Sécurisation de serveur Web

Ce forum est destiné à accueillir vos posts concernant la sécurité relative aux logiciels microsoft. Ils peuvent aussi bien traiter des systèmes d'exploitation Windows (NT,WIN2K,WINXP), du serveur web IIS, de Microsoft SQL et ainsi de suite...

Modérateur: modos Ixus

Publier une réponse

Sécurisation de serveur Web

Messagepar darkblueorange » 09 Mars 2005 16:39

Bonjour,

Je cherche à sécuriser un serveur web, plus particulièrement à durcir l'OS Windows Server 2003 Web Edition.
Je ne parle pas de services packs (et encore moins de release candidate ;) ), ni de patchs. Je parle de sécurisation au niveau des services qui tournent, de l'ouverture des ports inutile, des restrictions d'accès pour certains comptes utilisateurs et/ou de services ... de stratégie de sécurité koi !

La petite difficulté évidemment est que le serveur en question ne sera pas intégré au domaine active directory de la boîte dans laquelle on veut le mettre en place. Il sera mis dans une DMZ un peu "à part".

Je suppose que je vais devoir passer par une GPO locale, mais je ne trouve pas grand-chose sur le site de microsoft décrivant la chose.
Y a-t-il un tutoriel sur le sujet ou un guide caché ? Je voudrais en fait trouver des "recommandations" à suivre de bout en bout pour l'application de la stratégie de sécurité.

Merci de m'indiquer toute piste en tout cas !

Bonne journée à tous

Olivier
Avatar de l’utilisateur
darkblueorange
Matelot
Matelot
 
Messages: 7
Inscrit le: 09 Mai 2004 15:08
Haut

Messagepar popoch » 09 Mars 2005 19:44

Tu as des modeles de secu par defaut sur windows...

Utilises une mmc vierge et rajoute le composant enfichable : "Configuration et analyse de la securite"

Tu pourras comparer les differents modeles a ta config actuelle...

Sinon une fois fait il faudra passer a la secu du serveur web... IL te faudra utiliser IIS Lockdown et configure urlscan c est un minimum.

Apres tu peux pour eviter d exposer un IIS en frontal, passer par un reverse proxy et configurer un IDS pour detecter les attaques sur ton serveur Web...

Voila...

Pour ce qui concerne IIS LockDown et urlscan :

http://www.securityfocus.com/infocus/1755

Strategie de securite :

http://support.microsoft.com/default.as ... ;fr;816297
:D :D :D


Cordialement popoch
Avatar de l’utilisateur
popoch
Vice-Amiral
Vice-Amiral
 
Messages: 582
Inscrit le: 05 Mars 2004 01:00
Localisation: Brest / Lannion / Rennes
Haut

Messagepar darkblueorange » 10 Mars 2005 16:20

Pour les modèles de sécurité par défaut, je n'avais pas trop de mal à trouver la bonne mmc qui permet de les ajouter. Il s'agissait surtout de trouver le modèle lui-même qui convenait, et - de base - windows ne les possède pas (pas ceux qui conviennent parfaitement en tout cas).
Mais j'ai fini par remettre la main dessus en lisant le chapitre "Hardening Bastion Hosts" du Microsoft Security Guide pour W2k3. Ils fournissent en plus les .inf adéquats qu'il suffit d'importer ! Fallait juste comprendre qu'un serveur Web faisait partie des serveurs bastion !

Faut maintenant essayer d'installer et de configurer IIS avec les stratégies en vigueur !
Merci bcp à ce propos pour le IIS LockDown et Urlscan en tout cas ! C'est bien utile visiblement !

Je repost quand tout est fini.
Avatar de l’utilisateur
darkblueorange
Matelot
Matelot
 
Messages: 7
Inscrit le: 09 Mai 2004 15:08
Haut
Publier une réponse

Retour vers Logiciels Microsoft

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

Powered by boolaz
cron