Ressources pour sécuriser Internet Information Services

Traductions disponibles Traductions disponibles
Numéro d'article: 282060 - Voir les produits auxquels s'applique cet article
Cet article peut contenir des liens vers des informations en langue anglaise (pas encore traduites).
Agrandir tout | Réduire tout

Résumé

Lors de l'utilisation de Microsoft Internet Information Services pour héberger des sites Web, il est important de protéger le serveur d'utilisateurs inconnus et peut-être mal intentionnés. Cet article présente des références à utiliser pour exécuter cette tâche importante.

Plus d'informations

Vous trouverez les informations les plus complètes concernant la sécurisation d'applications Web dans l'ouvrage (en anglais) :
Designing Secure Web-Based Applications for Microsoft Windows 2000
http://www.microsoft.com/MSPress/books/4293.asp
ISBN : 0-735-60995-0
Auteurs : Michael Howard, Richard Waymire, Marc Levy
Éditeur : Microsoft Press, juillet 2000
Les matériels de référence suivants sont disponibles en ligne à partir du site Web Microsoft TechNet :

Microsoft recommande d'installer le dernier Service Pack et les dernières mises à jour de la sécurité pour IIS, ainsi que pour tout autre composant exécuté sur le serveur Web. Quoique de nombreux clients utilisent l'outil de recherche en ligne (en anglais) Security Bulletin Search comme référence pour savoir quels correctifs appliquer pour un produit et un Service Pack donnés, les informations fournies par cet outil ne prennent pas en compte les correctifs cumulatifs (il indique toutes les mises à jour publiées après le Service Pack spécifié). Une fois appliqués le dernier Service Pack et toutes les mises à jour (correctifs) les plus récentes, une stratégie de sécurité au niveau du système doit être appliquée au serveur Web. L'Assistant IIS Lockdown offre une interface "Assistant" pour configurer un grand nombre des recommandations de sécurité publiées (en anglais) dans Secure Internet Information Services 5 Checklist (Liste de contrôle pour la sécurisation de Internet Information Services 5) et Microsoft Internet Information Server 4.0 Security Checklist (Liste de contrôle de sécurité de Microsoft Internet Information Server 4.0). L'Assistant IIS Lockdown et l'outil UrlScan (Q307608), un filtre ISAPI pouvant être utilisé pour bloquer les requêtes Web mal intentionnées, font tous deux partie du Kit d'outils de sécurité Microsoft qui peut être obtenu à l'adresse suivante (en anglais) :
http://www.microsoft.com/technet/security/tools/stkintro.asp
Microsoft s'engage à proposer des applications permettant de sécuriser les données de nos clients et maintient un site Web dédié aux questions de sécurité pour les produits Microsoft. Le site Web de sécurité Microsoft est disponible au public à l'adresse suivante :
http://www.microsoft.com/france/securite
Outre des visites régulières du site Web de sécurité Microsoft, Microsoft recommande à ses clients de se tenir au courant des derniers bulletins de sécurité en s'abonnant au service de notification (Microsoft Product Security Notification Service) à l'adresse suivante (en anglais) :
http://www.microsoft.com/technet/security/bulletin/notify.asp
Microsoft offre des services en ligne gratuits pour déterminer quelles mises à jour sont nécessaires, comme par exemple le service de notification des mises à jour critiques, qui est disponible sur le site Web Windows Update, ou l'outil (en anglais) Microsoft Personal Security Advisor (MPSA), qui peut être utilisé pour détecter des problèmes de sécurité sur le système sur lequel est exécuté l'outil ; toutefois, Microsoft ne recommande pas l'utilisation des outils Windows Update ou MPSA comme seul guide pour s'informer des dernières mises à jour. HFNetChk est le seul outil qui offre des mises à jour complètes pour les applications de niveau de service telles que Internet Information Services.

Références

Lors de la sécurisation de serveurs Web, il est possible que les autorisations soient définies de manière trop restrictive, ce qui peut empêcher la mise à disposition normale du contenu. L'article suivant de la Base de connaissances Microsoft décrit les autorisations minimales nécessaires pour que Internet Information Services mette à disposition un contenu correctement :
187506 Liste des autorisations NTFS requises pour le bon fonctionnement d'un site IIS

Propriétés

Numéro d'article: 282060 - Dernière mise à jour: lundi 28 novembre 2005 - Version: 2.4
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Internet Information Server 4.0
  • Microsoft Internet Information Services 5.0
Mots-clés : 
kbdownload kbinfo KB282060
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com