l utilisateur "IvMad" ou à "Tous les utilisateurs" et ils peuvent accéder à tous les types de fichiers présents sur le serveur : IvMad, WebDAV 7.5 Configuration Les données sont désormais présentes sur la console de IIS WebDAV 7.5 Configuration WebDAV utilise le mode d authentification "Authentification Windows" : utilise le login et mot de passe de connexion Windows) "Authentification de base" : Authentification via une popup couplé avec SSL. La configuration du mode d authentification est accessible par l assistant d IIS7 et dans "Authentification" IvMad, IvMad,

71 WebDAV 7.5 Configuration Il suffit d activer le module souhaité par une sélection : "Activer" ou "Désactiver". WebDAV 7.5 Test Pour faire le test il nous faut un client. On peut utiliser un Windows 7 qui se connecte au serveur via l utilisateur "Administrateur". Pour accélérer la connexion on peut définir par la commande : net use Lecteur: URL ainsi, on crée un lecteur réseau qui pointe vers le répertoire configuré WebDAV. Ainsi, on n autorise que les utilisateurs authentifiés et non les utilisateurs anonymes IvMad, IvMad, WebDAV 7.5 Test Le gestionnaire de fichiers sous Windows 7 contient désormais un lecteur réseau sur Z: Partie III PHP avec IIS 7.0 IvMad, Ivan Madjarov, IUT R&T, 2010

72 PHP 5 Pour installer PHP5, il est nécessaire de télécharger la version zip qui sert à l'obtention des librairies complémentaires de PHP et le.msi disponible tous deux à cet adresse : Après téléchargement des fichiers pour l installation il faut respecter un ordre des opérations : 1. Installation du.msi 2. Extraction du.zip 3. Configuration de php.ini 4. et pour finir configuration d'iis7. PHP 5 Installation Installation du.msi IvMad, IvMad, PHP 5 Installation On accepter les termes de la Licence : PHP 5 Installation Sélection du répertoire pour installer PHP : IvMad, IvMad,

73 PHP 5 Installation Pour des raisons de sécurités il faut privilégier le mode ISAPI plutôt que le mode CGI (propre à Linux) pour le module PHP sur un serveur Web IIS 7.0. PHP 5 Installation Les modules PHP à installer au sein de IIS : IvMad, IvMad, PHP 5 Installation Paramètres mis au point l installe peut démarrer : PHP 5 Installation On a installé PHP 5.0 sur le serveur Web IIS 7.0 : IvMad, IvMad,

74 PHP 5 Extraction du.zip On passe à la partie extraction des librairies complémentaires de PHP dans un répertoire choisi : PHP 5 Extraction du.zip La progression en cours : IvMad, IvMad, PHP 5 Configuration Configuration de php.ini PHP 5 Configuration Remplacer extension_dir = "./" avec extension_dir = "ext/" dans le fichier php.ini à l aide d un éditeur de texte (NotePad, EditPad, ou autre) : IvMad, IvMad,

75 PHP 5 Configuration Configuration d'iis 7.0 pour l'utilisation de PHP 5.0 à partir du gestionnaire des services Internet : PHP 5 Configuration Pour le serveur Web il faut ajouter un document par défaut index.php : IvMad, IvMad, PHP 5 Configuration A partir de la page d'accueil du serveur web on provoque le Mappage de Gestionnaire par un double clique de la souris : PHP 5 Configuration Vérifier le script ayant pour chemin d'accès *.php : IvMad, IvMad,

76 PHP 5 Configuration Restrictions des demandes configurent plus précisément le traitement des requêtes côté Serveur PHP 5 Configuration Restrictions des demandes configurent plus précisément le traitement des requêtes côté Serveur IvMad, IvMad, PHP 5 Configuration Restrictions des demandes configurent plus précisément le traitement des requêtes côté Serveur PHP 5 Configuration Restrictions CGI et ISAPI : IvMad, IvMad,

77 PHP 5 Configuration Restrictions CGI et ISAPI : PHP 5 Test Tester la connexion : Contenu du fichier "index.php": <?php phpinfo();?> IvMad, IvMad, Windows SharePoint Services Partie IV Windows SharePoint Services WSS est natif pour W2008SRV. WSS est un moteur de "groupware" offrant des fonctionnalités de portail Web et d'intranet Au travers d'un site WSS on peut gérer un planning, ou gérer les différentes versions d'un document. Les services SharePoint sont utilisés par les applications de portail Web Microsoft Office SharePoint Portal Server Microsoft Office Project Server. WSS est lié à une BD référentiel de toutes les données : BD de configuration les données de contenu. Ivan Madjarov, IUT R&T, 2010 IvMad,

78 Windows SharePoint Services Les sites WSS reposent sur la technologie ASP.NET et doivent être hébergés via le serveur Web de IIS. Le stockage des informations est confié à une BD Microsoft SQL Server. L'authentification peut être basé soit sur: un annuaire Active Directory, un annuaire LDAP, une authentification dite "Forms" basée sur des providers ASP.NET L'interface utilisateur exploite des fonctionnalités spécifiques à Internet Explorer (ActiveX, Javascript et HTML). Windows SharePoint Services 20 modèles d'application d'administrateur de serveur de WSS 3.0 sont disponibles à téléchargement Les modèles compris dans ce téléchargement sont les suivants: Gestion des demandes de congé et de la planification des absences Budgétisation et suivi de plusieurs projets Centre d'appels Gestion des demandes de modification Gestion des contacts Révision et bibliothèque de documents Planification d'événements IvMad, IvMad, Windows SharePoint Services Serveur Web: "Valk" Site d'approbation et de remboursement des dépenses Service d'assistance Suivi du stock Espace de travail de l'équipe informatique Gestion des entretiens et des offres d'emploi Base de connaissances Bibliothèque de prêt Gestion et suivi des biens physiques Espace de travail de suivi de projet Réservations d'équipement et de salles Pipeline de prospect Le cours est disponible à l'adresse: gtr.univ mrs.fr/iis IvMad, IvMad,

79 XML documents semi-structurés XML - extensible Markup Language XSL(T) - extensible Stylesheet Language XSD XML Schema DTD Document Type Definition XML extensible Markup Language Le web est confronté à deux problèmes: HTML n'est pas extensible, il ne peut pas répondre aux besoins spécifiques de tous les domaines (mathématiques, chimie, musique, astronomie...) et ne définit plus le contenu du document. Les administrateurs systèmes ont besoin d'un langage de configuration pour les serveurs et les applications client. Cela facilite la diffusion des configurations des machines semblables sur les sites reparties d'une entreprise IIS7.0 et IIS7.5 Ivan Madjarov, IUT-R&T, Techologies XML IvMad, XML extensible Markup Language XML permet de Concevoir un langage de balisage personnalisé Structurer un ensemble de classes de documents Un métalangage de balisage est défini par une définition de type de document (DTD) ou XML Schema (plus récent). XML est utilisé pour échanger des données entre applications, définir la configuration d'applications et serveurs, créer des documents sémantiques (structurés) pour le Web fixe ou mobile. XML extensible Markup Language Les applications XML Techologies XML IvMad, Techologies XML IvMad,

80 XML extensible Markup Language MathML (Mathematical Markup Language) notation mathématique sur le web CML (Chemical Markup Language) pour la publication Internet des formules chimiques, de molécules, des équations. SVG (Scalable Vector Graphics) langage de balisage d'information graphique vectorielle. SMIL (Synchronized Multimedia Integration Language) pour la création multimédia, il spécifie comment et quand des éléments multimédia peuvent apparaître dans une page web. Par exemple, on peut dire que sur la page le texte apparaît suivi d'une série d'images qui sont accompagnées d'une musique ou un commentaire audio. WML (Wireless Markup Language) le langage de balisage pour l'internet mobile. XML extensible Markup Language Un document XML peut ainsi "prévoir" plusieurs cibles: L'écran d'un téléphone portable, L'écran d'un ordinateur de bureau, Collection dans une base de données, Une application logicielle Échange d'informations sur le Web (service Web) Effectuer des sélections par tri, Générations automatiques de tables des matières et bien d'autres fonctions. Techologies XML IvMad, Techologies XML IvMad, XML extensible Markup Language Un document structuré possède des parties avec des significations particulières XML extensible Markup Language XML permet de séparer le fond de la forme. La grammaire qui définie les balises du document XML (DTD ou Schema), c'est un fichier.xsd Le document avec les données, c'est à dire le document XML (fichier.xml). La transformation XSLT (extensive Stylesheet Language Transformations) est le document avec les informations de mise en forme, pour produire un fichierdansleformatdesortievoulu(xhtml,pdf ou TXT). Techologies XML IvMad, Techologies XML IvMad,

81 XML extensible Markup Language XML fichier de configuration La configuration des sites dans fichier XML : Techologies XML IvMad, Techologies XML IvMad, ApplicationHost.config Le fichier de configuration pour IIS 7.0. Il contient les définitions des sites, des applications, des répertoires virtuels et des pools d'applications, ainsi que les paramètres du serveur Web Le fichier est dans: windows\system32\inetsrv\config Les paramètres du IIS sont référencés dans system32\inetsrv\config\schema\iis_schema.xml Le fichier XML contient des descriptions dans le format: <attribute name>="<default value>" [<metadata>] [<description>] ApplicationHost.config Description des paramètres <attribute name> nom de l'attribut <default value> valeur par défaut <metadata> défini le type de l'attribut <description> description de l'attribut ApplicationHost.config contient deux parties distinctes: system.applicationhost : paramétrage des services system.webserver : contient tous les réglages pour le Web comme les listes des modules ISAPI, filtres ASP, CGI. Techologies XML IvMad, Techologies XML IvMad,

82 ApplicationHost.config Structure du fichier config ApplicationHost.config Modifier le fichier de configuration pour obtenir l'option lister le contenu d'un répertoire de site <system.webserver> <directorybrowse enabled="true" /> </system.webserver> Lire le fichier ICI Techologies XML IvMad, Techologies XML IvMad, XML hiérarchie (exemple) <?xml version="1.0" encoding="iso "?> <!-- La ligne ci-dessus est le prologue --> <!-- Élément racine --> <biblio> <!-- Premier enfant --> <livre> <!-- Élément enfant titre --> <titre>les Misérables</titre> <auteur>victor Hugo</auteur> <nb_tomes>3</nb_tomes> </livre> <livre> <titre>l'assomoir</titre> <auteur>émile Zola</auteur> </livre> <livre lang="en"> <titre>david Copperfield</titre> <auteur>charles Dickens</auteur> <nb_tomes>3</nb_tomes> </livre> </biblio> XML interprétation Un document bien formé (sans DTD) est affiché par le navigateur en visualisant sa structure. Visualisation avec une feuille de style CSS où est définie l interprétation des éléments du document XML. <?xml version="1.0"?> <?xml-stylesheet type="text/css" href="biblio.css"?> <bibliotheque>... </bibliotheque> Techologies XML IvMad, Techologies XML IvMad,

83 Visualiser un fichier XML XML feuille de style (CSS3) livre { } display: block; position: relative; left: 50; top:100; margin left:10pt; margin bottom: 5pt; font family: "Verdana"; font size: 12pt titre { margin right:10pt; color:blue; font family: "Verdana"; } auteur { margin right:10pt; font family: "Verdana"; } ref { color:red; font family: "Verdana"; } Techologies XML IvMad, Techologies XML IvMad, XML présentation transformée Structure d'une transformation XSL Visualisation avec une feuille de style XSL <?xml version="1.0"?> <?xml stylesheet type="application/xml" href="biblio.xsl"?> <bibliotheque>... </bibliotheque> Techologies XML IvMad, Techologies XML IvMad,

84 XML stylesheet XML extensible Markup Language <?xml version="1.0"?> <xsl:stylesheet version="1.0" xmlns:xsl=" <xsl:output method="html"/> <xsl:template match="/"> <html> <head> <title>ma bibliotheque</title> <style type="text/css"> th {background-color:silver;} td {border-style:solid; border-width:1px;} </style> </head> <body> <H2>Bibliotheque</H2> <table> <tr> <th>titre</th> <th>auteur</th> <th>ref.</th> </tr> <xsl:for-each select="bibliothèque/livre"> <tr> <td><xsl:value-of select="titre"/></td> <td><xsl:value-of select="concat(auteur/nom, ' ', auteur/prénom)"/></td> <td><xsl:value-of select="ref"/></td> </tr> </xsl:for-each> </table> </body> </html> </xsl:template> </xsl:stylesheet> Techologies XML IvMad, Techologies XML IvMad, Les transformations XML XML Schema Un schéma d'un document définit: les éléments possibles dans le document les attributs associés à ces éléments la structure du document et les types de données Le schéma est spécifié en XML pas de nouveau langage balisage de déclaration domaine spécifique xsd: Présente de nombreux avantages structures de données avec types de données extensibilité par héritage et ouverture analysable par un parseur XML standard Techologies XML IvMad, Techologies XML IvMad,

85 ASP.NET et ASP Active Server Pages ASP.NET avec Windows 2008 serveur ASP.NET fait partie de la plateforme Microsoft.NET et incarne l'évolution de la technologie Active Server Pages (ASP). sites Web dynamiques, des applications web ou des services Web XML. ASP.NET est un environnement compilé, basé sur.net Framework. Applications écrites dans un langage compatible avec.net Framework, ainsi que Microsoft Visual Basic.NET, Microsoft Visual C# et Microsoft JScript.NET. Ivan Madjarov, IUT R&T, Techologies XML IvMad, ASP (Active Server Pages) ASP est un ensemble technologique développé par Microsoft pour la programmation Web et la création des sites Web dynamiques. C'est le concurrent de PHP. ASP nécessite une plate forme Windows avec IIS installé, ou une plate forme Linux ou Unix avec Apache et le module Apache::ASP. ASP est une structure d'objets accessibles par deux langages : le VBScript et le Jscript. Il est possible d'utiliser Perl ou Python en ajoutant le moteur d'interprétation du langage adéquat à l'iis. ASP (Active Server Pages) L'ASP est basé sur le modèle COM (Component Object Model, aussi appelé ActiveX) pour communiquer avec un serveur. Il renvoie ensuite du HTML au client via le protocole HTTP (HyperText Transfert Protocol). L'ASP est capable de : se connecter à des bases de données, de lire des fichiers XML, la gestion du protocole FTP, lire et écrire des documents Excel ou Word (Office) en passant par le système COM. Techologies XML IvMad, Techologies XML IvMad,

86 ASP (Active Server Pages) Les ASP sont exécutées du côté serveur (comme les scripts CGI, PHP, JSP) et non du côté client. ASP s'inscrit dans une architecture 3 tiers. Le serveur Web avec de l'asp sert d'intermédiaire entre le navigateur du client et une BD assuré par la technologie ADO qui fournit les éléments à la manipulation des données par le langage SQL. ASP (Active Server Pages) Les 7 objets de base des Active Server Pages Application : Toutes les informations partagées par les visiteurs connectés à l'application. ObjectContext : Contrôler les transactions avec le serveur MTS (Microsoft Transaction Server). Request : Données envoyées au serveur dans la requête HTTP du client. Response : Envoyer la réponse HTTP au client. Server : Informations propres au serveur web. Session : gérer les sessions de l'utilisateur ASPerror : récupère et définit les erreurs des ASP. Techologies XML IvMad, Techologies XML IvMad, ASP sous Windows 2008 Server Gestionnaire de serveur > Rôles > Serveur Web > Ajouter un rôle ASP sous Windows 2008 Server Cocher "ASP" et cliquer sur "Suivant" Techologies XML IvMad, Techologies XML IvMad,

87 ASP sous Windows 2008 Server Pools d'application > Clique droit sur le pool > DefaultAppPool > Paramètres avancés. ASP sous Windows 2008 Server "Vrai" la ligne Activer les applications 32 bits et clique sur OK pour valider Techologies XML IvMad, Techologies XML IvMad, La technique de l'asp Une page ASP (extension.asp) se caractérise par la présence des balises <% %>, qui indiquent au serveur HTTP qu'une commande VBScript ou JScript doit être interprétée. Le code enfermé par les délimiteurs est interprété par la partie application ASP du serveur Web. Le résultat est rendu en format HTML. L'intérêt principal de cette technique est la possibilité de réagir de manière dynamique aux requêtes de l'utilisateur à travers de vrais langages de programmation. Techologies XML IvMad, La technique de l'asp LANGUAGE="VBSCRIPT" %> <HTML><HEAD><TITLE>La date et l'heure en ASP</TITLE></HEAD> <BODY> <% semaine = array("dimanche","lundi","mardi","mercredi","jeudi","vendredi","samedi") n = Weekday(date()) %> <FONT FACE="Verdana" SIZE="+1"> <p>bonjour,<br>nous sommes le <br /><font color="red"><b> <% Response.Write(semaine(n 1)) %></b></font> <font color="red"><b><% Response.Write(date()) %></B></font> <br>et il est <font color="red"><b><% Response.Write(time()) %> </B></font> <br>heure local du Serveur</p> </FONT> </BODY> </HTML> Techologies XML IvMad,

88 La technique de l'asp Le code HTML envoyé au client : <HTML> <HEAD> <TITLE>La date et l'heure en ASP</TITLE></HEAD> <BODY> <FONT FACE="Verdana" SIZE="+1"> <p>bonjour,<br>nous sommes le <br /><font color="red"> <b>samedi</b></font> <font color="red"><b>05/12/2009</b></font> <br>et il est <font color="red"><b>07:40:07</b></font> <br>heure local du Serveur</p> </FONT> </BODY> </HTML> La technique de l'asp Techologies XML IvMad, Techologies XML IvMad, JScript et VBScript <%@ LANGUAGE="JSCRIPT" %> <html><head><title>tableau en asp</title></head> <body><table border="1"> <% for (i=0; i<10; i++) { Response.Write("<tr>") for (k=0; k<10; k++) { Response.Write("<td align=center valign=middle WIDTH=25 BGCOLOR=rgb(" + (i+200) + "," + (i*k+112) + "," + (i*k+15) + ")><FONT FACE=Arial SIZE=3>" + (i+k) + "</font></td>") } Response.Write("</tr>") } %> </table></body></html> JScript et VBScript Techologies XML IvMad, Techologies XML IvMad,

89 ASP et les bases de données L'ASP utilise ODBC (Open DataBase Connectivity) qui est un protocole standard permettant d'accéder aux informations de serveurs de bases de données. ODBC pour accéder à ACCESS MySQL ODBC pour accéder à MySQL JDBC assure l'interfaçage avec les applications Java Pour installer une nouvelle source ODBC : Outils d'administration/source de données ODBC. Activer l'onglet DSN Système/Ajouter. Sélectionner le pilote ODBC qui devra être utilisé en fonction de la BD (MS Access Driver ou MySQL ODBC). Cliquer sur le bouton Terminer. Techologies XML IvMad, ASP et les bases de données <%@ LANGUAGE="VBSCRIPT" %> <HTML><HEAD><TITLE>Exemple</TITLE></HEAD> <BODY> <% dim objconnect dim objrecordset set objconnect = Server.CreateObject("ADODB.Connection") objconnect.open "WebDB" set objrecordset = Server.CreateObject("ADODB.Recordset") objrecordset.open "SELECT * FROM tblsites;", objconnect %> <P><FONT FACE="Verdana" COLOR="#004080">Liste des sites</p> <P><FONT FACE="Verdana" SIZE="2"> <% Do While not objrecordset.eof Response.Write(objRecordset("NomSite")) Response.Write("<BR>") objrecordset.movenext loop set objrecordset=nothing set objconnect=nothing %> </FONT></P> </BODY></HTML> Techologies XML IvMad, ASP et les bases de données ASP et l'administration système L'analyse des "LogFiles" pour serveur Web et FTP A la création d'un site sous IIS 7.0 par défaut des valeurs sont stockées : Date, Time, ClientIP, UserName, ServerIP, Method, UriStem, UriQuery, TimeTaken, HttpStatus, Win32Status, ServerPort, UserAgent, HttpSubStatus. Une reconfiguration est possible par le fichier logextfileflags accessible par Internet Information Services Manager => Logging Techologies XML IvMad, Techologies XML IvMad,

90 ASP et l'administration système Aperçu d'un fichier log ASP et l'administration système Configurer avec ODBC Pour stocker les logs directement dans une BD il faut configurer un accès ODBC. Assure la possibilité d'avoir des rapports d'activités Inconvénient : ralenti l'exécution des services IIS Pour créer une table "ODBC logging" il faut utiliser le fichier dans "system32\inetsrv\logtemp.sql". Pour installer l'élément <odbclogging> : 1. Server Manager > Roles > Web Server 2. Web Server > Role Services > Add Role Services 3. Role Services > Add Role Services > ODBC Logging > Next 4. Confirm Installation Selections > Install > Close Techologies XML IvMad, Techologies XML IvMad,