Sécurité des Serveurs Windows 2012/2008. Partie I. Les objectifs. Système d exploitation. Le Système d'exploitation

Documents pareils
Internet Information Services (versions 7 et 7.5) Installation, configuration et maintenance du serveur Web de Microsoft

Chapitre 1 Windows Server

Serveur d application WebDev

Guide d installation BiBOARD

Guide de migration BiBOARD V10 -> v11

Le serveur web Windows Home Server 2011

Zeus V3.XX :: PRE-REQUIS TECHNIQUES

Installation 1K-Serveur

IIS, c est quoi? Installation de IIS Gestion de base de IIS Méthodes d authentification. Edy Joachim,

FORMATION PcVue. Mise en œuvre de WEBVUE. Journées de formation au logiciel de supervision PcVue 8.1. Lieu : Lycée Pablo Neruda Saint Martin d hères

Symantec Backup Exec Remote Media Agent for Linux Servers

Tsoft et Groupe Eyrolles, 2005, ISBN :

La double authentification dans SharePoint 2007

Symantec Backup Exec 12.5 for Windows Servers. Guide d'installation rapide

Bienvenue sur Lab-Windows Il n'y a de vents favorables que pour ceux qui ont un cap

KAJOUT WASSIM INTERNET INFORMATION SERVICES (IIS) 01/03/2013. Compte-rendu sur ISS KAJOUT Wassim

Administration Centrale : Opérations

Préconisations Techniques & Installation de Gestimum ERP

Assistance à distance sous Windows

Sage CRM. 7.2 Guide de Portail Client

SQL Server Installation Center et SQL Server Management Studio

STATISTICA Version 12 : Instructions d'installation

Chapitre 2 Rôles et fonctionnalités

Sans trop entrer dans les détails, la démarche IO Model consiste à : Pour cela, Microsoft découpe la maîtrise de l infrastructure en quatre niveaux :

Serveur Acronis Backup & Recovery 10 pour Linux. Update 5. Guide d'installation

Hyper-V Virtualisation de serveurs avec Windows Server 2008 R2 - Préparation à l'examen MCTS

FreeNAS Shere. Par THOREZ Nicolas

Installation FollowMe Q server

Service de certificat

LOGICIEL KIPICAM : Manuel d installation et d utilisation

Procédure d'installation complète de Click&Decide sur un serveur

Pré-requis pour les serveurs Windows 2003, Windows 2008 R2 et Windows 2012

Système Normalisé de Gestion des Bibliothèques -SYNGEB : version Réseau-

Documentation utilisateur, manuel utilisateur MagicSafe Linux. Vous pouvez télécharger la dernière version de ce document à l adresse suivante :

INSTALLATION DE WINDOWS 2000 SERVER POUR BCDI3. par. G.Haberer, A.Peuch, P.Saadé

Eléments techniques tome I Installation Serveur Windows 2012

But de cette présentation

Guide détaillé pour Microsoft Windows Server Update Services 3.0 SP2

Installation de GFI FAXmaker

MEGA Web Front-End Installation Guide MEGA HOPEX V1R1 FR. Révisé le : 5 novembre 2013 Créé le : 31 octobre Auteur : Noé LAVALLEE

Guide d installation d AppliDis Free Edition sur Windows Serveur 2008 R2

Network Shutdown Module V3 Extension du Manuel Utilisateur pour architecture Virtualisée VMWare ESX Server 3, 3.5

Cours LG : Administration de réseaux et sécurité informatique. Dans les Paramètres Système onglet Processeur, le bouton "Activer PAE/NX"

Corrigé de l'atelier pratique du module 8 : Implémentation de la réplication

AD FS avec Office 365 Guide d'installation e tape par e tape

Apprendre à gérer son serveur web grâce à Windows Server 2008 R2

FTP / WebDeploy /WebDAV. Manuel

MS 2615 Implémentation et support Microsoft Windows XP Professionnel

GPI Gestion pédagogique intégrée

MIRAGE VMWARE Solution de gestion d images en couches qui sépare le PC en plusieurs couches logiques. Olivier Emery

CS REMOTE CARE - WEBDAV

Printer Administration Utility 4.2

Guide d'installation. Release Management pour Visual Studio 2013

Service Informatique et Télématique (SITEL), Emile-Argand 11, 2009 Neuchâtel, Tél ,

Joomla! Création et administration d'un site web - Version numérique

Symantec Backup Exec Guide d'installation rapide

Expérience d un hébergeur public dans la sécurisation des sites Web, CCK. Hinda Feriani Ghariani Samedi 2 avril 2005 Hammamet

Guide de déploiement

Préparer la synchronisation d'annuaires

Plan de cette matinée

MANUEL D INSTALLATION DE WATCHDOC 2011 (EVALUATION)

Storebox User Guide. Swisscom (Suisse) SA

Boîte à outils OfficeScan

Network Shutdown Module V3 Extension du Manuel Utilisateur pour architecture Virtualisée VMWare ESX Server

Hyper V. Installation et configuration d une machine virtuelle. Joryck LEYES

DEPLOIEMENT MICROSOFT WINDOWS

Réaliser un inventaire Documentation utilisateur

Cours 420-KEG-LG, Gestion de réseaux et support technique. Atelier No2 :

Adonya Sarl Organisme de Formation Professionnelle 75 Avenue Niel PARIS, France

Suite logicielle ZOOM version 7.1 Guide d installation 94ZM-ZMJ1F-712

Acronis Backup & Recovery 10 Advanced Server Virtual Edition. Guide de démarrage rapide

L accès à distance du serveur

Procédure d installation :

Accès au Serveur de PAIE «SPV» par INTERNET Paramétrage du poste de travail «Windows»

Guide d utilisation. Table des matières. Mutualisé : guide utilisation FileZilla

Préparation à l installation d Active Directory

Guide utilisateur XPAccess. Version Manuel de référence 1/34

POVERELLO KASONGO Lucien SIO 2, SISR SITUATION PROFESSIONNELLE OCS INVENTORY NG ET GLPI

Installation de SharePoint Foundation 2013 sur Windows 2012

Mise en œuvre d une Gateway HTTP/HTTPS avec un serveur de Présentation en DMZ

Création d'un site web avec identification NT

CA ARCserve Backup Patch Manager pour Windows

Microsoft Hosted Exchange 2010 DOCUMENT D EXPLOITATION

Déploiement, administration et configuration

DOCUMENT D ACCOMPAGNEMENT POUR L INSTALLATION DU LOGICIEL ESTIMACTION

Windows 8 Installation et configuration

Installation du client Cisco VPN 5 (Windows)

AVANT PROPOS. Merci d avoir choisi WATCHDOC!

Livret 1 Poste de travail de l utilisateur :

Pré-requis installation

Configuration de WebDev déploiement Version 7

GUIDE UTILISATEUR PLESK. 1 Référence : IFR_MAK GPW_V02_Plexus_SharedHosting SOMMAIRE. Internet Fr SA. Immeuble Odyssée 2-12, chemin des Femmes

Installation du client Cisco VPN 5 (Windows)

Installation de Windows 2012 Serveur

Hébergement WeboCube. Un système performant et sécurisé. Hébergement géré par une équipe de techniciens

avast! EP: Installer avast! Small Office Administration

HP Data Protector Express Software - Tutoriel 3. Réalisation de votre première sauvegarde et restauration de disque

MANUEL D INSTALLATION DES PRE REQUIS TECHNIQUES SALLE DES MARCHES V.7

Hébergement de sites Web

Transcription:

Sécurité des Serveurs Windows 2012/2008 Systèmes d exploitation Windows IIS8 Serveur Web Serveur FTP WebDAV Windows SharePoint Service PHP avec IIS 8.0 ASP.NET Les objectifs Cette présentation a pour objectif de démontrer la faisabilité d une sécurisation des services serveur à partir du kit d'installation de Windows 2012 Server. Nous nous basons uniquement sur des techniques d'administrations et du bon sens approuvés dans la pratique et largement appliquer par les administrateurs de ce niveau des systèmes. Nous évitons l'utilisation de logiciels hors Microsoft dans le cadre de ce cours pour assurer un environnement propre lié à la sécurité des accès à un service serveur basé Microsoft. Ivan Madjarov, IUT-R&T, 2005-2014 1 2 Partie I Le Système d'exploitation Système d exploitation Un système d'exploitation est composé : d'un noyau ; de bibliothèques ; d'un ensemble d'outils système ; de programmes applicatifs de base. 3 4

Système d exploitation noyau Gestion de l'exécution des processus: Gestion de la mémoire pour chaque processus; Ordonnancement des processus (répartition du temps d'exécution des processeurs); Synchronisation et communication entre processus. Gestion du temps Partage de la ressource entre processus. Gestion du systèmes de fichiers; Gestion des protocoles réseau (TCP/IP, IPX, etc.); Gestion des périphériques par des pilotes (drivers). Système d exploitation noyau Architecture d'un noyau monolithique (Kernel) 5 6 Systèmes d exploitation Windows Windows 2012 Server Windows Live Cycle and Versions Windows Server 2012 est conçu pour aider les administrateurs système à rationaliser leurs infrastructures. La nouvelle démarche "IO Model" consiste à : réduire les coûts liés à l administration des systèmes; augmenter le niveau de sécurité; augmenter le niveau de service; rendre l infrastructure plus agile. 7 8

Windows 2012 Server WS 2012 innove sur plusieurs axes : Console Server Manager pour installer, configurer et administrer les serveurs locaux et distants Option d installation Server Core qui diminue la surface exposée aux risques informatiques Hyper V 3.0, "hyperviseur" est une architecture qui héberge des machines virtuelles multiprocesseurs (64bit) Internet Information Server 8.0 (IIS 8) avec fonctions ASP, ASP.NET et PHP, plus sécurisé et mieux administré. Windows SharePoint Services 3.0 (WSS 3.0) permet de créer des sites Web spécialisés pour le partage d informations, de documents ou toutes autres démarches collaboratives. Partie II Internet Information Server 8.0 (IIS 8.0) 9 10 IIS 8.0 Les objectifs à atteindre IIS 8.0 Architecture Installer les différentes versions d'iis selon les plateformes cibles. Mettre en ligne des sites Web statiques et dynamiques. Implémenter les mécanismes de sécurité sur les sites Web. Optimise les fonctionnement d'iis pour l'utilisation de Scripting : ASP, PHP, ASP.NET, JSP, CGI Superviser le fonctionnement d'iis. Sauvegarder et restaurer des serveurs IIS. Les composants logiciels Windows 2012 Server se présentent sous deux formes: Le rôle est un service: d'annuaire, de résolution de noms, d'hébergement Web, de partage de fichiers, de gestion d'imprimantes; La fonctionnalité offre une option évoluée à un rôle installé. IIS 8.0 est installé sous la forme d'un rôle auquel on peut ajouter des options: Méthodes d'identification Langages dynamiques Outils d'administration 11 12

IIS 8.0 Architecture Sous IIS 8.0, l ensemble des fonctionnalités est découpé en modules qui s intègrent dans une procédure de traitement appelée pipeline. Il y a la possibilité de chargement ou déchargement des modules fonctionnels selon la demande. Les avantages de cette architecture sont multiples: Allègement du serveur qui bénéficie ainsi de meilleures performances. Une personnalisation plus poussée selon les besoins. Une plus grande facilitée à sécuriser le serveur par la réduction des profils de vulnérabilité. Une maintenance plus facile car seules les mises à jours des modules activés sont téléchargés et installés. IIS 8.0 Architecture Architecture interne de l IIS 8.0 et son implémentation dans le système d exploitation "Windows 2012 Server" 13 14 IIS 8.0 Les modules IIS 8.0 Les modules Développement applicatif Infrastructure de développement et d'hébergement des applications pour créer des contenus ou pour étendre la fonctionnalité des services Intégrité et diagnostics Infrastructure pour analyser, gérer et dépanner les serveurs et les applications Web Sécurité infrastructure pour sécuriser le Serveur Web face aux utilisateurs et aux requêtes (demandes) Performances infrastructure pour mettre en cache le flux de sortie Outils de gestion Infrastructure pour gérer un Serveur Web : interface utilisateur (graphique), outils en ligne de commande scripts IIS (XML). Service de publication FTP Intègre le serveur FTP et la console de gestion FTP. Service WebDAV (HTTP 1.1) Service ASP.NET 15 16

IIS 8.0 La configuration La configuration depuis l'iis 7.0 et pour l'iis 8.0 repose sur une hiérarchie de fichiers XML : applicationhost.config : Un fichier qui contient la configuration globale côté serveur. web.config : Un fichier qui contient la configuration d un site Web défini. L'administration du serveur est améliorée: AppCmd.exe : outil de ligne de commande InetMgr.exe : Interface graphique très complète qui permet de gérer entièrement le serveur. Les outils d administration sont accessibles à distance via une connexion HTTPS/SSL. IIS 8.0 Le schéma fonctionnel IIS 8.0 est un serveur sécurisé, fiable et évolutive WAS gère la configuration du pool d'applications Worker process exécute les applications Web IIS protocol adapter reçoit les messages HTTP et les communique au WAS WMSvc permet la gestion à distance d'un serveur Web 17 18 Installation de W2012 Serveur Installation de W2012 Serveur Règle générale: Installez le système d exploitation Windows 2012 Serveur sans aucun service additionnel; Installer ensuite les patches et les mises à jour du système Windows 2012 Serveur; Arrêtez tous les services qui ne vous servent pas. Désinstallez tous les protocoles réseaux à l'exception du TCP/IP. Windows Server 2012 Standard (Windows 8 Server) L'installation contient tous les rôles et fonctionnalités Le système couvre deux processeurs physiques et gère jusqu'à 640 cœurs et 4 To de mémoire. Il y a une limitation du nombre de licences concernant la virtualisation: deux machines virtuelles. Il n'y a pas de limite pour le nombre des machines virtuelles avec la version Datacenter de Windows 2012 Server. 19 20

Installation de W2012 Serveur Server Core (version minime) : A l'installation de Windows Server 2012, on peut procéder à une installation Server Core qui comprend une installation de serveur minimale de l'ensemble Windows Server 2012. Avec ce type d'installation, l'interface Windows traditionnelle n'est pas installée et la configuration se fait à partir de l'invite de commande. Le rôle de serveur Web est disponible mais certains modules tels que le.net Framework et le code managé ne le sont pas. La version "Hyper V3.0" est la plus complète Installation de W8 Serveur (1) Configuration minimum: Processeur: 1.4GHz 64 bit RAM: 512Mo HDD: 32Go Sélectionner la langue par défaut: 21 22 Installation de W8 Serveur (2) Installation de W8 Serveur (3) Cliquez sur "Install now" Entrez le numéro de série Acceptez les termes de la licence et cliquez sur "Next" Sélectionnez Windows Server 2012 Server with a GUI et cliquez sur "Next" 23 24

Installation de W8 Serveur (4) Sélectionnez le disque et la partition sur lesquels installer le système (minimum 32 Go) puis cliquez sur "Next" Installation de W8 Serveur (5) On peut suivre le déroulement de l'installation Sélectionnez le type d installation Définir le mot de passe de l'administrateur 25 26 Installation de W8 Serveur (6) Installation de W8 Serveur (7) L'installation terminée, on peut ouvrir une session avec Ctrl+Alt+Del Pour installer un rôle: Gérer >Ajouter des rôles et fonctionnalités Identification pour une session Administrateur Le Server Manager du W8 Server: On défini les rôles et les fonctionnalités; activer ou désactiver On peut définir le nom et le domaine éventuel du serveur. Définissez ensuite l adresse (ou les adresses) IP de votre serveur 27 28

Installation de IIS 8.0 Gérer >Ajouter des rôles et fonctionnalités Installation de IIS 8.0 Gérer >Ajouter des rôles et fonctionnalités 29 30 Installation de IIS 8.0 Sélectionner le serveur qui va abriter le rôle et les fonctionnalités Installation de IIS 8.0 Rôle de serveurs > Serveur Web (IIS) 31 32

Installation de IIS 8.0 Installation de IIS 8.0 33 34 Installation de IIS 8.0 Démarrage de IIS 8.0 Le serveur Web répond en local à l URL: http://localhost 35 36

Installation de IIS 8.0 par cmdlets Installation et suppression des rôles et des fonctionnalités à l'aide des cmdlets de PowerShell Get WindowsFeature : liste l'ensemble des rôles et fonctionnalités de Windows Server 2012. Installation de IIS 8.0 par cmdlets On peut obtenir la liste des composants installés dans le PowerShell par la commande : (on importe en premier le ServerManager) >Import Module ServerManager >Get WindowsFeature Select Object Name, InstallState Select String Pattern "Installed" 37 38 Installation de IIS 8.0 par cmdlets On peut ajouter par la ligne de commande du PowerShell des rôles, des services et des fonctionnalités : ps> Import Module ServerManager ps> Add WindowsFeature Web Server, Web WebServer, Web Common Http, Web Static Content, Web Default Doc, Web Http Errors, Web Dir Browsing, Web Health, Web Http Logging, Web Performance, Web Stat Compression, Web Security, Web Filtering, Web Mgmt Tools, Web Mgmt Console Installation de IIS 8.0 par cmdlets On peut supprimer de la liste à l'aide de cmdlets PowerShell des packages déjà installés : ps> Import Module ServerManager ps> Remove WindowsFeature Web Server Restart Le commutateur Restart permet de redémarrer automatiquement le serveur à l'issue de l'opération cmdlets : scripts exécuté sur la ligne de commande PowerShell. 39 40

Installation de IIS 8.0 avec dism Dans le contexte où il n'est pas possible d'utiliser PowerShell, l'installation des composants IIS peut s'appuyer sur l'outil dism.exe. L'utilisation de cet outil se base sur des commutateurs pour afficher, par exemple, la liste des rôles, services et fonctionnalités: dism /online / get features Pour lancer l'installation du rôles IIS : dism /online /enable feature /all /featurename:iis WebServer Ensuite, pour installer un service pour ce rôle : dism /online /enable feature /all /featurename:iis ASPNET Installation automatisée de IIS (1) Certain organisme installe un nombre conséquent de IIS serveurs en diverses localisations ou filères. Windows 2008/2012 Serveur propose Windows Deployment Services (WDS) pour un déploiement automatisé des technologies serveur. IIS 7.0 ou IIS 8.0 peut être entièrement installé à partir de la ligne de commande à l aide de l outil : start /w pkgmgr.exe /iu:update1;update2 Un minimum du rôle serveur Web: start /w pkgmgr /iu:iis WebServerRole; WAS WindowsActivationService;WAS ProcessModel; WAS NetFxEnvironment;WAS ConfigurationAPI 41 42 Installation automatisée de IIS (2) Une installation complète demande le script : start /w pkgmgr /iu:iis WebServerRole;IIS WebServer;IIS CommonHttpFeatures;IIS StaticContent;IIS DefaultDocument;IIS DirectoryBrowsing;IIS HttpErrors;IIS HttpRedirect;IIS ApplicationDevelopment; IIS ASPNET;IIS NetFxExtensibility;IIS ASP;IIS CGI;IIS ISAPIExtensions;IIS ISAPIFilter;IIS ServerSideIncludes;IIS HealthAndDiagnostics;IIS HttpLogging;IIS LoggingLibraries;IIS RequestMonitor;IIS HttpTracing;IIS CustomLogging;IIS ODBCLogging;IIS Security;IIS BasicAuthentication;IIS WindowsAuthentication;IIS DigestAuthentication; IIS ClientCertificateMappingAuthentication; IIS IISCertificateMappingAuthentication;IIS URLAuthorization;IIS RequestFiltering;IIS IPSecurity;IIS Performance;IIS HttpCompressionStatic;IIS HttpCompressionDynamic;IIS WebServerManagementTools;IIS ManagementConsole;IIS ManagementScriptingTools;IIS ManagementService;IIS IIS6ManagementCompatibility;IIS Metabase;IIS WMICompatibility;IIS LegacyScripts;IIS LegacySnapIn;IIS FTPPublishingService;IIS FTPServer;IIS FTPManagement;WAS WindowsActivationService;WAS ProcessModel;WAS NetFxEnvironment;WAS ConfigurationAPI Installation automatisée de IIS (3) Une interface XML est également proposée : start /w pkgmgr /n:{unattend XML} Le fichier XML contient le script de l installation minime: <?xml version= 1.0?> <unattend xmlns= urn:schemas microsoft com:unattend xmlns:wcm=http://schemas.microsoft.com/wmiconfig/2002/state> <servicing><package action= configure > <assembly Identity name= Microsoft Windows Foundation Package version= 6.0.5308.6 language= neutral processorarchitecture= x86 publickeytoken= 31bf3856ad364e35 versionscope= nonsxs /> <selection name= IIS WebServerRole state= true /> <selection name= WAS WindowsActivationService state= true /> <selection name= WAS ProcessModel state= true /> <selection name= WAS NetFxEnvironment state= true /> <selection name= WAS ConfigurationAPI state= true /> </package> 43 44

Configuration de l'iis 8.0 Configuration de l'iis 8.0 Pour configurer IIS 8.0 il faut lancer le "Gestionnaire des services Internet" 1. Gestionnaire de serveur 2. Rôles 3. Serveur Web 4. Gestionnaire des services 5. Sites 6. Site par défaut 45 46 Configuration de l'iis 8.0 Configuration de IIS 8.0 inetmgr.exe : Outil d administration accessible et à distance par protocole sécurisé (HTTP et HTTPS) Approche générale de sécurité : Fermer la connexion Internet à l installation des services IIS; Télécharger la dernière version des Service Pack et les Patchs pour IIS; Activer Automatic Update pour le système d exploitation; Désactiver l accès Internet pour le site Web par défaut (default Web site) : Pour faire ça, il suffi d associé le site par défaut à l adresse 127.0.0.1. L accès au site par défaut reste disponible uniquement par le navigateur de la machine locale. 47 48

Création d'un site Web Configurer le nouveau site Web Nom d accès au site par un navigateur Adresse absolue sur unité physique différente du SE. C'est règle de sécurité simple et efficace Clique droit de la souris sur "Sites" et choisir "Ajouter un site Web" Accessibilité: protocole et port, ainsi que le nom de la machine hébergeur 49 50 Accéder au nouveau site Web <html> <head> <title>site MMG</title> </head> <body> <h1 align="center">mon site Web MMG</h1> </body> </html> Ajouter un répertoire virtuel Sécurité accrue par le détachement des URLs des chemins d accès physiques du site. Clique droit de la souris sur le nom du site (MonSiteWeb) pour ouvrir le menu déroulant et "Ajouter un répertoire virtuel" Enregistré sous index.htm dans le répertoire d:\siteweb\ 51 52

Gérer un répertoire virtuel Si on souhaite autoriser l'affichage du contenu d'un répertoire accessible par le site Web et le protocole HTTP : Gérer un répertoire virtuel Ouvrir la fonctionnalité "Exploration de répertoire" et "Activer" ou "Désactiver" la fonctionnalité : 53 54 Ajouter un répertoire virtuel L alias du répertoire virtuel est substitué par son accès absolu à travers le URL sur le serveur en affichant la page associée. Manager IIS 8.0 avec AppCmd.exe AppCmd.exe est un outil de ligne de commande pour configurer et interroger des objets sur le serveur Web. Le résultat retourné est sous forme de texte ou XML. Les tâches à effectuer sont : Créer et configurer des sites, applications, pools d'applications et répertoires virtuels. Démarrer et arrêter des sites Web. Démarrer, arrêter et recycler des pools d'applications. Afficher des informations sur les processus actifs et les requêtes en cours sur le serveur Web. 55 56

Start Stop List Add Delete set Manager IIS 8.0 avec AppCmd.exe Démarrer AppCmd.exe avec droit d administrateur : Accéder au répertoire Activer l outil Manager IIS 8.0 avec AppCmd.exe Syntaxe de la commande APPCMD: APPCMD (command) (objet type) <identifier></parameter:value1 > Chaque objet type possède ses propres commandes: 57 58 Manager IIS 8.0 avec AppCmd.exe Manager IIS 8.0 avec AppCmd.exe Pour chaque commande d un objet type on peut obtenir ses propres commandes: Démarrer ou arrêter un site Web dont on ne connait pas apriori le nom. appcmd list sites : affiche la liste des sites installés sur le serveur. appcmd stop sites "Default Web Site" : arête le site nommé "Default Web Site". 59 60

Manager IIS 8.0 avec AppCmd.exe Ajouter un nouveau site au serveur Web : appcmd add site /name: string /id: int /physicalpath: string /bindings: string /name : nom du site /id : identificateur du site /physicalpath : chemin d accès absolu au site /bindings : protocol/ip_address:port:host_header Manager IIS 8.0 avec AppCmd.exe Ajouter un nouveau site au serveur Web avec un accès virtuel pour tout le monde par le nom du site sur le port 80 vers un chemin d accès absolu: > APPCMD add site /name:monsitetest /id:3 /bindings:http/*:81: /physicalpath:c:\ivmad\siteweb\monsitetest 61 62 Manager IIS avec AppCmd.exe L outil AppCmd peut générer des sorties XML: >AppCmd List Sites /XML Manager IIS 8.0 avec AppCmd.exe config des sites dans le fichier applicationhost.config 63 64

Manager IIS 8.0 avec AppCmd.exe Faire une sauvegarde de la configuration : Pour créer une nouvelle sauvegarde de la configuration nommée par exemple "Backup_1", taper la commande : appcmd add backup "Backup_1«Manager IIS 8.0 avec AppCmd.exe Pour lister les sauvegardes existantes : appcmd list backup La sauvegarde est créé dans le dossier "inetsrv/backup" : Pour restaurer la sauvegarde nommée "Backup_1" : appcmd restore backup "Backup_1" 65 66 IIS 8.0 Journalisation (logs) IIS 8.0 la journalisation (log) La journalisation sous IIS8 permet de mettre en place un suivi des activités sur le serveur. Chaque requête envoyée au serveur est alors enregistrée dans un fichier log dans un format choisi. La journalisation est séparée pour les accès HTTP et FTP sur le serveur. Le contenu de la journalisation est paramétrable: Client IP adresse; User name; Date; Time; Service; Server name; Server IP adresse; Time taken; Client bytes sent; Server bytes sent; Service status code; Windows status code; Request type; Target; Parameters. 67 68

IIS 8.0 la journalisation (log) IIS 8.0 la journalisation (log) Un requête correcte Confirmez par le bouton "Appliquer" #Software: Microsoft Internet Information Services 8.0 #Version: 1.0 #Date: 2014 02 12 09:32:37 #Fields: date time s ip cs method cs uri stem cs uri query s port cs username c ip cs(user Agent) cs(referer) sc status sc substatus sc win32 status time taken 2014 02 12 09:32:37 139.124.38.134 HEAD / 80 72.129.200.245 200 0 64 362 2014 02 12 09:34:25 139.124.38.134 HEAD / 80 182.52.105.243 200 0 0 343 Une recherche de vulnérabilité #Software: Microsoft Internet Information Services 8.0 #Version: 1.0 #Date: 2014 02 12 09:52:00 #Fields: date time s ip cs method cs uri stem cs uri query s port cs username c ip cs(user Agent) cs(referer) sc status sc substatus sc win32 status time taken 2014 02 12 09:52:00 139.124.38.134 GET /phptest/zologize/axa.php 80 95.173.169.53 404 0 2 95 2014 02 12 09:52:00 139.124.38.134 GET /phpmyadmin/scripts/setup.php 80 95.173.169.53 404 0 2 78 2014 02 12 09:52:00 139.124.38.134 GET /pma/scripts/setup.php 80 95.173.169.53 404 0 2 78 2014 02 12 09:52:00 139.124.38.134 GET /myadmin/scripts/setup.php 80 95.173.169.53 404 0 2 78 69 70 IIS 8.0 un accès sécurisé (HTTPS) Pour mettre en place la sécurité sur un site il faut lui ajouter un accès en HTTPS (HyperText Transfer Protocol Secured port 443 par défaut) en utilisant des certificats. installer une autorité de certification générer des certificats pour utiliser le protocole HTTPS via SSL (Secure Socket Layer) Un certificat permet de garantir que l'émetteur est bien celui qu'il prétend être. On peut aussi restreindre l'accès à certains utilisateurs. IIS 8.0 un accès sécurisé (HTTPS) Pour installer une autorité de certification, il faut ajouter un rôle à partir du "Server Manager". 71 72

IIS 8.0 un accès sécurisé (HTTPS) L'assistant lance le Services de rôle et il faut choisir : IIS 8.0 un accès sécurisé (HTTPS) 73 74 IIS 8.0 un accès sécurisé (HTTPS) IIS 8.0 un accès sécurisé (HTTPS) 75 76

IIS 8.0 un accès sécurisé (HTTPS) IIS 8.0 un accès sécurisé (HTTPS) 77 78 IIS 8.0 un accès sécurisé (HTTPS) IIS 8.0 un accès sécurisé (HTTPS) 79 80

IIS 8.0 un accès sécurisé (HTTPS) IIS 8.0 un accès sécurisé (HTTPS) 81 82 IIS 8.0 un accès sécurisé (HTTPS) IIS 8.0 un accès sécurisé (HTTPS) 83 84

IIS 8.0 un accès sécurisé (HTTPS) IIS 8.0 un accès sécurisé (HTTPS) 85 86 IIS 8.0 un accès sécurisé (HTTPS) IIS 8.0 un accès sécurisé (HTTPS) 87 88

IIS 8.0 un accès sécurisé (HTTPS) IIS 8.0 un accès sécurisé (HTTPS) Le certificat dans le fichier CertWebRequest.txt Indiquer le nom de fichier pour la demande de certificat 89 90 Configuration de HTTPS via SSL Le pas suivant est de générer un certificat auto signé pour utiliser SSL. Pour cela, il faut aller dans l'assistant d'iis7/iis8 et ouvrir "Certificats de serveur". Configuration de HTTPS via SSL On sélectionne dans le menu de droite "Créer un certificat auto signé". 91 92

Configuration de HTTPS via SSL Nommer le certificat et on valide : Configuration de HTTPS via SSL Le certificat apparait désormais dans la liste des certificats d'iis. On va maintenant pouvoir associer HTTPS à notre site Web. Pour cela, clic droit sur notre site puis "Edit Binding". Une fenêtre apparait nous spécifiant que ce site est déjà associé au protocole HTTP. Cliquez sur "Ajouter" pour lui associer HTTPS. Il est désormais possible de choisir un certificat pour utiliser le protocole SSL pour crypter le transfert des données entre l'utilisateur et le serveur. 93 94 Configuration de HTTPS via SSL Ainsi, le résultat est visible à l écran suivant. Il reste à confirmer les informations choisies. Configuration de HTTPS via SSL Pour configurer le protocole SSL sur le site Web il faut choisir dans l'assistant d'iis7.0 "SSL Settings". Modifier les paramètres SSL dans la fenêtre : 95 96

Test sur les clients (HTTPS via SSL) Lorsque l'on accède à l'adresse https://localhost/, le navigateur nous demande si on souhaite faire confiance au certificat du site émetteur. Test sur les clients (HTTPS via SSL) Si on continue, on arrive sur le site mais l'adresse est surlignée en rouge : 97 98 Test sur les clients (HTTPS via SSL) Le code minimal pour une page Web, enregistrée dans un fichier HTML nommé index.htm <html> <head> <title>site MMG</title> </head> <body> <h1 align="center">mon site Web MMG</h1> </body> </html> Internet Information Services 8.0 "PowerShell" avec 50 nouvelles cmdlets "Database Manager" pour "SQL Server management" intégré dans "IIS Manager" "Configuration Editor" qui à travers un GUI génère des scripts pour l'automatisation de certains tâches "Web Deployment Tool" pour le déploiement ou la migration de sites Web, applications ou serveurs "WebDav" intégré nativement "URLScan" filtre nativement les requetés HTTP "FTP server services" avec ".NET XML based *.config" ".NET Framework" intégré dans "Server Core" 99 100

Sécurité des Serveurs Windows 2012 Serveur FTP 8.0 WebDAV 8.0 PHP avec IIS 8.0 Windows SharePoint Service Les objectifs Cette présentation a pour objectif de démontrer qu'on peut arriver à sécuriser les services serveur disponibles à partir du kit d'installation de Windows 2008 Serveur. Nous nous basons uniquement sur des techniques d'administrations et du bon sens approuvés dans la pratique et largement appliquer par les administrateurs de ce niveau de systèmes. Nous évitons l'utilisation de logiciels hors Microsoft dans le cadre de ce cours pour assurer un environnement propre lié à la sécurité des accès à un service serveur basé Microsoft. Ivan Madjarov, IUT-R&T, 2014 IvMad, 2014 2 FTP Installation Partie IV Serveur FTP (File Transfert Protocol) Un serveur FTP sert à partager des fichiers entre utilisateurs. Installation du serveur FTP pour IIS 8.0 Gestionnaire de serveur Gérer > Ajouter des rôles et fonctionnalités La page "Avant de commencer" on click "Suivant" La page "Type d'installation" on choisi "Installation basée sur un rôle ou une fonctionnalité" La page "Sélection du serveur" et on click "Suivant" Ivan Madjarov, IUT R&T, 2014 IvMad, 2014 4

FTP Installation FTP Installation IvMad, 2014 5 IvMad, 2014 6 FTP Installation FTP Installation IvMad, 2014 7 IvMad, 2014 8

FTP Installation FTP Configuration Il faut créer un dossier pour le partage du service FTP avec un seul accès administrateur. On peut aussi se servir de la ligne de commande pour aller plus vite : mkdir "c:\inetpub\ftproot\noroute.monftp.eu" cacls "c:\inetpub\ftproot\noroute.monftp.eu" /G Administrateur:F /T /E Pour modifier les attributs d'accès d'un utilisateur ou dossier on peut se servir de la ligne de commande avec "calcs" ou "icalcs". cacls "c:\inetpub\ftproot\noroute.monftp.eu" /G username:f /T /E IvMad, 2014 9 IvMad, 2014 10 FTP Configuration FTP Création d'un certificat Dans le "Gestionnaire des services Internet" on sélectionne les "Certificats de serveur". IvMad, 2014 11 IvMad, 2014 12

FTP Création d'un certificat Pour créer un "Certificat auto signé". FTP Configuration L'espace FTP On crée un répertoire "pub" dans le chemin d'accès : "C:\inetpub\ftproot\pub" L'espace FTP de dépôt de fichiers se crée à partir de l'outils d Administration de l'iis. D'un clique droit de la souris sur le "Sites" on peut ajouter un ou plusieurs sites FTP : IvMad, 2014 13 IvMad, 2014 14 FTP Configuration L assistant de création d'un site FTP demande des informations sur le nom du site et son accès physique. FTP Configuration Il faut configurer l accès au site FTP puis définir les paramètres SSL en choisissant un certificat : IvMad, 2014 15 IvMad, 2014 16

FTP Configuration Possibilités de choix d'authentification "anonyme" accès publique "de base" accès restreint aux comptes "Active Directory" FTP Configuration Après le bouton "Terminer" on obtient dans l'espace administrateur de IIS7 : IvMad, 2014 17 IvMad, 2014 18 FTP client et test Pour effectuer le test on a besoin d'un client FTP (FileZilla, par exemple) qui faut le configurer pour une connexion TLS/SSL avec le serveur FTP et le site. FTP client et test A la connexion réussie il faut accepter le certificat : IvMad, 2014 19 IvMad, 2014 20

FTP client et test Le contenu du répertoire est listé à présent : FTP Création automatique Dans certains cas l'installation automatique du serveur FTP et la création aussi automatique de sites FTP peut s'avérer indispensable. Installation automatique : cmd /c "pkgmgr /iu:iis FTPSvc;IIS FTPExtensibility" Création automatique d'un site FTP par un script : L'accès au site est contrôlé par "Authentification de base"; Les droits "read" et "write" sont attribués au dossier "ftproot"; Le site bloque l'accès "anonymous"; La connexion SSL n'est pas demandée, ainsi les clients se connectent sur un canal non crypté. Suite IvMad, 2014 21 IvMad, 2014 22 FTP Création automatique cd %windir%\system32\inetsrv REM ftproot is the location of the ftp data directory set ftproot=%systemdrive%\inetpub\ftproot REM ftpsite is the name of the ftp site set ftpsite="ftp site" if not exist %ftproot% (mkdir "%ftproot%") cacls "%ftproot%" /G IUSR:W /T /E appcmd add site /name:%ftpsite% /bindings:ftp://*:21 /physicalpath:"%ftproot%" appcmd set config section:system.applicationhost/sites [name='%ftpsite%'].ftpserver.security.ssl.controlchannelpolicy:"sslallow" appcmd set config section:system.applicationhost/sites /[name='%ftpsite%'].ftpserver.security.ssl.datachannelpolicy:"sslallow" appcmd set config section:system.applicationhost/sites /[name='%ftpsite%']. ftpserver.security.authentication.basicauthentication.enabled:true appcmd set config %ftpsite% /section:system.ftpserver/security/authorization /+[accesstype='allow',permissions='read,write',roles='',users='*'] /commit:apphost IvMad, 2014 FTP Virtualisation Sécuriser d'avantage le site FTP en ajoutant des répertoires virtuels aux points sensibles : 23 IvMad, 2014 24

FTP Virtualisation Le répertoire virtuels est assigné par un alias qui est confondu sur le serveur au moment de la connexion avec l'accès physique sur une partition: FTP Virtualisation La présence du répertoire virtuel est signalé dans la fenêtre du Gestionnaire des services Internet : IvMad, 2014 25 IvMad, 2014 26 FTP Client et test L'accès client ajuste le dossier distant par défaut : FTP Client et test Accès au dossier résolu : IvMad, 2014 27 IvMad, 2014 28

FTP la journalisation (logs) Ouvrez le Gestionnaire des services Internet. Dans le volet Connexions, sélectionnez le niveau serveur ou site. Dans Affichage des fonctionnalités, double cliquez sur l'icône Journalisation FTP. Dans le menu Un fichier journal par, sélectionnez Site ou Serveur. Dans Fichier journal, cliquez sur Sélectionner des champs W3C et sélectionnez les informations à journaliser. Dans Répertoire, tapez le chemin du dossier de base dans lequel vous voulez stocker les fichiers journaux FTP ou cliquez sur le bouton Parcourir pour naviguer jusqu'au dossier de base. FTP la journalisation (logs) Dans Encodage, sélectionnez UTF8 ou ANSI. Dans Substitution de fichier journal, sélectionnez la façon dont FTP crée les fichiers journaux dans la liste suivante : Planification : sélectionnez Toutes les heures, Tous les jours, Toutes les semaines ou Tous les mois pour créer les fichiers journaux à des intervalles fixes. Taille de fichier maximale (en octets) : entrez un entier positif pour créer de nouveaux fichiers journaux lorsque la taille de fichier dépasse le nombre d'octets indiqué. Cochez la case Utiliser l'heure locale pour la désignation et la substitution du fichier pour spécifier que l'heure locale et non l'heure universelle coordonnée (UTC) est utilisée pour la désignation et la substitution du fichier journal. IvMad, 2014 29 IvMad, 2014 30 Partage WebDAV Partie V Serveur WebDAV 8 (partage de fichiers via le Web) WebDAV (Web based Distributed Authoring and Versioning) est une extension du protocole HTTP/1.1 WebDAV utilise le port 80. Facilite la publication des pages sur un site Web (IE 5.x 8x, MS Office de XP à 2013). Développement en collaboration entre plusieurs auteurs. Peut remplacer le protocole FTP, car plus sécurisé et plus fonctionnel. Peut jouer le rôle de serveur de fichiers. Ivan Madjarov, IUT R&T, 2005 2014 IvMad, 2014 32

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back