Comment sécuriser IIS dans une migration UNIX-to-Windows

1. Ajoutez la phrase suivante de cet article. Vous pouvez attribuer des autorisations NTFS fortes pour vos ressources. Le système de fichiers NTFS est plus sécurisé que le système de fichiers FAT ou FAT32. Vous pouvez également affecter les autorisations Web plus restrictives possibles. Par exemple, si le site Web est utilisé uniquement pour l'affichage d'informations, affecter uniquement en lecture autorisations. Si un répertoire ou le site contient des applications, affecter des autorisations Scripts Only instead of autorisations Scripts et exécutables. N'affectez pas autorisations d'accès source écriture et de script ou des autorisations Scripts et exécutables. Utilisez cette combinaison avec extrême prudence. Il pourrait permettre à télécharger des fichiers exécutables potentiellement dangereux sur le serveur et les exécuter un utilisateur. 2) Ajouter kbSCRAPKeep mot clé. 3) Pour plus d'informations, veuillez examinons le bogue contenu sécurité 33180. Cet article fait partie d'une série d'articles fournit des informations détaillées sur effectuer une migration UNIX-to-Windows. Cet article décrit la procédure élémentaire pour migrer les paramètres de sécurité pour votre site Web d'Apache et UNIX vers Internet (services) et Windows.

Les articles correspondants dans cette série sont les suivants :

Désactiver la navigation Directory

Si vous utilisez la fonctionnalité d'exploration de répertoire, les clients peuvent afficher le contenu dossier au lieu d'être servies une page par défaut ou page d'erreur. Navigation répertoire peut constituer un risque de sécurité potentiel car il permet aux clients afficher toutes les pages d'un dossier spécifique, même si les pages ne font pas partie du site Web. Si vous utilisez Apache, vous utilisez la directive options pour configurer la fonctionnalité d'exploration de répertoire. Si vous utilisez IIS, cette fonctionnalité fait partie de la spécification du dossier. Pour plus d'informations sur la façon d'activer désactiver Directory navigation, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :

Configurer l'authentification

L'authentification est le processus de nécessiter et identifier un utilisateur individuel avant qu'ils autorisés à accéder à une zone d'un site Web. Apache gère l'authentification et un nombre de différents mécanismes de fichiers locales à des bases de données externes. IIS gère son authentification en fournissant un conduit au service d'annuaire Windows 2000.

Lorsque vous migrez des données aux services Internet (IIS), vous devez migrer les paramètres et les utilisateurs vers Windows 2000 Active Directory pour configurer l'authentification pour ces sites. Pour plus d'informations sur la façon de configurer l'authentification, cliquez sur les numéros ci-dessous pour afficher les articles correspondants dans la Base de connaissances Microsoft :

Restreindre les sites par utilisateur

Si vous utilisez Apache et que vous souhaitez restreindre l'accès un utilisateur individuel à un site ou un dossier, vous devez implémenter un système d'authentification. Vous pouvez utiliser soit une directive de répertoire ou le fichier .Htaccess pour limiter l'accès d'un groupe spécifique ou d'une liste d'utilisateurs. Si vous utilisez IIS, l'authentification est intégrée au programme et vous pouvez limiter l'accès en utilisant les mêmes contrôles qui servent à définir la sécurité pour un dossier Windows. Pour plus d'informations sur la façon accès restrice à un site ou un dossier sur une base utilisateur par utilisateur, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :

Limiter les accès au site en IP Adresse ou nom de domaine

Si vous utilisez Apache, vous pouvez utiliser la directive autoriser et de la directive Refuser pour limiter l'accès dans un dossier ou un site Web basé sur l'adresse IP (Internet Protocol) ou un domaine. En règle générale, vous utilisez ces directives pour limiter un site Web, par exemple, un intranet, à utiliser pour vos propres utilisateurs d'entreprise uniquement. IIS fournit un système semblable pour limiter l'accès. Pour plus d'informations sur la façon limite de site Web ou d'accès de dossier par un spécifique IP Adresse ou nom de domaine, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :

Migrer des informations utilisateur et de groupe

Parce que IIS utilise Active Directory pour maintenir des informations d'authentification, vous devez migrer l'utilisateur et les informations de groupe à partir des différentes sources qui servent dans votre installation d'Apache vers IIS et Active Directory. Vous pouvez utiliser une variété d'utilitaires pour vous aider à migrer l'utilisateur et les informations de groupe. Par exemple, vous pouvez utiliser la commande adduser à ajouter facilement des utilisateurs et à utiliser Windows Services for UNIX. Pour plus d'informations sur comment migrer des utilisateurs et les informations de groupe, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :

Définir des autorisations de services Internet (IIS) pour des objets spécifiques

Apache utilise les autorisations de fichier UNIX sous-jacent et les paramètres dans le fichier .Htaccess pour limiter l'accès à des éléments spécifiques. Si vous utilisez IIS, vous pouvez définir les autorisations pour les différents objets dans un site Web indépendamment sur leurs autorisations de fichiers sous-jacent. Pour plus d'informations sur la définition des autorisations de services Internet (IIS) pour des objets spécifiques, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :

Définir la sécurité dossier pour les dossiers partagés

Si vous partagez votre site Web en tant que dossier afin que qu'il peut être mis à jour par d'autres utilisateurs qui modifient les fichiers source, vous devez définir les autorisations de sécurité pour les fichiers dans le dossier. Pour plus d'informations sur le dossier de sécurité pour les dossiers partagés, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :

Migrer des données .Htaccess d'une migration UNIX-to-Windows

Bien que les services Internet (IIS) ne prend pas en charge le fichier .Htaccess Apache, vous pouvez émuler les effets de ce fichier sur des dossiers individuels dans IIS et fournir des options utilisateur personnalisables pour gérer ce dossier sans compromettre la sécurité de votre ordinateur. Pour plus d'informations à faire migrer des données .Htaccess aux services Internet (IIS), cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :

Utilisez l'Assistant les autorisations de services Internet (IIS)

Vous pouvez utiliser l'Assistant d'autorisations de services Internet (IIS) pour simplifier et automatiser le processus de définition des autorisations sur une plage de dossiers et les objets. Si vous utilisez cet outil, permet de simuler les effets des paramètres de sécurité et authentification héritées et les utilisateurs peuvent facilement copier autour des fichiers .Htaccess pour définir les paramètres d'un dossier. Pour plus d'informations sur la façon d'utiliser l'Assistant d'autorisations de services Internet (IIS), cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :

Utilisez l'outil de verrouillage IIS

Vous pouvez utiliser l'outil IIS Lockdown à définir les niveaux de sécurité à utiliser pour sécuriser un site Web complet et les fichiers associés. Vous pouvez également utiliser cet outil pour reproduire rapidement les paramètres sur un site Web Apache sans définir manuellement ces valeurs. Pour plus d'informations sur la façon d'utiliser l'outil IIS Lockdown, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :

Installer un certificat SSL pour une migration UNIX-to-Windows

Pour sécuriser les communications, vous devez installer un certificat SSL (Secure Sockets Layer) dans un site et transfert des certificats existants à partir d'une installation Apache vers IIS pendant un processus de migration. Vous pouvez installer un certificat directement dans IIS sans effectuer les étapes de migration supplémentaires. Pour plus d'informations sur la façon d'installer un certificat SSL, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :

Configurer des services HTTPS

Pour savoir comment configurer le service HTTPS sécurisées, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :

Vous pouvez attribuer des autorisations NTFS fortes pour vos ressources. Le système de fichiers NTFS est plus sécurisé que le système de fichiers FAT ou FAT32. Vous pouvez également affecter les autorisations Web plus restrictives possibles. Par exemple, si le site Web est utilisé uniquement pour l'affichage d'informations, affecter uniquement en lecture autorisations. Si un répertoire ou le site contient des applications, affecter des autorisations Scripts Only instead of autorisations Scripts et exécutables. N'affectez pas autorisations d'accès source écriture et de script ou des autorisations Scripts et exécutables. Utilisez cette combinaison avec extrême prudence. Il pourrait permettre à télécharger des fichiers exécutables potentiellement dangereux sur le serveur et les exécuter un utilisateur.

Pour plus savoir comment migrer D'UNIX vers Windows, reportez-vous au adresse site Web de Microsoft à l'adresse suivante :