Comment faire pour désactiver l’authentification intégrée Windows pour les sites Web qui nécessitent un accès anonyme uniquement


Nous recommandons fortement que tous les utilisateurs se mettent à niveau vers la version 7.0 de Microsoft Internet Information Services (IIS) en cours d'exécution sur Microsoft Windows Server 2008. IIS 7.0 augmente considérablement la sécurité d’infrastructure Web. Pour plus d’informations sur les questions liées à la sécurité IIS, visitez le site Web de Microsoft à l’adresse suivante :Pour plus d’informations sur IIS 7.0, visitez le site Web de Microsoft à l’adresse suivante :

INTRODUCTION


Cet article décrit comment faire pour désactiver l’authentification intégrée de Windows sur les serveurs Microsoft Internet Information Services (IIS) pour les applications qui nécessitent uniquement un accès anonyme, tels que des sites Web Internet et de sites Web. Microsoft recommande de désactiver l’authentification intégrée de Windows lorsque le serveur n’est pas en cours d’utilisation afin de réduire la surface d’attaque du serveur.

Plus d'informations


Cette section explique comment utiliser le Gestionnaire des services IIS et Adsutil.vbs pour désactiver l’authentification intégrée de Windows dans IIS 4.0, 5.0, 5.1 et 6.0.

Comment utiliser le composant logiciel enfichable MMC IIS, le Gestionnaire des Services Internet pour désactiver 5.0 et l’authentification intégrée de Windows dans IIS 4.0

  1. Ouvrez le Gestionnaire des Services Internet.
  2. Dans l’arborescence de la console, cliquez sur le nom du serveur, le répertoire virtuel ou le fichier que vous souhaitez configurer l’authentification pour, puis cliquez sur Propriétés.
  3. Cliquez sur l’onglet Sécurité de répertoire ou Sécurité de fichier , puis cliquez sur Modifier sous le contrôle d’accès et l’authentification anonyme.
  4. Désactivez la case à cocher authentification intégrée Windows , puis cliquez sur OK.
  5. Si la zone Héritages outrepassés s’ouvre, cliquez sur Sélectionner tout, puis cliquez sur OK pour appliquer ces modifications à tous les sous-répertoires qui appartiennent au site ou le répertoire virtuel que vous avez sélectionné.
  6. Cliquez sur OK.

Comment utiliser le composant logiciel enfichable MMC IIS, le Gestionnaire IIS, désactiver 6.0 et l’authentification intégrée de Windows dans IIS 5.1

  1. Ouvrez le Gestionnaire des services IIS ou ajouter le composant logiciel enfichable MMC IIS à une console de gestion existante.
  2. Développez le serveur qui contient le site Web, le répertoire virtuel ou le fichier que vous souhaitez configurer l’authentification pour, puis développez Sites Web.
  3. Dans l’arborescence de la console, cliquez droit sur le site Web, le répertoire virtuel ou le fichier que vous souhaitez configurer l’authentification pour, puis cliquez sur Propriétés.
  4. Cliquez sur l’onglet Sécurité de répertoire ou Sécurité de fichier , puis cliquez sur Modifier sous le contrôle d’accès et l’authentification anonyme.
  5. Désactivez la case à cocher authentification intégrée Windows , puis cliquez sur OK.
  6. Si la zone Héritages outrepassés s’ouvre, cliquez sur Sélectionner tout, puis cliquez sur OK pour appliquer ces modifications à tous les sous-répertoires qui appartiennent au site ou au répertoire virtuel que vous avez sélectionné.
  7. Cliquez sur OK, puis quittez le Gestionnaire des services IIS.

Comment faire pour utiliser le Gestionnaire des Services Internet pour désactiver l’authentification intégrée de Windows dans IIS 7.0

  1. Démarrez le Gestionnaire des Services Internet.
  2. Développez le serveur qui contient le site Web, le répertoire virtuel ou le fichier pour lequel vous souhaitez configurer l’authentification, puis développez Sites.
  3. Dans l’arborescence de la console, cliquez sur le site Web ou le répertoire virtuel pour lequel vous souhaitez configurer l’authentification.
  4. Dans le cadre de la fenêtre Centre, double-cliquez sur l’authentification.
  5. Dans la liste des types d’authentification, cliquez sur Authentification Windows, puis cliquez sur désactiver
  6. Quittez le Gestionnaire des Services Internet.

Comment faire pour utiliser Adsutil.vbs pour désactiver l’authentification intégrée de Windows dans IIS

  1. À l’invite de commande (Cmd.exe), accédez au répertoire C:\Inetpub\Adminscripts. Si l’emplacement du répertoire Inetpub a été changé, recherchez ce chemin d’accès.

    Remarque Dans IIS 4.0, l’emplacement par défaut de Adsutil.vbs est la suivante :
    %<SystemRoot>%\system32\inetsrv\adminsamples
  2. Utilisez la commande suivante pour définir l’authentification Windows intégrée sur False à la racine de w3svc :
    cscript adsutil.vbs set w3svc/authntlm false
  3. Utilisez la commande suivante pour vérifier que le paramètre a été modifié :
    cscript adsutil.vbs get w3svc/authntlm
  4. Utilisez la commande suivante pour déterminer si les nœuds de la métabase supplémentaires qui permettent l’authentification intégrée Windows sont présents :
    cscript adsutil.vbs find w3svc/authntlm
    Si des nœuds sont présent, répétez l’étape 2 à 4 pour chaque nœud pour vous assurer que l’authentification Windows intégrée est désactivée.

Comment utiliser Appcmd.exe pour désactiver l’authentification Windows dans IIS 7.0

  1. À l’invite de commande (Cmd.exe), accédez au répertoire %SystemRoot%\System32\inetsrv.

  2. Utilisez la commande suivante pour définir l’authentification Windows intégrée sur False à la racine de w3svc :

    appcmd.exe définir config /section:windowsAuthentication / enabled : false
  3. Utilisez la commande suivante pour vérifier que le paramètre a été modifié :

    appcmd liste config /section:windowsAuthentication