Comment faire pour installer et utiliser l'Assistant IIS Lockdown Wizard

Traductions disponibles Traductions disponibles
Numéro d'article: 325864 - Voir les produits auxquels s'applique cet article
Cet article peut contenir des liens vers des informations en langue anglaise (pas encore traduites).
Nous conseillons vivement à tous les utilisateurs de passer à Microsoft Internet Information Services (IIS) version 6.0 sur Microsoft Windows Server 2003. IIS 6.0 augmente considérablement la sécurité de l'infrastructure Web. Pour plus d'informations sur les rubriques de sécurité IIS, reportez-vous au site Web de Microsoft à l'adresse suivante :
http://www.microsoft.com/technet/security/prodtech/iis.mspx (en anglais)
Agrandir tout | Réduire tout

Sommaire

Résumé

Cet article décrit étape par étape comment sécuriser un serveur Web à l'aide de l'Assistant IIS Lockdown Wizard (en anglais). Il comprend également des informations sur la façon de résoudre les problèmes survenant après l'exécution de l'Assistant.

Préparation de l'exécution de l'Assistant IIS Lockdown

Grâce à l'Assistant IIS Lockdown Wizard, vous pouvez désactiver plusieurs fonctionnalités facultatives dans IIS pour sécuriser votre serveur IIS contre une attaque. Avant d'exécuter l'Assistant, lisez le fichier d'aide pour vous familiariser avec les options proposées par l'Assistant. Pour accéder au fichier d'aide :
  1. Téléchargez l'Assistant IIS Lockdown Wizard. Pour télécharger cet Assistant, reportez-vous au site Web de Microsoft suivant (en anglais) :
    http://www.microsoft.com/downloads/release.asp?ReleaseID=43955
  2. Extrayez les fichiers de l'Assistant IIS Lockdown Wizard du fichier exécutable.
  3. Cherchez le dossier que vous avez spécifié lors de l'extraction des fichiers et double-cliquez sur le fichier Iislockd.chm.
Notez que l'Assistant IIS Lockdown Wizard vous permet de désactiver certaines fonctions facultatives de IIS nécessaires pour le fonctionnement correct des autres applications, comme Exchange et FrontPage. Si vous ne sélectionnez pas les bonnes options lorsque vous exécutez l'Assistant IIS Lockdown Wizard, vous pouvez rompre la fonctionnalité de ces applications. Pour minimiser les problèmes, parcourez les articles de la Base de connaissances Microsoft appropriés à votre configuration système avant d'exécuter l'Assistant IIS Lockdown Wizard.
  • Exchange et Outlook Web Access (OWA) :
    309508 Configurations de IIS Lockdown et URLscan dans un environnement Exchange
  • Microsoft Mobile Information Server :
    311595 Comment faire pour installer et configurer Microsoft Security Tool Kit sur Microsoft Mobile Information Server
  • Microsoft Small Business Server :
    311862 Comment faire pour utiliser l'outil IIS Lockdown avec Small Business Server
  • Microsoft Project, Project Server et Project Web Access :
    321357 Messages d'erreur lorsque vous consultez une page Microsoft Project Web Access qui contient des grilles
    316398 Comment faire pour configurer l'outil IIS Lockdown et l'outil de sécurité URLScan sur un ordinateur qui exécute Microsoft Project Server ou Microsoft Project Central
  • Microsoft SharePoint Portal Server :
    309675 L'outil IIS Lockdown affecte SharePoint Portal Server
    319633 Message d'erreur « Erreur d'exécution de script : erreur d'exécution INVOKE » après avoir installé l'Assistant IIS Lockdown Wizard
  • Microsoft Visual Studio .NET :
    310588 PROBLÈME : Security Toolkit bloque le débogage ASP.NET dans Visual Studio .NET
    315904 BOGUE : Message d'erreur « Exception externe : Impossible d'exécuter un programme » lorsque vous appelez WebServices à partir de la page .aspx
  • Microsoft FrontPage :
    317390 Message d'erreur « HTTP/1.1 404 Objet non trouvé » lorsqu'un utilisateur de votre page Web effectue une recherche
    307976 Message d'erreur lorsque vous utilisez FrontPage avec URLScan
  • Microsoft Proxy Server :
    311675 Impossible de rechercher l'aide en ligne de Proxy Server 2.0 après l'installation de l'Assistant IIS Lockdown Wizard

Téléchargement et installation de l'Assistant IIS Lockdown Wizard

  1. Double-cliquez sur le fichier exécutable que vous avez téléchargé dans la section Préparation à l'exécution de l'Assistant IIS Lockdown Wizard pour démarrer l'Assistant.
  2. Dans la page d'accueil, lisez le texte d'explication, puis cliquez sur Next.
  3. Dans la page License Agreement (Contrat de licence), lisez le contrat, cliquez sur I Agree (J'accepte), puis sur Next (Suivant).
  4. Dans la page Select Server Template (Sélectionner le modèle de serveur), sélectionnez le modèle qui correspond le mieux au rôle de ce serveur, puis sélectionnez View template settings (Afficher les paramètres du modèle). Les pages qui suivent ont déjà des options sélectionnées d'après le rôle du serveur que vous avez sélectionné au préalable dans la page précédente, vous pouvez donc utiliser toutes les sélections par défaut.

    Si le serveur a plusieurs rôles (par exemple, un serveur Web dynamique qui est également un serveur proxy), sélectionnez Other (Server that does not match any of the listed roles) (Autre (Serveur ne correspondant à aucun des rôles énumérés)) et vérifiez attentivement toutes les options qui sont présentées sur les pages suivantes, parce que les sélections par défaut peuvent ne pas être appropriées pour votre serveur. Une fois que vous avez sélectionné les paramètres adéquats, cliquez sur Next (Suivant).
  5. Dans la page Internet Services, sélectionnez les services que vous souhaitez que votre serveur fournisse. La plupart des serveurs requièrent le service Web. Si vous ne voulez pas que votre serveur fournisse de services FTP (File Transfer Protocol) ou SMTP (Simple Mail Transfer Protocol) (en d'autres termes, transfert de fichier ou services de courrier électronique), vous pouvez désactiver ces options. Notez que vous devez laisser SMTP sélectionné si vous exécutez Exchange ou Small Business Server.

    Les services que vous ne sélectionnez pas sur cette page ont pour valeur Désactivé et ne peuvent pas démarrer. Si vous exécutez l'Assistant Lockdown sur IIS 5.0, vous pouvez également activer Remove unselected services (Supprimer les services sélectionnés), ce qui supprime complètement les services que vous n'avez pas sélectionnés sur votre système. Une fois que vous avez sélectionné les paramètres adéquats, cliquez sur Next (Suivant).
  6. Dans la page Script Maps (Cartes de scripts), désactivez la case à cocher en regard des types de fichier que vous voulez que votre serveur fournisse. Si vous n'êtes pas sûr de ce que vous devez désactiver, vous pouvez chercher dans les répertoires de contenu pour voir si les extensions de nom de fichier existent. Notez que la plupart des serveurs requièrent Active Server Pages (.asp), vous devez donc désactiver cette case à cocher à moins d'être sûr que votre serveur n'utilise pas de page ASP. Cliquez sur Next (Suivant).
  7. Dans la page Additional Security (Sécurité supplémentaire), sélectionnez les répertoires virtuels que vous voulez supprimer de ce serveur. Par défaut, ces répertoires virtuels sont installés avec IIS, ce sont donc des cibles bien connues des agresseurs et vous pouvez vouloir supprimer ces répertoires virtuels ou les renommer sur les ordinateurs de production. Supprimer ces répertoires virtuels de IIS n'a pas pour effet de supprimer les répertoires physiques correspondants sur le disque, ni de vous faire perdre des données en sélectionnant cette option.
  8. Dans la page Additional Security (Sécurité supplémentaire), cliquez pour sélectionner Running system utilities (Exécution des utilitaires système) si vous souhaitez refuser des droits sur les fichiers exécutables dans le répertoire Windows au compte d'invité Internet (par défaut, IUSR_<nom_ordinateur>). Cette option devrait être activée sur la plupart des systèmes.
  9. Dans la page Additional Security (Sécurité Supplémentaire), cliquez pour sélectionner Writing to content directories (Écriture dans les répertoires de contenu) si vous souhaitez refuser les droits en écriture au compte d'invité Internet sur les répertoires qui contiennent votre contenu Web. Assurez-vous de laisser cette option désactivée si vous utilisez les extensions serveur FrontPage sur ce serveur ou si le serveur fonctionne comme un serveur proxy.
  10. Dans la page Additional Security (Sécurité supplémentaire), cliquez pour sélectionner Disable Web Distributed Authoring and Versioning (WebDAV) (Désactiver WebDAV (Web Distributed Authoring and Versioning)) si vous n'utilisez pas WebDAV pour créer et déployer le contenu Web sur ce serveur. Si ce serveur exécute Outlook Web Access (OWA) pour Exchange 2000, laissez cette option désactivée.
    REMARQUE : si vous activez cette option, l'Assistant IIS Lockdown Wizard définit les droits sur la DLL qui implémente la fonctionnalité WebDAV (Httpext.dll) pour refuser l'autorisation d'exécution. Cela peut encore permettre l'exécution de certaines requêtes WebDAV. Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
    307934 Le verrouillage de WebDAV par ACL ne bloque pas les demandes PUT et DELETE
  11. Cliquez sur Next.
  12. Dans la page URLScan, activez l'option pour installer URLScan si vous voulez l'utiliser pour filtrer les requêtes entrantes d'après un ensemble de règles. Si un client essaie de faire une demande qui n'est pas valide selon les règles URLScan, IIS répond avec une erreur 404 Fichier non trouvé et enregistre la demande dans le fichier journal URLScan. Par défaut, ce fichier se trouve dans %WINDIR%\System32\Inetsrv\Urlscan\Urlscan.log.

    Remarque Si vous laissez WebDAV activé dans la page Additional Security (Sécurité supplémentaire) mais que vous décidez d'installer URLScan, notez qu'URLScan bloque les demandes WebDAV par défaut. Vous devez modifier le fichier Urlscan.ini si vous voulez utiliser WebDAV avec URLScan.
  13. Dans la page Ready to Apply Settings (Prêt à appliquer les paramètres), vérifiez les changements qui vont être effectués, puis cliquez sur Next (Suivant).
  14. L'Assistant IIS Lockdown Wizard sauvegarde votre métabase et effectue les changements sélectionnés. Une fois ce processus terminé, cliquez sur View Report (Afficher le rapport) pour visualiser un rapport décrivant les changements effectués par l'Assistant. Cliquez sur Next (Suivant) pour continuer.

    Remarque Vous pouvez consulter le rapport d'installation en ouvrant %WINDIR%\System32\Inetsrv\Oblt-rep.log dans le Bloc-notes.
  15. Cliquez sur Finish (Terminer) pour fermer l'Assistant IIS Lockdown Wizard.
  16. Testez complètement toutes les fonctionnalités de votre serveur. Cette étape est très importante. Si vous découvrez que vous avez accidentellement désactivé une fonctionnalité requise de votre serveur, annulez immédiatement les changements effectués par l'Assistant IIS Lockdown Wizard, puis exécutez à nouveau l'Assistant pour sélectionner les options correctes. Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
    317052 Comment faire pour annuler des modifications apportées par l'Assistant IIS Lockdown Wizard

Configuration de l'outil URLScan

Lorsque vous exécutez l'Assistant IIS Lockdown Wizard, vous pouvez installer URLScan. URLScan est un filtre ISAPI qui bloque les requêtes HTTP d'après un ensemble configurable de règles. Par exemple, vous pouvez configurer URLScan pour bloquer toutes les requêtes pour une certaine extension de nom de fichier, certains verbes HTTP (tels que GET ou POST) ou les requêtes contenant des caractères fréquemment inclus dans les attaques touchant les serveurs Web.

Pour configurer URLScan, utilisez un éditeur de texte, tel que le Bloc-notes, pour modifier le fichier %WINDIR%\System32\Inetsrv\Urlscan\Urlscan.ini. Ce fichier contient des commentaires détaillés expliquant chaque option de configuration. Une fois que vous avez terminé d'éditer le fichier .ini, enregistrez-le et redémarrez IIS.

Pour plus d'informations sur la façon de configurer URLScan, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
312376 Comment faire pour configurer URLScan pour autoriser des demandes avec une extension Null dans IIS
326444 Comment faire pour configurer l'outil URLScan

Résolution des problèmes après avoir exécuté l'Assistant IIS Lockdown Wizard

Le problème le plus courant une fois que vous avez exécuté l'Assistant IIS Lockdown Wizard est de recevoir des messages d'erreur inattendus 404 Fichier non trouvé lorsque vous ouvrez un site sécurisé. Vous pouvez recevoir ces messages d'erreur même pour des fichiers qui existent. Cela se produit lorsqu'un client demande un fichier qui a été bloqué par l'Assistant IIS Lockdown Wizard ou par URLScan. Dans ce cas, IIS déclare que le fichier n'existe pas pour des raisons de sécurité. Si un utilisateur malveillant sait qu'il existe un service vulnérable sur le serveur, mais qu'il est bloqué, l'utilisateur peut toujours trouver un moyen de contourner le blocage et d'exploiter la vulnérabilité ; toutefois, si l'utilisateur pense que le service n'est pas installé, il ne tentera pas de l'exploiter.

Si vous recevez un message d'erreur 404 après avoir exécuté l'Assistant IIS Lockdown Wizard, procédez comme suit pour résoudre le problème :
  1. Vérifiez que le fichier que vous demandez existe sur le serveur. Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
    248033 Causes typiques et résolution du message d'erreur « HTTP 404 - Fichier non trouvé »
  2. Examinez le fichier journal URLScan pour voir si URLScan bloque les requêtes. Ce fichier se trouve dans %WINDIR%\System32\Inetsrv\Urlscan\UrlscanMMDDYY.log (où MMDDYY représente la date du journal). Si vous découvrez que URLScan bloque les requêtes, reportez-vous à la section Configuration de l'outil URLScan pour configurer URLScan de façon à ce qu'il autorise ces requêtes.
  3. Si vous demandez un fichier non HTML, par exemple une page ASP ou un fichier inclus activé côté serveur, vérifiez le mappage d'application pour le type de fichier dans le Gestionnaire des services Internet :
    1. Cliquez avec le bouton droit sur le site Web, puis cliquez sur Propriétés.
    2. Sous l'onglet Répertoire de base, cliquez sur Configuration.
    3. Cliquez sur l'onglet Mappages.
    4. Cliquez sur la ligne qui correspond à l'extension du fichier auquel vous tentez d'accéder.
    5. Si Chemin d'accès de l'exécutable a pour valeur %WINDIR%\System32\Inetsrv\404.dll, cliquez sur Modifier, puis affectez à Chemin d'accès de l'exécutable le chemin d'accès de l'exécutable par défaut pour cette extension de fichier. Si vous n'êtes pas sûr de la valeur par défaut, ouvrez le fichier %WINDIR%\System32\Inetsrv\oblt-log.log créé lorsque vous avez exécuté l'Assistant IIS Lockdown Wizard. Cherchez une ligne qui commence par SMAP suivi de l'extension du nom de fichier. Cette ligne comprend également le chemin exécutable par défaut pour ce type de fichier.
Si vous rencontrez des difficultés avec un service qui dépend d'IIS, tel qu'Exchange ou SharePoint, consultez les articles de la Base de connaissances Microsoft répertoriés dans la section Préparation à l'exécution de l'Assistant IIS Lockdown Wizard.

Vous pouvez également constater que FTP ou SMTP ne fonctionnent pas une fois que vous avez exécuté l'Assistant IIS Lockdown Wizard. Cela se produit si vous avez désactivé ou supprimé ces services. Si vous avez désactivé les services, procédez comme suit pour les ré-activer :
  1. Ouvrez le Panneau de configuration.
  2. Dans Windows NT 4.0, ouvrez l'applet Services. Dans Windows 2000 ou Windows XP, ouvrez le dossier Outils d'administration, puis ouvrez l'applet Services.
  3. Double-cliquez sur Service de publication FTP ou Simple Mail Transfer Protocol (SMTP).
  4. Pour Type de démarrage, sélectionnez Automatique.
  5. Cliquez sur Démarrer si vous voulez que le service démarre immédiatement.
Si vous avez complètement supprimé un de ces services ou les deux en sélectionnant Remove unselected services (Supprimer les services non sélectionnés) lorsque vous avez exécuté l'Assistant IIS Lockdown Wizard dans IIS 5.0, procédez comme suit pour les réinstaller :
  1. Ouvrez le Panneau de configuration.
  2. Ouvrez l'applet Ajout/Suppression de programmes, puis cliquez sur Ajouter/Supprimer des composants Windows dans le volet gauche.
  3. Sélectionnez Internet Information Services (IIS), puis cliquez sur Détails.
  4. Sélectionnez Service FTP (File Transfer Protocol) ou Service SMTP.
  5. Cliquez sur OK, puis sur Suivant. Le ou les services sélectionnés vont être installés. Vous pouvez être invité à insérer votre CD-ROM de Windows .
  6. Assurez-vous que vous appliquez à nouveau le dernier Service Pack Windows et tous les correctifs que vous avez installés.
Si aucune de ces méthodes ne fonctionne, vous pouvez consulter le fichier de rapport de l'Assistant IIS Lockdown Wizard pour voir tous les changements qui ont été effectués par l'outil. Cela peut vous aider à déterminer les changements qui ont causé les problèmes que vous rencontrez. Le fichier de rapport est enregistré sous %WINDIR\System32\Inetsrv\Oblt-rep.log.

Pour plus d'informations sur la façon d'annuler les modifications apportées par l'Assistant IIS Lockdown Wizard, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
317052 Comment faire pour annuler des modifications apportées par l'Assistant IIS Lockdown Wizard

Références

Pour plus d'informations sur l'Assistant IIS Lockdown Wizard et la façon de sécuriser votre serveur IIS, cliquez sur les numéros ci-dessous pour afficher les articles correspondants dans la Base de connaissances Microsoft.
310725 Comment faire pour exécuter l'Assistant IIS Lockdown Wizard sans assistance dans IIS
311350 Comment faire pour créer un type de serveur personnalisé à utiliser avec l'Assistant IIS Lockdown Wizard
282060 Ressources pour sécuriser les services Internet (IIS)

Propriétés

Numéro d'article: 325864 - Dernière mise à jour: jeudi 22 décembre 2005 - Version: 4.2
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Internet Information Services 5.0
  • Microsoft Internet Information Services 5.1
  • Microsoft Internet Information Server 4.0
Mots-clés : 
kbhowtomaster KB325864
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com