Sécurité serveurs Windows 2003/2008/2012

Sécurité des Serveurs Windows 2012/2008

Systèmes d’exploitation WindowsIIS8Serveur Web Serveur FTPWebDAVWindows SharePoint ServicePHP avec IIS 8.0ASP.NET

Ivan Madjarov, IUT-R&T, 2005-2014 1 IvMad, 2005-2014

Les objectifs Cette présentation a pour objectif de démontrer la

faisabilité d’une sécurisation des services serveur à partir du kit d'installation de Windows 2012 Server.

Nous nous basons uniquement sur des techniques d'administrations et du bon sens approuvés dans la pratique et largement appliquer par les administrateurs de ce niveau des systèmes.

Nous évitons l'utilisation de logiciels hors Microsoft dans le cadre de ce cours pour assurer un environnement propre lié à la sécurité des accès à un service serveur basé Microsoft.

2

Partie I

Le Système d'Exploitation

3IvMad, 2005-2014 IvMad, 2005-2014

Système d’exploitation Un système d'exploitation est composé : d'un noyau ; de bibliothèques ; d'un ensemble d'outils système ; de programmes

applicatifs de base.

4

IvMad, 2005-2014

Système d’exploitation ‐ noyau Gestion de l'exécution des processus: Gestion de la mémoire pour chaque processus; Ordonnancement des processus (répartition du

temps d'exécution des processeurs); Synchronisation et communication entre processus.

Gestion du temps Partage de la ressource entre processus.

Gestion du systèmes de fichiers; Gestion des protocoles réseau (TCP/IP, IPX, etc.); Gestion des périphériques par des pilotes (drivers).

5 IvMad, 2005-2014

Système d’exploitation ‐ noyau Architecture d'un noyau‐monolithique (Kernel)

6

IvMad, 2005-2014

Systèmes d’exploitation Windows Windows ‐ Live Cycle and Versions

7 IvMad, 2005-2014

Windows 2012 Server Windows Server 2012 est conçu pour aider les

administrateurs système à rationaliser leurs infrastructures.

La nouvelle démarche "IO Model" consiste à : réduire les coûts liés à l’administration des systèmes; augmenter le niveau de sécurité; augmenter le niveau de service; rendre l’infrastructure plus agile.

8

IvMad, 2005-2014

Windows 2012 Server WS 2012 innove sur plusieurs axes : Console Server Manager pour installer, configurer et

administrer les serveurs locaux et distants Option d’installation Server Core qui diminue la surface

exposée aux risques informatiques Hyper‐V 3.0, "hyperviseur" est une architecture qui

héberge des machines virtuelles multiprocesseurs (64bit) Internet Information Server 8.0 (IIS 8) avec fonctions ASP,

ASP.NET et PHP, plus sécurisé et mieux administré. Windows SharePoint Services 3.0 (WSS 3.0) permet de

créer des sites Web spécialisés pour le partage d’informations, de documents ou toutes autres démarches collaboratives.

9

Partie II

Internet Information Server 8.0

(IIS 8.0)

10IvMad, 2005-2014

IvMad, 2005-2014

IIS 8.0 – Les objectifs à atteindre Installer les différentes versions d'IIS selon les

plateformes cibles. Mettre en ligne des sites Web statiques et

dynamiques. Implémenter les mécanismes de sécurité sur les

sites Web. Optimise les fonctionnement d'IIS pour l'utilisation

de Scripting : ASP, PHP, ASP.NET, JSP, CGI Superviser le fonctionnement d'IIS. Sauvegarder et restaurer des serveurs IIS.

11 IvMad, 2005-2014

IIS 8.0 ‐ Architecture Les composants logiciels Windows 2012 Server se

présentent sous deux formes: Le rôle est un service: d'annuaire, de résolution de noms,

d'hébergement Web, de partage de fichiers, de gestion d'imprimantes;

La fonctionnalité offre une option évoluée à un rôle installé.

IIS 8.0 est installé sous la forme d'un rôle auquel on peut ajouter des options: Méthodes d'identification Langages dynamiques Outils d'administration

12

IvMad, 2005-2014

IIS 8.0 ‐ Architecture Sous IIS 8.0, l’ensemble des fonctionnalités est découpé en

modules qui s’intègrent dans une procédure de traitement appelée pipeline.

Il y a la possibilité de chargement ou déchargement des modules fonctionnels selon la demande.

Les avantages de cette architecture sont multiples: Allègement du serveur qui bénéficie ainsi de meilleures

performances. Une personnalisation plus poussée selon les besoins. Une plus grande facilitée à sécuriser le serveur par la

réduction des profils de vulnérabilité. Une maintenance plus facile car seules les mises à jours des

modules activés sont téléchargés et installés.

13 IvMad, 2005-2014

IIS 8.0 – ArchitectureArchitecture interne de l’IIS 8.0 et son implémentation dans le système d’exploitation "Windows 2012 Server"

14

IvMad, 2005-2014

IIS 8.0 – Les modules Développement applicatif Infrastructure de développement et d'hébergement des

applications pour créer des contenus ou pour étendre la fonctionnalité des services

Intégrité et diagnostics Infrastructure pour analyser, gérer et dépanner les

serveurs et les applications Web Sécurité infrastructure pour sécuriser le Serveur Web face aux

utilisateurs et aux requêtes (demandes) Performances infrastructure pour mettre en cache le flux de sortie

15 IvMad, 2005-2014

IIS 8.0 – Les modules Outils de gestion Infrastructure pour gérer un Serveur Web : interface utilisateur (graphique), outils en ligne de commande scripts IIS (XML).

Service de publication FTP Intègre le serveur FTP et la console de gestion FTP.

Service WebDAV (HTTP 1.1) Service ASP.NET

16

IvMad, 2005-2014

IIS 8.0 – La configuration La configuration depuis l'IIS 7.0 et pour l'IIS 8.0 repose

sur une hiérarchie de fichiers XML : applicationHost.config : Un fichier qui contient la

configuration globale côté serveur. web.config : Un fichier qui contient la configuration d’un

site Web défini. L'administration du serveur est améliorée: AppCmd.exe : outil de ligne de commande InetMgr.exe : Interface graphique très complète qui

permet de gérer entièrement le serveur. Les outils d’administration sont accessibles à distance

via une connexion HTTPS/SSL.

17 IvMad, 2005-2014

IIS 8.0 – Le schéma fonctionnel IIS 8.0 est un serveur

sécurisé, fiable et évolutive

WAS gère la configuration du pool d'applications

Worker process exécute les applications Web

IIS protocol adapter reçoit les messages HTTP et lescommunique au WAS

WMSvc permet la gestion àdistance d'un serveur Web

18

IvMad, 2005-2014

Installation de W2012 Serveur Règle générale: Installez le système d’exploitation Windows 2012

Serveur sans aucun service additionnel; Installer ensuite les patches et les mises à jour du

système Windows 2012 Serveur; Arrêtez tous les services qui ne vous servent pas. Désinstallez tous les protocoles réseaux à l'exception

du TCP/IP.

19 IvMad, 2005-2014

Installation de W2012 Serveur Windows Server 2012 Standard (Windows 8 Server) L'installation contient tous les rôles et

fonctionnalités Le système couvre deux processeurs physiques et

gère jusqu'à 640 cœurs et 4 To de mémoire. Il y a une limitation du nombre de licences

concernant la virtualisation: deux machines virtuelles.

Il n'y a pas de limite pour le nombre des machines virtuelles avec la version Datacenter de Windows 2012 Server.

20

IvMad, 2005-2014

Installation de W2012 Serveur Server Core (version minime) : A l'installation de Windows Server 2012, on peut

procéder à une installation Server Core quicomprend une installation de serveur minimale del'ensemble Windows Server 2012.

Avec ce type d'installation, l'interface Windowstraditionnelle n'est pas installée et la configurationse fait à partir de l'invite de commande.

Le rôle de serveur Web est disponible mais certainsmodules tels que le .NET Framework et le codemanagé ne le sont pas. La version "Hyper‐V 3.0" est la plus complète

21 IvMad, 2005-2014

Installation de W8 Serveur (1)

Configuration minimum: Processeur: 1.4GHz 64‐bit RAM: 512Mo HDD: 32Go

Sélectionner la langue par défaut:

22

IvMad, 2005-2014


23

Cliquez sur "Install now"

Entrez le numéro de série

IvMad, 2005-2014


24

Sélectionnez Windows Server 2012 Server with a GUI et cliquez sur "Next"

Acceptez les termes de la licence et

cliquez sur "Next"

IvMad, 2005-2014


25

Sélectionnez le type d’installation

Sélectionnez le disque et la partition sur lesquels installer le système (minimum 32 Go) puis cliquez sur

"Next"

IvMad, 2005-2014


26

On peut suivre le déroulement de l'installation

Définir le mot de passe de

l'Administrateur

IvMad, 2005-2014


27

L'installation terminée, on peut ouvrir une session avec Ctrl+Alt+Del

Identification pour une session

Administrateur

IvMad, 2005-2014


28

Le Server Manager du W8 Server:

On défini les rôles et les fonctionnalités; activer ou désactiver

On peut définir le nom et le domaine éventuel du serveur. Définissez ensuite l’adresse (ou les adresses) IP de votre serveur

Pour installer un rôle:Gérer‐>Ajouter des

rôles et fonctionnalités

IvMad, 2005-2014

Installation de IIS 8.0 Gérer‐>Ajouter des rôles et fonctionnalités

29 IvMad, 2005-2014

Installation de IIS 8.0 Gérer‐>Ajouter des rôles et fonctionnalités

30

IvMad, 2005-2014

Installation de IIS 8.0Sélectionner le serveur qui va abriter le rôle et les fonctionnalités

31 IvMad, 2005-2014

Installation de IIS 8.0Rôle de serveurs ‐> Serveur Web (IIS)

32

IvMad, 2005-2014

Installation de IIS 8.0

33 IvMad, 2005-2014


34

IvMad, 2005-2014


35 IvMad, 2005-2014

Démarrage de IIS 8.0

36

Le serveur Web répond en local à l’URL: http://localhost

IvMad, 2005-2014

Installation de IIS 8.0 par cmdlets Installation et suppression des rôles et des

fonctionnalités à l'aide des cmdlets de PowerShell Get‐WindowsFeature : liste l'ensemble des rôles et

fonctionnalités de Windows Server 2012.

37 IvMad, 2005-2014

Installation de IIS 8.0 par cmdlets On peut obtenir la liste des composants installés dans le

PowerShell par la commande : (on importe en premier le ServerManager)>Import‐Module ServerManager>Get‐WindowsFeature | Select‐Object Name, InstallState | Select‐String ‐Pattern "Installed"

38

IvMad, 2005-2014

Installation de IIS 8.0 par cmdlets On peut ajouter par la ligne de commande du

PowerShell des rôles, des services et des fonctionnalités :ps> Import‐Module ServerManagerps> Add‐WindowsFeature Web‐Server, Web‐WebServer, Web‐Common‐Http, Web‐Static‐Content, Web‐Default‐Doc, Web‐Http‐Errors, Web‐Dir‐Browsing, Web‐Health, Web‐Http‐Logging, Web‐Performance, Web‐Stat‐Compression, Web‐Security, Web‐Filtering, Web‐Mgmt‐Tools, Web‐Mgmt‐Console

39 IvMad, 2005-2014

Installation de IIS 8.0 par cmdlets On peut supprimer de la liste à l'aide de cmdlets

PowerShell des packages déjà installés :ps> Import‐Module ServerManagerps> Remove‐WindowsFeature Web‐Server ‐Restart

Le commutateur ‐Restart permet de redémarrer automatiquement le serveur à l'issue de l'opération

cmdlets : scripts exécuté sur la ligne de commande PowerShell.

40

IvMad, 2005-2014

Installation de IIS 8.0 avec dism Dans le contexte où il n'est pas possible d'utiliser

PowerShell, l'installation des composants IIS peut s'appuyer sur l'outil dism.exe.

L'utilisation de cet outil se base sur des commutateurs pour afficher, par exemple, la liste des rôles, services et fonctionnalités: dism /online / get‐features

Pour lancer l'installation du rôles IIS : dism /online /enable‐feature /all /featurename:IIS‐

WebServer

Ensuite, pour installer un service pour ce rôle : dism /online /enable‐feature /all /featurename:IIS‐

ASPNET

41 IvMad, 2005-2014

Installation automatisée de IIS (1)

Certain organisme installe un nombre conséquent de IIS serveurs en diverses localisations ou filères.

Windows 2008/2012 Serveur propose Windows Deployment Services (WDS) pour un déploiement automatisé des technologies serveur.

IIS 7.0 ou IIS 8.0 peut être entièrement installé à partir de la ligne de commande à l’aide de l’outil :start /w pkgmgr.exe /iu:update1;update2…

Un minimum du rôle serveur Web:start /w pkgmgr /iu:IIS‐WebServerRole;WAS‐WindowsActivationService;WAS‐ProcessModel;WAS‐NetFxEnvironment;WAS‐ConfigurationAPI

42

IvMad, 2005-2014


Une installation complète demande le script :start /w pkgmgr /iu:IIS‐WebServerRole;IIS‐WebServer;IIS‐CommonHttpFeatures;IIS‐StaticContent;IIS‐DefaultDocument;IIS‐DirectoryBrowsing;IIS‐HttpErrors;IIS‐HttpRedirect;IIS‐ApplicationDevelopment; IIS‐ASPNET;IIS‐NetFxExtensibility;IIS‐ASP;IIS‐CGI;IIS‐ISAPIExtensions;IIS‐ISAPIFilter;IIS‐ServerSideIncludes;IIS‐HealthAndDiagnostics;IIS‐HttpLogging;IIS‐LoggingLibraries;IIS‐RequestMonitor;IIS‐HttpTracing;IIS‐CustomLogging;IIS‐ODBCLogging;IIS‐Security;IIS‐BasicAuthentication;IIS‐WindowsAuthentication;IIS‐DigestAuthentication; IIS‐ClientCertificateMappingAuthentication; IIS‐IISCertificateMappingAuthentication;IIS‐URLAuthorization;IIS‐RequestFiltering;IIS‐IPSecurity;IIS‐Performance;IIS‐HttpCompressionStatic;IIS‐HttpCompressionDynamic;IIS‐WebServerManagementTools;IIS‐ManagementConsole;IIS‐ManagementScriptingTools;IIS‐ManagementService;IIS‐IIS6ManagementCompatibility;IIS‐Metabase;IIS‐WMICompatibility;IIS‐LegacyScripts;IIS‐LegacySnapIn;IIS‐FTPPublishingService;IIS‐FTPServer;IIS‐FTPManagement;WAS‐WindowsActivationService;WAS‐ProcessModel;WAS‐NetFxEnvironment;WAS‐ConfigurationAPI

43 IvMad, 2005-2014


Une interface XML est également proposée :start /w pkgmgr /n:{unattend XML}

Le fichier XML contient le script de l’installation minime:<?xml version=”1.0” ?><unattend xmlns=”urn:schemas‐microsoft‐com:unattend” xmlns:wcm=http://schemas.microsoft.com/WMIConfig/2002/State><servicing><package action=”configure”><assembly Identity name=”Microsoft‐Windows‐Foundation‐Package” version=”6.0.5308.6” language=”neutral” processorArchitecture=”x86” publicKeyToken=”31bf3856ad364e35”versionScope=”nonSxS”/><selection name=”IIS‐WebServerRole” state=”true”/><selection name=”WAS‐WindowsActivationService” state=”true”/><selection name=”WAS‐ProcessModel” state=”true”/><selection name=”WAS‐NetFxEnvironment” state=”true”/><selection name=”WAS‐ConfigurationAPI” state=”true”/></package>

44

IvMad, 2005-2014

Configuration de l'IIS 8.0

45

Pour configurer IIS 8.0 il faut lancer le "Gestionnaire des services Internet"

1. Gestionnaire de serveur

2. Rôles3. Serveur Web4. Gestionnaire

des services5. Sites6. Site par défaut

IvMad, 2005-2014


46

IvMad, 2005-2014


47

inetmgr.exe : Outil d’administration accessible et à distance par protocole sécurisé (HTTP et HTTPS)

IvMad, 2005-2014

Configuration de IIS 8.0 Approche générale de sécurité : Fermer la connexion Internet à l’installation des

services IIS; Télécharger la dernière version des Service Pack et

les Patchs pour IIS; Activer Automatic Update pour le système

d’exploitation; Désactiver l’accès Internet pour le site Web par

défaut (default Web site) : Pour faire ça, il suffi d’associé le site par défaut à l’adresse

127.0.0.1. L’accès au site par défaut reste disponible uniquement par le navigateur de la machine locale.

48

IvMad, 2005-2014

Création d'un site Web

Clique droit de la souris sur "Sites" et choisir"Ajouter un site Web"

49 IvMad, 2005-2014

Configurer le nouveau site Web

Nom d’accès au site par un navigateur

Adresse absolue sur unité physique différente du SE.C'est règle de sécurité simple et efficace

Accessibilité: protocole et port, ainsi que le nom de la machine hébergeur

50

IvMad, 2005-2014

Accéder au nouveau site Web<html><head><title>Site MMG</title></head><body><h1 align="center">Mon site Web MMG</h1></body></html>

Enregistré sous index.htmdans le répertoired:\siteweb\

51 IvMad, 2005-2014

Ajouter un répertoire virtuel Sécurité accrue par le détachement des URLs des chemins

d’accès physiques du site.Clique droit de la souris sur le nom du site (MonSiteWeb) pour ouvrir le menu déroulant et "Ajouter un répertoire virtuel"

52

IvMad, 2005-2014

Gérer un répertoire virtuel Si on souhaite autoriser l'affichage du contenu d'un répertoire

accessible par le site Web et le protocole HTTP :

53 IvMad, 2005-2014

Gérer un répertoire virtuel Ouvrir la fonctionnalité "Exploration de répertoire" et

"Activer" ou "Désactiver" la fonctionnalité :

54

IvMad, 2005-2014

Ajouter un répertoire virtuel L’alias du répertoire virtuel est substitué par son accès absolu

à travers le URL sur le serveur en affichant la page associée.

55 IvMad, 2005-2014

Manager IIS 8.0 avec AppCmd.exe AppCmd.exe est un outil de ligne de commande

pour configurer et interroger des objets sur le serveur Web.

Le résultat retourné est sous forme de texte ou XML. Les tâches à effectuer sont : Créer et configurer des sites, applications, pools

d'applications et répertoires virtuels. Démarrer et arrêter des sites Web. Démarrer, arrêter et recycler des pools

d'applications. Afficher des informations sur les processus actifs et

les requêtes en cours sur le serveur Web.56

IvMad, 2005-2014

Manager IIS 8.0 avec AppCmd.exe Démarrer AppCmd.exe avec droit d’administrateur :

Accéder au répertoire

Activer l’outil

StartStopListAddDeleteset

57 IvMad, 2005-2014

Manager IIS 8.0 avec AppCmd.exe Syntaxe de la commande APPCMD:

APPCMD (command) (objet‐type) <identifier></parameter:value1 …>

Chaque objet‐type possède ses propres commandes:

58

IvMad, 2005-2014

Manager IIS 8.0 avec AppCmd.exe Pour chaque commande d’un objet‐type on peut

obtenir ses propres commandes:

59 IvMad, 2005-2014

Manager IIS 8.0 avec AppCmd.exe Démarrer ou arrêter un site Web dont on ne

connait pas apriori le nom. appcmd list sites : affiche la liste des sites installés

sur le serveur. appcmd stop sites "Default Web Site" : arête

le site nommé "Default Web Site".

60

IvMad, 2005-2014

Manager IIS 8.0 avec AppCmd.exe Ajouter un nouveau site au serveur Web :

appcmd add site /name: string /id: int /physicalPath: string /bindings: string /name : nom du site /id : identificateur du site /physicalPath : chemin d’accès absolu au site /bindings : protocol/IP_address:port:host_header

61 IvMad, 2005-2014

Manager IIS 8.0 avec AppCmd.exe Ajouter un nouveau site au serveur Web avec un accès

virtuel pour tout le monde par le nom du site sur le port 80 vers un chemin d’accès absolu:> APPCMD add site /name:monSiteTest /id:3 /bindings:http/*:81: /physicalPath:C:\IvMad\SiteWeb\monSiteTest

62

IvMad, 2005-2014

Manager IIS avec AppCmd.exe L’outil AppCmd peut générer des sorties XML:

>AppCmd List Sites /XML

63 IvMad, 2005-2014

Manager IIS 8.0 avec AppCmd.exe config des sites dans le fichier applicationHost.config

64

IvMad, 2005-2014

Manager IIS 8.0 avec AppCmd.exe Faire une sauvegarde de la configuration : Pour créer une nouvelle sauvegarde de la

configuration nommée par exemple "Backup_1", taper la commande :

appcmd add backup "Backup_1«

La sauvegarde est créé dans le dossier "inetsrv/backup" :

65 IvMad, 2005-2014

Manager IIS 8.0 avec AppCmd.exe Pour lister les sauvegardes existantes :

appcmd list backup

Pour restaurer la sauvegarde nommée "Backup_1" : appcmd restore backup "Backup_1"

66

IvMad, 2005-2014

IIS 8.0 Journalisation (logs) La journalisation sous IIS8 permet de mettre en

place un suivi des activités sur le serveur. Chaque requête envoyée au serveur est alors

enregistrée dans un fichier log dans un format choisi.

La journalisation est séparée pour les accès HTTP et FTP sur le serveur.

Le contenu de la journalisation est paramétrable: Client IP adresse; User name; Date; Time; Service; Server

name; Server IP adresse; Time taken; Client bytes sent; Server bytes sent; Service status code; Windows statuscode; Request type; Target; Parameters.

67 IvMad, 2005-2014

IIS 8.0 la journalisation (log)

68

IvMad, 2005-2014

IIS 8.0 la journalisation (log)

69

Confirmez par le bouton "Appliquer"

IvMad, 2005-2014

IIS 8.0 la journalisation (log) Un requête correcte

Une recherche de vulnérabilité

70

#Software: Microsoft Internet Information Services 8.0#Version: 1.0#Date: 2014‐02‐12 09:32:37#Fields: date time s‐ip cs‐method cs‐uri‐stem cs‐uri‐query s‐port cs‐username c‐ipcs(User‐Agent) cs(Referer) sc‐status sc‐substatus sc‐win32‐status time‐taken2014‐02‐12 09:32:37 139.124.38.134 HEAD / ‐ 80 ‐ 72.129.200.245 ‐ ‐ 200 0 64 3622014‐02‐12 09:34:25 139.124.38.134 HEAD / ‐ 80 ‐ 182.52.105.243 ‐ ‐ 200 0 0 343

#Software: Microsoft Internet Information Services 8.0#Version: 1.0#Date: 2014‐02‐12 09:52:00#Fields: date time s‐ip cs‐method cs‐uri‐stem cs‐uri‐query s‐port cs‐username c‐ip cs(User‐Agent) cs(Referer) sc‐status sc‐substatus sc‐win32‐status time‐taken2014‐02‐12 09:52:00 139.124.38.134 GET /phpTest/zologize/axa.php ‐ 80 ‐ 95.173.169.53 ‐ ‐ 404 0 2 952014‐02‐12 09:52:00 139.124.38.134 GET /phpMyAdmin/scripts/setup.php ‐ 80 ‐ 95.173.169.53 ‐ ‐ 404 0 2 782014‐02‐12 09:52:00 139.124.38.134 GET /pma/scripts/setup.php ‐ 80 ‐ 95.173.169.53 ‐ ‐ 404 0 2 782014‐02‐12 09:52:00 139.124.38.134 GET /myadmin/scripts/setup.php ‐ 80 ‐ 95.173.169.53 ‐ ‐ 404 0 2 78

IvMad, 2005-2014

IIS 8.0 un accès sécurisé (HTTPS) Pour mettre en place la sécurité sur un site il faut lui

ajouter un accès en HTTPS (HyperText Transfer Protocol Secured ‐ port 443 par défaut) en utilisant des certificats. installer une autorité de certification générer des certificats pour utiliser le protocole

HTTPS via SSL (Secure Socket Layer) Un certificat permet de garantir que l'émetteur est

bien celui qu'il prétend être. On peut aussi restreindre l'accès à certains

utilisateurs.

71 IvMad, 2005-2014

IIS 8.0 un accès sécurisé (HTTPS) Pour installer une autorité de certification, il faut ajouter un

rôle à partir du "Server Manager".

72

IvMad, 2005-2014

IIS 8.0 un accès sécurisé (HTTPS) L'assistant lance le Services de rôle et il faut choisir :

73 IvMad, 2005-2014

IIS 8.0 un accès sécurisé (HTTPS)

74

IvMad, 2005-2014


75 IvMad, 2005-2014


76

IvMad, 2005-2014


77 IvMad, 2005-2014


78

IvMad, 2005-2014


79 IvMad, 2005-2014


80

IvMad, 2005-2014


81 IvMad, 2005-2014


82

IvMad, 2005-2014


83 IvMad, 2005-2014


84

IvMad, 2005-2014


85 IvMad, 2005-2014


86

IvMad, 2005-2014


87 IvMad, 2005-2014


88

IvMad, 2005-2014


89

Indiquer le nom de fichier pour la

demande de certificat

IvMad, 2005-2014


90

Le certificat dans le fichier

CertWebRequest.txt

IvMad, 2005-2014

Configuration de HTTPS via SSL Le pas suivant est de générer un certificat auto‐signé

pour utiliser SSL. Pour cela, il faut aller dans l'assistant d'IIS7/IIS8 et ouvrir "Certificats de serveur".

91 IvMad, 2005-2014

Configuration de HTTPS via SSL On sélectionne dans le menu de droite "Créer un

certificat auto‐signé".

92

IvMad, 2005-2014

Configuration de HTTPS via SSL Nommer le certificat et on valide :

93 IvMad, 2005-2014

Configuration de HTTPS via SSL Le certificat apparait désormais dans la liste des

certificats d'IIS. On va maintenant pouvoir associer HTTPS à notre site

Web. Pour cela, clic droit sur notre site puis "Edit Binding".

Une fenêtre apparait nous spécifiant que ce site est déjà associé au protocole HTTP. Cliquez sur "Ajouter" pour lui associer HTTPS.

Il est désormais possible de choisir un certificat pour utiliser le protocole SSL pour crypter le transfert des données entre l'utilisateur et le serveur.

94

IvMad, 2005-2014

Configuration de HTTPS via SSL Ainsi, le résultat est visible à l’écran suivant. Il reste à

confirmer les informations choisies.

95 IvMad, 2005-2014

Configuration de HTTPS via SSL Pour configurer le protocole SSL sur le site Web il faut

choisir dans l'assistant d'IIS7.0 "SSL Settings". Modifier les paramètres SSL dans la fenêtre :

96

IvMad, 2005-2014

Test sur les clients (HTTPS via SSL) Lorsque l'on accède à l'adresse https://localhost/, le

navigateur nous demande si on souhaite faire confiance au certificat du site émetteur.

97 IvMad, 2005-2014

Test sur les clients (HTTPS via SSL) Si on continue, on arrive sur le site mais l'adresse est

surlignée en rouge :

98

IvMad, 2005-2014

Test sur les clients (HTTPS via SSL) Le code minimal pour une page Web, enregistrée

dans un fichier HTML nommé index.htm<html><head><title>Site MMG</title></head><body><h1 align="center">Mon site Web MMG</h1></body></html>

99 IvMad, 2005-2014

Internet Information Services 8.0 "PowerShell" avec 50 nouvelles cmdlets "Database Manager" pour "SQL Server management"

intégré dans "IIS Manager" "Configuration Editor" qui à travers un GUI génère des

scripts pour l'automatisation de certains tâches "Web Deployment Tool" pour le déploiement ou la

migration de sites Web, applications ou serveurs "WebDav" intégré nativement "URLScan" filtre nativement les requetés HTTP "FTP server services" avec ".NET XML‐based *.config" ".NET Framework" intégré dans "Server Core"

100

Sécurité des Serveurs Windows 2012

Serveur FTP 8.0WebDAV 8.0PHP avec IIS 8.0 Windows SharePoint Service

Ivan Madjarov, IUT-R&T, 2014 IvMad, 2014

Les objectifs Cette présentation a pour objectif de démontrer

qu'on peut arriver à sécuriser les services serveur disponibles à partir du kit d'installation de Windows 2008 Serveur.

Nous nous basons uniquement sur des techniques d'administrations et du bon sens approuvés dans la pratique et largement appliquer par les administrateurs de ce niveau de systèmes.


2

Partie IV

Serveur FTP (File Transfert Protocol)

Ivan Madjarov, IUT‐R&T, 2014 IvMad, 2014

FTP Installation Un serveur FTP sert à partager des fichiers entre

utilisateurs. Installation du serveur FTP pour IIS 8.0 Gestionnaire de serveur Gérer ‐> Ajouter des rôles et fonctionnalités La page "Avant de commencer" on click "Suivant" La page "Type d'installation" on choisi "Installation basée

sur un rôle ou une fonctionnalité" La page "Sélection du serveur" et on click "Suivant"

4

IvMad, 2014

FTP Installation

5 IvMad, 2014

FTP Installation

6

IvMad, 2014

FTP Installation

7 IvMad, 2014

FTP Installation

8

IvMad, 2014

FTP Installation

9 IvMad, 2014

FTP Configuration Il faut créer un dossier pour le partage du service FTP

avec un seul accès administrateur. On peut aussi se servir de la ligne de commande pour aller plus vite :mkdir "c:\inetpub\ftproot\noroute.monftp.eu"cacls "c:\inetpub\ftproot\noroute.monftp.eu" /G Administrateur:F /T /E

Pour modifier les attributs d'accès d'un utilisateur ou dossier on peut se servir de la ligne de commande avec "calcs" ou "icalcs". cacls "c:\inetpub\ftproot\noroute.monftp.eu" /G username:F /T /E

10

IvMad, 2014

FTP Configuration

11 IvMad, 2014

FTP Création d'un certificat Dans le "Gestionnaire des services Internet" on

sélectionne les "Certificats de serveur".

12

IvMad, 2014

FTP Création d'un certificat Pour créer un "Certificat auto‐signé".

13 IvMad, 2014

FTP Configuration L'espace FTP On crée un répertoire "pub" dans le chemin d'accès :

"C:\inetpub\ftproot\pub" L'espace FTP de dépôt de fichiers se crée à partir de

l'outils d’Administration de l'IIS. D'un clique droit de la souris sur le "Sites" on peut

ajouter un ou plusieurs sites FTP :

14

IvMad, 2014

FTP Configuration L’assistant de création d'un site FTP demande des

informations sur le nom du site et son accès physique.

15 IvMad, 2014

FTP Configuration Il faut configurer l’accès au site FTP puis définir les

paramètres SSL en choisissant un certificat :

16

IvMad, 2014

FTP Configuration Possibilités de choix d'authentification "anonyme" – accès publique "de base" – accès restreint aux comptes "Active Directory"

17 IvMad, 2014

FTP Configuration Après le bouton "Terminer" on obtient dans l'espace

administrateur de IIS7 :

18

IvMad, 2014

FTP client et test Pour effectuer le test on a besoin d'un client FTP (FileZilla,

par exemple) qui faut le configurer pour une connexion TLS/SSL avec le serveur FTP et le site.

19 IvMad, 2014

FTP client et test A la connexion réussie il faut accepter le certificat :

20

IvMad, 2014

FTP client et test Le contenu du répertoire est listé à présent :

21 IvMad, 2014

FTP Création automatique Dans certains cas l'installation automatique du serveur

FTP et la création aussi automatique de sites FTP peut s'avérer indispensable. Installation automatique :

cmd /c "pkgmgr /iu:IIS‐FTPSvc;IIS‐FTPExtensibility" Création automatique d'un site FTP par un script : L'accès au site est contrôlé par "Authentification de base"; Les droits "read" et "write" sont attribués au dossier

"ftproot"; Le site bloque l'accès "anonymous"; La connexion SSL n'est pas demandée, ainsi les clients se

connectent sur un canal non crypté. Suite …

22

IvMad, 2014

FTP Création automatique cd %windir%\system32\inetsrv REM ftproot is the location of the ftp data directory set ftproot=%systemdrive%\inetpub\ftproot REM ftpsite is the name of the ftp site set ftpsite="ftp site" if not exist “%ftproot%” (mkdir "%ftproot%") cacls "%ftproot%" /G IUSR:W /T /E appcmd add site /name:%ftpsite% /bindings:ftp://*:21

/physicalpath:"%ftproot%" appcmd set config ‐section:system.applicationHost/sites

[name='%ftpsite%'].ftpServer.security.ssl.controlChannelPolicy:"SslAllow" appcmd set config ‐section:system.applicationHost/sites

/[name='%ftpsite%'].ftpServer.security.ssl.dataChannelPolicy:"SslAllow" appcmd set config ‐section:system.applicationHost/sites /[name='%ftpsite%'].

ftpServer.security.authentication.basicAuthentication.enabled:true appcmd set config %ftpsite% /section:system.ftpserver/security/authorization

/+[accessType='Allow',permissions='Read,Write',roles='',users='*'] /commit:apphost

23 IvMad, 2014

FTP Virtualisation Sécuriser d'avantage le site FTP en ajoutant des

répertoires virtuels aux points sensibles :

24

IvMad, 2014

FTP Virtualisation Le répertoire virtuels est assigné par un alias qui est

confondu sur le serveur au moment de la connexion avec l'accès physique sur une partition:

25 IvMad, 2014

FTP Virtualisation La présence du répertoire virtuel est signalé dans la

fenêtre du Gestionnaire des services Internet :

26

IvMad, 2014

FTP Client et test L'accès client ajuste le dossier distant par défaut :

27 IvMad, 2014

FTP Client et test Accès au dossier résolu :

28

IvMad, 2014

FTP ‐ la journalisation (logs) Ouvrez le Gestionnaire des services Internet. Dans le volet Connexions, sélectionnez le niveau serveur ou

site. Dans Affichage des fonctionnalités, double‐cliquez sur l'icône

Journalisation FTP. Dans le menu Un fichier journal par, sélectionnez Site ou

Serveur. Dans Fichier journal, cliquez sur Sélectionner des champs

W3C et sélectionnez les informations à journaliser. Dans Répertoire, tapez le chemin du dossier de base dans

lequel vous voulez stocker les fichiers journaux FTP ou cliquez sur le bouton Parcourir pour naviguer jusqu'au dossier de base.

29 IvMad, 2014

FTP ‐ la journalisation (logs) Dans Encodage, sélectionnez UTF8 ou ANSI. Dans Substitution de fichier journal, sélectionnez la façon

dont FTP crée les fichiers journaux dans la liste suivante : Planification : sélectionnez Toutes les heures, Tous les jours,

Toutes les semaines ou Tous les mois pour créer les fichiers journaux à des intervalles fixes.

Taille de fichier maximale (en octets) : entrez un entier positif pour créer de nouveaux fichiers journaux lorsque la taille de fichier dépasse le nombre d'octets indiqué.

Cochez la case Utiliser l'heure locale pour la désignation et la substitution du fichier pour spécifier que l'heure locale et non l'heure universelle coordonnée (UTC) est utilisée pour la désignation et la substitution du fichier journal.

30

Partie V

Serveur WebDAV 8

(partage de fichiers via le Web)

Ivan Madjarov, IUT‐R&T, 2005‐2014 IvMad, 2014 32

Partage WebDAV WebDAV (Web‐based Distributed Authoring and

Versioning) est une extension du protocole HTTP/1.1 WebDAV utilise le port 80. Facilite la publication des pages sur un site Web (IE

5.x‐8x, MS Office de XP à 2013). Développement en collaboration entre plusieurs

auteurs. Peut remplacer le protocole FTP, car plus sécurisé et

plus fonctionnel. Peut jouer le rôle de serveur de fichiers.

IvMad, 2014 33

Partage WebDAV Pour installer et activer le WebDAV dans Microsoft

Windows 2012 Server, procédez comme suit : Dans Assistant "Ajout de rôles et de fonctionnalités",

cliquez sur "Installation basée sur un rôle ou une fonctionnalité", puis sur "Suivant".

Sélectionnez votre serveur et cliquez sur "Suivant". Développez Serveur Web (IIS) > Serveur Web >

Fonctionnalités HTTP communes, puis sélectionnez Publication WebDAV.

Cliquez sur Suivant > Suivant, puis sur Installer.

IvMad, 2014 34

Partage WebDAV

IvMad, 2014 35

Partage WebDAV

IvMad, 2014 36

Partage WebDAV

IvMad, 2014 37

Partage WebDAV

IvMad, 2014 38

Partage WebDAV Installation Sous Connexions, développez votre serveur Web,

puis Sites et sélectionnez votre site Web. Cliquez deux fois sur Règles de création WebDAV. Cliquez sur Activer WebDAV. Cliquez sur Paramètres WebDAV. Si l'accès anonyme est activé, sélectionnez True pour

Autoriser les requêtes de propriété anonymes et cliquez sur Appliquer.

Sélectionnez le répertoire ou le répertoire virtuel auquel vous souhaitez autoriser l'accès à WebDAV.

Cliquez deux fois sur Règles de création WebDAV.

IvMad, 2014 39

Partage WebDAV Installation Cliquez sur Ajouter une règle de création et ajoutez les

règles appropriées pour votre environnement. Cliquez avec le bouton droit de la souris sur le répertoire

ou le répertoire virtuel dans lequel vous avez ajouté des règles de création et cliquez sur Modifier les autorisations.

Cliquez sur Sécurité et ajoutez les droits d'accès appropriés. Par exemple, si vous autorisez l'accès anonyme à votre serveur Web, ajoutez des droits d'accès pour l'utilisateur à accès anonyme. Vous pouvez trouver cet utilisateur en sélectionnant le site Web, en cliquant deux fois sur Authentification et en affichant les propriétés pour les utilisateurs affichés.

IvMad, 2014 40

Partage WebDAV Installation On voit apparaître un nouvel icône dans l’assistant

de IIS7 et IIS8 :

IvMad, 2014 41

WebDAV 8 Configuration Pour activer WebDAV, cliquez sur

"Règles de création WebDAV" :

IvMad, 2014 42

WebDAV 8 Configuration Dans le gestionnaire des services Internet "Activer

WebDAV" ou "Désactiver WebDAV":

IvMad, 2014 43

WebDAV 8 Configuration WebDAV est maintenant activée. Il faut configurer les autorisations pour accéder au

partage des fichiers. Pour cela, cliquez dans le menu de droite sur

"Ajouter une règle de création". La fenêtre suivante permet de configurer une règle

WebDAV. Le premier onglet permet de définir les fichiers accessibles via

WebDAV. Le second onglet permet de définir les utilisateurs pouvant

accéder au WebDAV. Le dernier onglet permet de définir les permissions des

utilisateurs. IvMad, 2014 44

WebDAV 8 Configuration Les droits sont attribués à l’utilisateur "IvMad" ou à "Tous les

utilisateurs" et ils peuvent accéder à tous les types de fichiers présents sur le serveur :

IvMad, 2014 45

WebDAV 8 Configuration Les données sont désormais présentes sur la console de IIS

IvMad, 2014 46

WebDAV 8 Configuration WebDAV utilise le mode d’authentification "Authentification Windows" : utilise le login et mot de

passe de connexion Windows) "Authentification de base" : Authentification via une pop‐

up couplé avec SSL. La configuration du mode d’authentification est accessible

par l’assistant d’IIS7 et dans "Authentification"

IvMad, 2014 47

WebDAV 8 Configuration Il suffit d’activer le module souhaité par une sélection :

"Activer" ou "Désactiver".

Ainsi, on n’autorise que les utilisateurs authentifiés et non les utilisateurs anonymes

IvMad, 2014 48

WebDAV 8 Test Pour faire le test il nous faut un client. On peut utiliser

un Windows 7 qui se connecte au serveur via l’utilisateur "Administrateur".

Pour accélérer la connexion on peut définir par la commande :net use Lecteur: URLainsi, on crée un lecteur réseau qui pointe vers le répertoire configuré WebDAV.

IvMad, 2014 49

WebDAV 8 Test Le gestionnaire de fichiers sous Windows 7 contient

désormais un lecteur réseau sur Z: Partie IV

Windows SharePoint Services

Ivan Madjarov, IUT‐R&T, 2010

IvMad, 2014

Windows SharePoint Services WSS est natif pour W2008SRV. WSS est un moteur de "groupware" offrant des

fonctionnalités de portail Web et d'Intranet Au travers d'un site WSS on peut gérer un planning, ou

gérer les différentes versions d'un document. Les services SharePoint sont utilisés par les applications

de portail Web Microsoft Office SharePoint Portal Server Microsoft Office Project Server.

WSS est lié à une BD référentiel de toutes les données : BD de configuration les données de contenu.

51 IvMad, 2014

Windows SharePoint Services Les sites WSS reposent sur la technologie ASP.NET et

doivent être hébergés via le serveur Web de IIS. Le stockage des informations est confié à une BD

Microsoft SQL Server. L'authentification peut être basé soit sur: un annuaire Active Directory, un annuaire LDAP, une authentification dite "Forms" basée sur des

providers ASP.NET L'interface utilisateur exploite des fonctionnalités

spécifiques à Internet Explorer (ActiveX, Javascript et HTML).

52

IvMad, 2014

Windows SharePoint Services 20 modèles d'application d'administrateur de serveur

de WSS 3.0 sont disponibles à téléchargement

Les modèles compris dans ce téléchargement sont les suivants: Gestion des demandes de congé et de la planification des

absences Budgétisation et suivi de plusieurs projets Centre d'appels Gestion des demandes de modification Gestion des contacts Révision et bibliothèque de documents Planification d'événements

53 IvMad, 2014

Windows SharePoint Services Site d'approbation et de remboursement des dépenses Service d'assistance Suivi du stock Espace de travail de l'équipe informatique Gestion des entretiens et des offres d'emploi Base de connaissances Bibliothèque de prêt Gestion et suivi des biens physiques Espace de travail de suivi de projet Réservations d'équipement et de salles Pipeline de prospect

54

IvMad, 2014

Serveur Web: "Valk" Le cours est disponible à l'adresse:

http://valk.iut‐gtr.univ‐mrs.fr/IIS

55

Sécurité des Serveurs Windows 2008/2003

Systèmes d’exploitation WindowsIIS 7.0 / IIS 6.0Serveur Web Serveur FTPWebDAVWindows SharePoint ServicePHP avec IIS 7.0ASP.NET

Ivan Madjarov, IUT-R&T, 2005-2012 1 IvMad, 2005-2012

Les objectifs Cette présentation a pour objectif de démontrer la

faisabilité d’une sécurisation des services serveur à partir du kit d'installation de Windows 2008 Server.

Nous nous basons uniquement sur des techniques d'administrations et du bon sens approuvés dans la pratique et largement appliquer par les administrateurs de ce niveau des systèmes.


2

Partie I

Le Système d'Exploitation

3IvMad, 2005-2012 IvMad, 2005-2012

Système d’exploitation Un système d'exploitation est composé : d'un noyau ; de bibliothèques ; d'un ensemble d'outils système ; de programmes

applicatifs de base.

4

IvMad, 2005-2012

Système d’exploitation ‐ noyau Gestion de l'exécution des processus: Gestion de la mémoire pour chaque processus; Ordonnancement des processus (répartition du

temps d'exécution des processeurs); Synchronisation et communication entre processus.

Gestion du temps Partage de la ressource entre processus.

Gestion du systèmes de fichiers; Gestion des protocoles réseau (TCP/IP, IPX, etc.); Gestion des périphériques par des pilotes (driver).

5 IvMad, 2005-2012

Système d’exploitation ‐ noyau Architecture d'un noyau‐monolithique (Kernel)

6

IvMad, 2005-2012

Systèmes d’exploitation Windows Windows - Live Cycle

7 IvMad, 2005-2012

Windows 2008 Server Windows Server 2008 est conçu pour aider les

administrateurs système à rationaliser leurs infrastructures.

La nouvelle démarche "IO Model" consiste à : réduire les coûts liés à l’administration des systèmes; augmenter le niveau de sécurité; augmenter le niveau de service; rendre l’infrastructure plus agile.

8

IvMad, 2005-2012

Windows 2008 Server WS 2008 innove sur plusieurs axes: Console Server Manager pour installer, configurer et

administrer les serveurs locaux et distants Option d’installation Server Core qui diminue la surface

exposée aux risques informatiques Hyper‐V, "l’hyperviseur" est une architecture qui héberge

des machines virtuelles multiprocesseurs (32 et 64 bits) Internet Information Server 7.0 (IIS 7) avec fonctions ASP,

ASP.NET et PHP, plus sécurisé et mieux administré. Windows SharePoint Services 3.0 (WSS 3.0) permet de

créer des sites Web spécialisés pour le partage d’informations, de documents ou toutes autres démarches collaboratives.

9

Partie II

Internet Information Server 7.0

(IIS 7.0)

10IvMad, 2005-2012

IvMad, 2005-2012

IIS 7.0 – Nouvelle architecture Sous IIS 7.0, l’ensemble des fonctionnalités est découpé en

modules qui s’intègrent dans une procédure de traitement appelée pipeline.

Possibilité de chargement ou déchargement des modules fonctionnels selon la demande.

Les avantages de cette architecture sont multiples: Allègement du serveur qui bénéficie ainsi de meilleures

performances. Une personnalisation plus poussée selon les besoins. Une plus grande facilitée à sécuriser le serveur par la

réduction des profils de vulnérabilité. Une maintenance plus facile car seules les mises à jours des

modules activés sont téléchargés et installés.

11 IvMad, 2005-2012

IIS 7.0 – Nouvelle architectureArchitecture interne de l’IIS 7.0 et son implémentation dans le système d’exploitation "Windows 2008 Server"

12

IvMad, 2005-2012

IIS 7.0 – Les modules Développement applicatif Infrastructure de développement et d'hébergement des

applications pour créer des contenus ou pour étendre la fonctionnalité des services

Intégrité et diagnostics Infrastructure pour analyser, gérer et dépanner les

serveurs et les applications Web Sécurité infrastructure pour sécuriser le serveur Web face aux

utilisateurs et aux requêtes (demandes) Performances infrastructure pour mettre en cache le flux de sortie

13 IvMad, 2005-2012

IIS 7.0 – Les modules Outils de gestion Infrastructure pour gérer un serveur Web : interface utilisateur, outils en ligne de commande scripts IIS (XML).

Service de publication FTP Intègre le serveur FTP et la console de gestion

FTP. Service WebDAV (HTTP 1.1) Service ASP.NET

14

IvMad, 2005-2012

IIS 7.0 – La configuration La configuration de l'IIS7 repose sur une hiérarchie de

fichiers XML : applicationHost.config : Un fichier qui contient la

configuration globale côté serveur. web.config : Un fichier qui contient la configuration d’un

site Web défini. L'administration du serveur est améliorée: AppCmd.exe : outil de ligne de commande InetMgr.exe : Interface graphique très complète qui

permet de gérer entièrement le serveur. Les outils d’administration sont accessibles à distance

via une connexion HTTPS/SSL.

15 IvMad, 2005-2012

IIS 7.0 – Le schéma fonctionnel IIS 7.0 est un serveur

sécurisé, fiable et évolutive

WAS gère la configuration du pool d'applications

Worker process exécute les applications Web

IIS protocol adapter reçoit les messages HTTP et lescommunique au WAS

WMSvc permet la gestion àdistance d'un serveur Web

16

IvMad, 2005-2012

Installation de W2008 Serveur Règle générale: Installez le système d’exploitation Windows 2008

serveur sans aucun service additionnel; Installer ensuite les patches et les mises à jour du

système Windows 2008 Serveur; Arrêtez tous les services qui ne vous servent pas. Désinstallez tous les protocoles réseaux à

l'exception du TCP/IP.

17 IvMad, 2005-2012

Installation de W2008 Serveur Server Core (version minime) : A l'installation de Windows Server 2008, on peut

procéder à une installation Server Core quicomprend une installation de serveur minimale del'ensemble Windows Server 2008.

Avec ce type d'installation, l'interface Windowstraditionnelle n'est pas installée et la configurationse fait à partir de l'invite de commande.

Le rôle de serveur Web est disponible mais certainsmodules tels que le .NET Framework et le codemanagé ne le sont pas. La version "Hyper‐V" est la plus complète

18

IvMad, 2005-2012

Installation de IIS 7.0 Démarrer/Panneau de Configuration/Programmes et

fonctionnalités

Pour activer une fonctionnalité Windows encore non installée

19 IvMad, 2005-2012

Installation de IIS 7.0 Activer ou désactiver des fonctionnalités Windows

Pour installer IIS 7.0 il faut "Ajouter des rôles"

20

IvMad, 2005-2012

Installation de IIS 7.0 Liste des rôles disponibles

Choisir le rôle "Serveur Web (IIS)"

21 IvMad, 2005-2012

Installation de IIS 7.0 Écran d’introduction au serveur Web et services attachés

22

IvMad, 2005-2012

Installation de IIS 7.0 Pour le rôle serveur Web choisir les services attachés

Choisir les services nécessaire pour le fonctionnement du rôle serveur Web selon les besoins du moment et l’utilisation du serveur

23 IvMad, 2005-2012

Installation de IIS 7.0 Revue des fonctionnalité et services choisies avant le

lancementde l’installation

24

IvMad, 2005-2012

Installation de IIS 7.0 État du processus d’installation des services

25 IvMad, 2005-2012

Installation de IIS 7.0 Confirmation des résultats de l’installation

26

IvMad, 2005-2012

Installation de IIS 7.0 Composants du serveur Web (IIS)

Liste des services système

Liste des services de rôle

27 IvMad, 2005-2012

Installation de IIS 7.0 La page d’accueil en local de l’IIS7 :

Le serveur Web répond en local à l’URL: http://localhost

28

IvMad, 2005-2012

Gestion de IIS 7.0 Le gestionnaire du serveur Web

1. Gestionnaire de serveur

2. Rôles3. Serveur Web4. Gestionnaire

des services5. Sites6. Site par défaut

inetmgr.exe : Outil d’administration accessible et à distance par protocole sécurisé

29 IvMad, 2005-2012

Configuration de IIS 7.0 Approche générale de sécurité : Fermer la connexion Internet à l’installation des

services IIS; Télécharger la dernière version des Service Pack et

les Patchs pour IIS; Activer Automatic Update pour le système

d’exploitation; Désactiver l’accès Internet pour le site Web par

défaut (default Web site) : Pour faire ça, il suffi d’associé le site par défaut à l’adresse

127.0.0.1. L’accès au site par défaut reste disponible uniquement par le navigateur de la machine locale.

30

IvMad, 2005-2012

Site Web Création d’un site Web

Clique droit de la souris sur "Sites" et choisir"Ajouter un site Web"

31 IvMad, 2005-2012

Ajouter un Site Web Configurer le nouveau site Web

Nom d’accès au site par un navigateur

Adresse absolue sur unité physique

Accessibilité: protocole et port, ainsi que le nom de la machine hébergeur

32

IvMad, 2005-2012

Ajouter un Site Web Accéder au nouveau site Web<html><head><title>Site MMG</title></head><body><h1 align="center">Mon site Web MMG</h1></body></html>

Enregistré sous index.htmdans le répertoireC:\inetpub\wwwroot\MMG

33 IvMad, 2005-2012

Ajouter un répertoire virtuel Sécurité accrue par le détachement des URLs des chemins

d’accès physiques du site.Clique droit de la souris sur le nom du site (MMG) pour ouvrir le menu déroulant et "Ajouter un répertoire virtuel"

34

IvMad, 2005-2012

Ajouter un répertoire virtuel L’alias du répertoire virtuel est substitué par son accès

absolu à travers le URL sur le serveur Web en affichant la page associée.

35 IvMad, 2005-2012

Manager IIS 7.0 avec AppCmd.exe AppCmd.exe est un outil de ligne de commande

pour configurer et interroger des objets sur le serveur Web.

Le résultat retourné est sous forme de texte ou XML. Les tâches à effectuer sont : Créer et configurer des sites, applications, pools

d'applications et répertoires virtuels. Démarrer et arrêter des sites Web. Démarrer, arrêter et recycler des pools

d'applications. Afficher des informations sur les processus actifs et

les requêtes en cours sur le serveur Web.36

IvMad, 2005-2012

Manager IIS 7.0 avec AppCmd.exe Démarrer AppCmd.exe avec droit d’administrateur :

Accéder au répertoire

Activer l’outil

StartStopListAddDeleteset

37 IvMad, 2005-2012

Manager IIS 7.0 avec AppCmd.exe Syntaxe de la commande APPCMD:

APPCMD (command) (objet‐type) <identifier></parameter:value1 …>

Chaque objet‐type possède ses propres commandes:

38

IvMad, 2005-2012

Manager IIS 7.0 avec AppCmd.exe Pour chaque commande d’un objet‐type on peut

obtenir ses propres commandes:

39 IvMad, 2005-2012

Manager IIS 7.0 avec AppCmd.exe Démarrer ou arrêter un site Web dont on ne

connait pas apriori le nom. appcmd list sites : affiche la liste des sites installés

sur le serveur. appcmd stop sites "Default Web Site" : arête

le site nommé "Default Web Site".

40

IvMad, 2005-2012

Manager IIS 7.0 avec AppCmd.exe Ajouter un nouveau site au serveur Web :

appcmd add site /name: string /id: int /physicalPath: string /bindings: string /name : nom du site /id : identificateur du site /physicalPath : chemin d’accès absolu au site /bindings : protocol/IP_address:port:host_header

41 IvMad, 2005-2012

Manager IIS 7.0 avec AppCmd.exe Ajouter un nouveau site au serveur Web avec un accès

virtuel pour tout le monde par le nom du site sur le port 80 vers un chemin d’accès absolu:> APPCMD add site /name:monSiteTest /id:3 /bindings:http/*:81: /physicalPath:C:\IvMad\SiteWeb\monSiteTest

42

IvMad, 2005-2012

Manager IIS 7.0 avec AppCmd.exe L’outil AppCmd peut générer des sorties XML:

>AppCmd List Sites /XML

43 IvMad, 2005-2012

Manager IIS 7.0 avec AppCmd.exe config des sites dans le fichier applicationHost.config

44

IvMad, 2005-2012

Manager IIS 7.0 avec AppCmd.exe Faire une sauvegarde de la configuration : Pour créer une nouvelle sauvegarde de la

configuration nommée par exemple "Backup_1", taper la commande :

appcmd add backup "Backup_1«

La sauvegarde est créé dans le dossier "inetsrv/backup" :

45 IvMad, 2005-2012

Manager IIS 7.0 avec AppCmd.exe Pour lister les sauvegardes existantes :

appcmd list backup

Pour restaurer la sauvegarde nommée "Backup_1" : appcmd restore backup "Backup_1"

46

IvMad, 2005-2012

Les méthodes d’authentification Sélection les trois méthodes disponibles.

47 IvMad, 2005-2012

Les méthodes d’authentification Authentification de base : On utilise l’authentification de base pour restreindre

les accès aux fichiers sur un serveur Web. La méthode se base sur l’ID utilisateur. La méthode encode les informations en base 64 sans

les chiffrer, et les envois en clair sur le réseau, ce qui présente un problème de sécurité.

La méthode nécessite un compte par utilisateur, et les différents droits d’ouverture de session doivent être accordés à ce compte.

48

IvMad, 2005-2012

Les méthodes d’authentification Authentification Windows : Cette méthode intégrée est plus sécurisée que

l'authentification de base et fonctionne bien dans un environnement Intranet dans lequel les utilisateurs possèdent des comptes de domaine Windows.

Dans ce cadre, le navigateur tente d'utiliser les informations d'identification de l'utilisateur actuel à partir d'une ouverture de session sur un domaine. En cas d'échec, l'utilisateur est invité à entrer un nom d'utilisateur et un mot de passe.

A l’utilisation de cette méthode le mot de passe de l'utilisateur n'est pas transmis au serveur.

49 IvMad, 2005-2012

Les méthodes d’authentification Authentification Digest : Avec l'authentification Digest le mot de passe n'est

pas envoyé en texte clair. On peut utiliser l'authentification Digest par

l'intermédiaire d'un serveur proxy. La méthode d'authentification Digest s'appuie sur un

mécanisme de stimulation/réponse (utilisé par l'authentification Windows intégrée) dans lequel le mot de passe est envoyé sous forme chiffrée.

50

IvMad, 2005-2012

Installation automatisée de IIS 7.0 Certain organisme installe un nombre conséquent

de IIS serveurs en diverses localisations. Windows 2008 Serveur propose Windows

Deployment Services (WDS) pour un déploiement automatisé des technologies serveur.

IIS 7.0 peut être entièrement installé à partir de la ligne de commande à l’aide de l’outil : start /w pkgmgr.exe /iu:update1;update2…

Un minimum du rôle serveur Web:start /w pkgmgr /iu:IIS-WebServerRole;WAS-WindowsActivationService;WAS-ProcessModel;WAS-NetFxEnvironment;WAS-ConfigurationAPI

51 IvMad, 2005-2012

Installation automatisée de IIS 7.0 Une installation complète demande le script :

start /w pkgmgr /iu:IIS‐WebServerRole;IIS‐WebServer;IIS‐CommonHttpFeatures;IIS‐StaticContent;IIS‐DefaultDocument;IIS‐DirectoryBrowsing;IIS‐HttpErrors;IIS‐HttpRedirect;IIS‐ApplicationDevelopment; IIS‐ASPNET;IIS‐NetFxExtensibility;IIS‐ASP;IIS‐CGI;IIS‐ISAPIExtensions;IIS‐ISAPIFilter;IIS‐ServerSideIncludes;IIS‐HealthAndDiagnostics;IIS‐HttpLogging;IIS‐LoggingLibraries;IIS‐RequestMonitor;IIS‐HttpTracing;IIS‐CustomLogging;IIS‐ODBCLogging;IIS‐Security;IIS‐BasicAuthentication;IIS‐WindowsAuthentication;IIS‐DigestAuthentication; IIS‐ClientCertificateMappingAuthentication;IIS‐IISCertificateMappingAuthentication;IIS‐URLAuthorization;IIS‐RequestFiltering;IIS‐IPSecurity;IIS‐Performance;IIS‐HttpCompressionStatic;IIS‐HttpCompressionDynamic;IIS‐WebServerManagementTools;IIS‐ManagementConsole;IIS‐ManagementScriptingTools;IIS‐ManagementService;IIS‐IIS6ManagementCompatibility;IIS‐Metabase;IIS‐WMICompatibility;IIS‐LegacyScripts;IIS‐LegacySnapIn;IIS‐FTPPublishingService;IIS‐FTPServer;IIS‐FTPManagement;WAS‐WindowsActivationService;WAS‐ProcessModel;WAS‐NetFxEnvironment;WAS‐ConfigurationAPI

52

IvMad, 2005-2012

Installation automatisée de IIS 7.0 Une interface XML est également proposée :

start /w pkgmgr /n:{unattend XML} Le fichier XML contient le script de l’installation minime:

<?xml version=”1.0” ?><unattend xmlns=”urn:schemas‐microsoft‐com:unattend” xmlns:wcm=http://schemas.microsoft.com/WMIConfig/2002/State><servicing><package action=”configure”><assembly Identity name=”Microsoft‐Windows‐Foundation‐Package” version=”6.0.5308.6” language=”neutral” processorArchitecture=”x86” publicKeyToken=”31bf3856ad364e35”versionScope=”nonSxS”/><selection name=”IIS‐WebServerRole” state=”true”/><selection name=”WAS‐WindowsActivationService” state=”true”/><selection name=”WAS‐ProcessModel” state=”true”/><selection name=”WAS‐NetFxEnvironment” state=”true”/><selection name=”WAS‐ConfigurationAPI” state=”true”/></package>

53 IvMad, 2005-2012

IIS 7.0 un accès sécurisé (HTTPS) Pour mettre en place la sécurité sur un site créé

précédemment il faut lui ajouter un accès en HTTPS(HyperText Transfer Protocol Secured) en utilisant des certificats. installer une autorité de certification générer des certificats pour utiliser le protocole

HTTPS via SSL (Secure Socket Layer) Un certificat permet de garantir que l'émetteur est

bien celui qu'il prétend être. On peut aussi restreindre l'accès à certains

utilisateurs.

54

IvMad, 2005-2012

IIS 7.0 un accès sécurisé (HTTPS) Pour installer une autorité de certification, il faut

ajouter un rôle à partir du "Server Manager".

55 IvMad, 2005-2012

IIS 7.0 un accès sécurisé (HTTPS) L'assistant se lance et il faut choisir :

56

IvMad, 2005-2012

IIS 7.0 un accès sécurisé (HTTPS) On configure l’autorité en fonction des besoins et

du réseau.

57 IvMad, 2005-2012

IIS 7.0 un accès sécurisé (HTTPS) L’inscription de l’autorité de certification via le Web

comporte des services à ajouter dans ce rôle :

58

IvMad, 2005-2012

IIS 7.0 un accès sécurisé (HTTPS) Tous les éléments sont maintenant réunis

59 IvMad, 2005-2012

IIS 7.0 un accès sécurisé (HTTPS) Il en existe 2 types d’autorité de certification :

60

IvMad, 2005-2012

IIS 7.0 un accès sécurisé (HTTPS) Choix si l’autorité de certification est à la racine de

l’infrastructure à clef publique ou dépend d'une autre.

61 IvMad, 2005-2012

IIS 7.0 un accès sécurisé (HTTPS) On génère une paire de clefs à l'autorité de certification

(clef publique / clef privée). On peut soit en créer une nouvelle soit en choisir uneexistante.

62

IvMad, 2005-2012

IIS 7.0 un accès sécurisé (HTTPS) On renseigne les paramètres de chiffrement des clés.

J'ai choisis d'utiliser l'algorithme RSA/SHA avec une clef d'une longueur de 4096 BITS.

63 IvMad, 2005-2012

IIS 7.0 un accès sécurisé (HTTPS) On donne un nom à l’autorité de certification :

64

IvMad, 2005-2012

IIS 7.0 un accès sécurisé (HTTPS) On choisit la période de validité des certificats :

65 IvMad, 2005-2012

IIS 7.0 un accès sécurisé (HTTPS) Valider les chemins par défaut de l’autorité de

certification :

66

IvMad, 2005-2012

IIS 7.0 un accès sécurisé (HTTPS) Après avoir confirmé les quelques écrans qui suivent on

aboutit à l’écran de l’installation qui résume tous les paramètres choisis!

67 IvMad, 2005-2012

IIS 7.0 un accès sécurisé (HTTPS) La progression du processus d‘installation :

68

IvMad, 2005-2012

IIS 7.0 un accès sécurisé (HTTPS) Le récapitulatif de fin d’installation :

69 IvMad, 2005-2012

Configuration de HTTPS via SSL Le pas suivant est de générer un certificat auto‐signé

pour utiliser SSL. Pour cela, il faut aller dans l'assistant d'IIS7 et ouvrir "Certificats de serveur".

70

IvMad, 2005-2012

Configuration de HTTPS via SSL On sélectionne dans le menu de droite "Créer un

certificat auto‐signé".

71 IvMad, 2005-2012

Configuration de HTTPS via SSL Nommer le certificat et on valide :

72

IvMad, 2005-2012

Configuration de HTTPS via SSL Le certificat apparait désormais dans la liste des

certificats d'IIS. On va maintenant pouvoir associer HTTPS à notre site

Web. Pour cela, clic droit sur notre site puis "Edit Binding".

Une fenêtre apparait nous spécifiant que ce site est déjà associé au protocole HTTP. Cliquez sur "Ajouter" pour lui associer HTTPS.

Il est désormais possible de choisir un certificat pour utiliser le protocole SSL pour crypter le transfert des données entre l'utilisateur et le serveur.

73 IvMad, 2005-2012

Configuration de HTTPS via SSL Ainsi, le résultat est visible à l’écran suivant. Il reste à

confirmer les informations choisies.

74

IvMad, 2005-2012

Configuration de HTTPS via SSL Pour configurer le protocole SSL sur le site Web il faut

choisir dans l'assistant d'IIS7.0 "SSL Settings". Modifier les paramètres SSL dans la fenêtre :

75 IvMad, 2005-2012

Test sur les clients (HTTPS via SSL) Lorsque l'on accède à l'adresse https://localhost/, le

navigateur nous demande si on souhaite faire confiance au certificat du site émetteur.

76

IvMad, 2005-2012

Test sur les clients (HTTPS via SSL) Si on continue, on arrive sur le site mais l'adresse est

surlignée en rouge :

77 IvMad, 2005-2012

Test sur les clients (HTTPS via SSL) Le code minimal pour une page Web, enregistrée

dans un fichier HTML nommé index.htm<html><head><title>Site MMG</title></head><body><h1 align="center">Mon site Web MMG</h1></body></html>

78

IvMad, 2005-2012

Internet Information Services 7.5 "PowerShell" avec 50 nouvelles cmdlets "Database Manager" pour "SQL Server management"

intégré dans "IIS Manager" "Configuration Editor" qui à travers un GUI génère des

scripts pour l'automatisation de certains tâches "Web Deployment Tool" pour le déploiement ou la

migration de sites Web, applications ou serveurs "WebDav" intégré nativement "URLScan" filtre nativement les requetés HTTP "FTP server services" avec ".NET XML‐based *.config" ".NET Framework" intégré dans "Server Core"

79 IvMad, 2005-2012

Internet Information Services 7.5 Remarques: A ajouter pour 2012

Pages web en html pour chaque site et niveau de configuration Page html pour répertoire virtuel

80

Sécurité des Serveurs Windows 2008

Serveur FTP 7.5WebDAV 7.5PHP avec IIS 7.0 et IIS 6.0Windows SharePoint Service

Ivan Madjarov, IUT-R&T, 2012 IvMad, 2012

Les objectifs Cette présentation a pour objectif de démontrer

qu'on peut arriver à sécuriser les services serveur disponibles à partir du kit d'installation de Windows 2008 Serveur.

Nous nous basons uniquement sur des techniques d'administrations et du bon sens approuvés dans la pratique et largement appliquer par les administrateurs de ce niveau de systèmes.


2

Partie IV

Serveur FTP (File Transfert Protocol)


FTP Installation Un serveur FTP sert à partager des fichiers entre

utilisateurs. Installation du serveur FTP 7.x pour IIS 7.0 Télécharger FTP 7.x du le site de Microsoft la version incluse dans IIS 7.0 est la version 6.www.microsoft.com/france/telechargements/default.aspx Le fichier à télécharger pour la version FTP 7.5 porte

le nom :"ftp7_x86fre_fr‐fr.msi".

4

IvMad, 2012

FTP Installation Télécharger et exécuter le fichier .msi:

5 IvMad, 2012

FTP Installation Une fois le fichier téléchargé, l’assistant

d’installation se lance automatiquement :

6

IvMad, 2012

FTP Installation Cliquez sur suivant et acceptez la licence.

7 IvMad, 2012

FTP Installation Liste de modules pour maximum de performance :

8

IvMad, 2012

FTP Installation Validez pour installer FTP 7.5

9 IvMad, 2012

FTP Installation Progression de l'installation pour FTP 7.5

10

IvMad, 2012

FTP Installation Installation terminée de FTP 7.5

11 IvMad, 2012

FTP Installation Une série de nouveaux icônes apparaissent dans la

fenêtre d’administration d’IIS7 :

12

IvMad, 2012

FTP Configuration Il faut créer un dossier pour le partage du service FTP

avec un seul accès administrateur. On peut aussi se servir de la ligne de commande pour aller plus vite :mkdir "c:\inetpub\ftproot\noroute.monftp.eu"cacls "c:\inetpub\ftproot\noroute.monftp.eu" /G Administrateur:F /T /E

Pour modifier les attributs d'accès d'un utilisateur ou dossier on peut se servir de la ligne de commande avec "calcs" ou "icalcs". cacls "c:\inetpub\ftproot\noroute.monftp.eu" /G username:F /T /E

13 IvMad, 2012

FTP Configuration

14

IvMad, 2012

FTP Création d'un certificat Dans le "Gestionnaire des services Internet" on

sélectionne les "Certificats de serveur".

15 IvMad, 2012

FTP Création d'un certificat Pour créer un "Certificat auto‐signé".

16

IvMad, 2012

FTP Configuration L'espace FTP On crée un répertoire "pub" dans le chemin d'accès :

"C:\inetpub\ftproot\pub" L'espace FTP de dépôt de fichiers se crée à partir de

l'outils d’Administration de l'IIS. D'un clique droit de la souris sur le "Sites" on peut

ajouter un ou plusieurs sites FTP :

17 IvMad, 2012

FTP Configuration L’assistant de création d'un site FTP demande des

informations sur le nom du site et son accès physique.

18

IvMad, 2012

FTP Configuration Il faut configurer l’accès au site FTP puis définir les

paramètres SSL en choisissant un certificat :

19 IvMad, 2012

FTP Configuration Possibilités de choix d'authentification "anonyme" – accès publique "de base" – accès restreint aux comptes "Active Directory"

20

IvMad, 2012

FTP Configuration Après le bouton "Terminer" on obtient dans l'espace

administrateur de IIS7 :

21 IvMad, 2012

FTP client et test Pour effectuer le test on a besoin d'un client FTP (FileZilla,

par exemple) qui faut le configurer pour une connexion TLS/SSL avec le serveur FTP et le site.

22

IvMad, 2012

FTP client et test A la connexion réussie il faut accepter le certificat :

23 IvMad, 2012

FTP client et test Le contenu du répertoire est listé à présent :

24

IvMad, 2012

FTP Création automatique Dans certains cas l'installation automatique du serveur

FTP et la création aussi automatique de sites FTP peut s'avérer indispensable. Installation automatique :

cmd /c "pkgmgr /iu:IIS‐FTPSvc;IIS‐FTPExtensibility" Création automatique d'un site FTP par un script : L'accès au site est contrôlé par "Authentification de base"; Les droits "read" et "write" sont attribués au dossier

"ftproot"; Le site bloque l'accès "anonymous"; La connexion SSL n'est pas demandée, ainsi les clients se

connectent sur un canal non crypté. Suite …

25 IvMad, 2012

FTP Création automatique cd %windir%\system32\inetsrv REM ftproot is the location of the ftp data directory set ftproot=%systemdrive%\inetpub\ftproot REM ftpsite is the name of the ftp site set ftpsite="ftp site" if not exist “%ftproot%” (mkdir "%ftproot%") cacls "%ftproot%" /G IUSR:W /T /E appcmd add site /name:%ftpsite% /bindings:ftp://*:21

/physicalpath:"%ftproot%" appcmd set config ‐section:system.applicationHost/sites

[name='%ftpsite%'].ftpServer.security.ssl.controlChannelPolicy:"SslAllow" appcmd set config ‐section:system.applicationHost/sites

/[name='%ftpsite%'].ftpServer.security.ssl.dataChannelPolicy:"SslAllow" appcmd set config ‐section:system.applicationHost/sites /[name='%ftpsite%'].

ftpServer.security.authentication.basicAuthentication.enabled:true appcmd set config %ftpsite% /section:system.ftpserver/security/authorization

/+[accessType='Allow',permissions='Read,Write',roles='',users='*'] /commit:apphost

26

IvMad, 2012

FTP Virtualisation Sécuriser d'avantage le site FTP en ajoutant des

répertoires virtuels aux points sensibles :

27 IvMad, 2012

FTP Virtualisation Le répertoire virtuels est assigné par un alias qui est

confondu sur le serveur au moment de la connexion avec l'accès physique sur une partition:

28

IvMad, 2012

FTP Virtualisation La présence du répertoire virtuel est signalé dans la

fenêtre du Gestionnaire des services Internet :

29 IvMad, 2012

FTP Client et test L'accès client ajuste le dossier distant par défaut :

30

IvMad, 2012

FTP Client et test Accès au dossier résolu :

31

Partie V

Serveur WebDAV 7.x

(partage de fichiers via le Web)

Ivan Madjarov, IUT‐R&T, 2005‐2011

IvMad, 2012 33

Partage WebDAV WebDAV (Web‐based Distributed Authoring and

Versioning) est une extension du protocole HTTP/1.1 WebDAV utilise le port 80. Facilite la publication des pages sur un site Web (IE

5.x‐8x, MS Office de XP à 2010). Développement en collaboration entre plusieurs

auteurs. Peut remplacer le protocole FTP, car plus sécurisé et

plus fonctionnel. Peut jouer le rôle de serveur de fichiers.

IvMad, 2012 34

Partage WebDAV Installation WebDAV permet de partager, récupérer, déposer et

synchroniser des fichiers facilement à travers le Web. Pour installer le service WebDAV il faut télécharger

WebDAV 7.x du site officiel de Microsoft :www.microsoft.com/france/telechargements/default.aspx

IvMad, 2012 35

Partage WebDAV Installation Le fichier à télécharger pour la version WebDAV 7.5

porte le nom: "webdav_fr‐fr_i386.msi".

Une fois exécuté, l’assistant d’installation se lance.

IvMad, 2012 36

Partage WebDAV Installation Une fois la licence validée et clique sur suivant,

l’installation se lance.

IvMad, 2012 37

Partage WebDAV Installation L'installation est assez rapide :

IvMad, 2012 38

Partage WebDAV Installation On voit apparaître un nouvel icône dans l’assistant

d’IIS7 :

IvMad, 2012 39

WebDAV 7.5 Configuration Pour activer WebDAV, cliquez sur

"Règles de création WebDAV" :

IvMad, 2012 40

WebDAV 7.5 Configuration Dans le gestionnaire des services Internet "Activer

WebDAV" ou "Désactiver WebDAV":

IvMad, 2012 41

WebDAV 7.5 Configuration WebDAV est maintenant activée. Il faut configurer les autorisations pour accéder au

partage des fichiers. Pour cela, cliquez dans le menu de droite sur

"Ajouter une règle de création". La fenêtre suivante permet de configurer une règle

WebDAV. Le premier onglet permet de définir les fichiers accessibles via

WebDAV. Le second onglet permet de définir les utilisateurs pouvant

accéder au WebDAV. Le dernier onglet permet de définir les permissions des

utilisateurs. IvMad, 2012 42

WebDAV 7.5 Configuration Les droits sont attribués à l’utilisateur "IvMad" ou à "Tous les

utilisateurs" et ils peuvent accéder à tous les types de fichiers présents sur le serveur :

IvMad, 2012 43

WebDAV 7.5 Configuration Les données sont désormais présentes sur la console de IIS

IvMad, 2012 44

WebDAV 7.5 Configuration WebDAV utilise le mode d’authentification "Authentification Windows" : utilise le login et mot de

passe de connexion Windows) "Authentification de base" : Authentification via une pop‐

up couplé avec SSL. La configuration du mode d’authentification est accessible

par l’assistant d’IIS7 et dans "Authentification"

IvMad, 2012 45

WebDAV 7.5 Configuration Il suffit d’activer le module souhaité par une sélection :

"Activer" ou "Désactiver".

Ainsi, on n’autorise que les utilisateurs authentifiés et non les utilisateurs anonymes

IvMad, 2012 46

WebDAV 7.5 Test Pour faire le test il nous faut un client. On peut utiliser

un Windows 7 qui se connecte au serveur via l’utilisateur "Administrateur".

Pour accélérer la connexion on peut définir par la commande :net use Lecteur: URLainsi, on crée un lecteur réseau qui pointe vers le répertoire configuré WebDAV.

IvMad, 2012 47

WebDAV 7.5 Test Le gestionnaire de fichiers sous Windows 7 contient

désormais un lecteur réseau sur Z: Partie III

PHP avec IIS 7.0

Ivan Madjarov, IUT‐R&T, 2010

IvMad, 2012

PHP 5 Pour installer PHP5, il est nécessaire de télécharger

la version zip qui sert à l'obtention des librairies complémentaires de PHP et le .msi disponible tous deux à cet adresse : http://www.php.net/downloads.php

Après téléchargement des fichiers pour l’installation il faut respecter un ordre des opérations :1. Installation du .msi2. Extraction du .zip 3. Configuration de php.ini4. et pour finir configuration d'IIS7.

49 IvMad, 2012

PHP 5 Installation Installation du .msi

50

IvMad, 2012

PHP 5 Installation On accepter les termes de la Licence :

51 IvMad, 2012

PHP 5 Installation Sélection du répertoire pour installer PHP :

52

IvMad, 2012

PHP 5 Installation Pour des raisons de sécurités il faut privilégier le mode

ISAPI plutôt que le mode CGI (propre à Linux) pour le module PHP sur un serveur Web IIS 7.0.

53 IvMad, 2012

PHP 5 Installation Les modules PHP à installer au sein de IIS :

54

IvMad, 2012

PHP 5 Installation Paramètres mis au point l’installe peut démarrer :

55 IvMad, 2012

PHP 5 Installation On a installé PHP 5.0 sur le serveur Web IIS 7.0 :

56

IvMad, 2012

PHP 5 Extraction du .zip On passe à la partie extraction des librairies

complémentaires de PHP dans un répertoire choisi :

57 IvMad, 2012

PHP 5 Extraction du .zip La progression en cours :

58

IvMad, 2012

PHP 5 Configuration Configuration de php.ini

59 IvMad, 2012

PHP 5 Configuration Remplacer extension_dir = "./" avec

extension_dir = "ext/" dans le fichier php.ini à l’aide d’un éditeur de texte (NotePad, EditPad, ou autre) :

60

IvMad, 2012

PHP 5 Configuration Configuration d'IIS 7.0 pour l'utilisation de PHP 5.0 à

partir du gestionnaire des services Internet :

61 IvMad, 2012

PHP 5 Configuration Pour le serveur Web il faut ajouter un document par

défaut index.php :

62

IvMad, 2012

PHP 5 Configuration A partir de la page d'accueil du serveur web on

provoque le Mappage de Gestionnaire par un double clique de la souris :

63 IvMad, 2012

PHP 5 Configuration Vérifier le script ayant pour chemin d'accès *.php :

64

IvMad, 2012

PHP 5 Configuration Restrictions des demandes configurent plus

précisément le traitement des requêtes côté Serveur

65 IvMad, 2012



66

IvMad, 2012



67 IvMad, 2012

PHP 5 Configuration Restrictions CGI et ISAPI :

68

IvMad, 2012

PHP 5 Configuration Restrictions CGI et ISAPI :

69 IvMad, 2012

PHP 5 Test Tester la connexion : http://localhost/index.php

Contenu du fichier "index.php":

<?phpphpinfo();?>

70

Partie IV

Windows SharePoint Services


Windows SharePoint Services WSS est natif pour W2008SRV. WSS est un moteur de "groupware" offrant des

fonctionnalités de portail Web et d'Intranet Au travers d'un site WSS on peut gérer un planning, ou

gérer les différentes versions d'un document. Les services SharePoint sont utilisés par les applications

de portail Web Microsoft Office SharePoint Portal Server Microsoft Office Project Server.

WSS est lié à une BD référentiel de toutes les données : BD de configuration les données de contenu.

72

IvMad, 2012

Windows SharePoint Services Les sites WSS reposent sur la technologie ASP.NET et

doivent être hébergés via le serveur Web de IIS. Le stockage des informations est confié à une BD

Microsoft SQL Server. L'authentification peut être basé soit sur: un annuaire Active Directory, un annuaire LDAP, une authentification dite "Forms" basée sur des

providers ASP.NET L'interface utilisateur exploite des fonctionnalités

spécifiques à Internet Explorer (ActiveX, Javascript et HTML).

73 IvMad, 2012

Windows SharePoint Services 20 modèles d'application d'administrateur de serveur

de WSS 3.0 sont disponibles à téléchargement

Les modèles compris dans ce téléchargement sont les suivants: Gestion des demandes de congé et de la planification des

absences Budgétisation et suivi de plusieurs projets Centre d'appels Gestion des demandes de modification Gestion des contacts Révision et bibliothèque de documents Planification d'événements

74

IvMad, 2012

Windows SharePoint Services Site d'approbation et de remboursement des dépenses Service d'assistance Suivi du stock Espace de travail de l'équipe informatique Gestion des entretiens et des offres d'emploi Base de connaissances Bibliothèque de prêt Gestion et suivi des biens physiques Espace de travail de suivi de projet Réservations d'équipement et de salles Pipeline de prospect

75 IvMad, 2012

Serveur Web: "Valk" Le cours est disponible à l'adresse:

http://valk.iut‐gtr.univ‐mrs.fr/IIS

76

XMLdocuments semi-structurés

XML - eXtensible Markup LanguageXSL(T) - eXtensible Stylesheet LanguageXSD – XML SchemaDTD – Document Type Definition

Ivan Madjarov, IUT-R&T, 2006-2012 IvMad, 2012 2

XML eXtensible Markup Language Le web est confronté à deux problèmes: HTML n'est pas extensible, il ne peut pas répondre

aux besoins spécifiques de tous les domaines(mathématiques, chimie, musique, astronomie...) etne définit plus le contenu du document.

Les administrateurs systèmes ont besoin d'unlangage de configuration pour les serveurs et lesapplications client. Cela facilite la diffusion desconfigurations des machines semblables sur les sitesreparties d'une entreprise IIS7.0 et IIS7.5

Techologies XML

IvMad, 2012 3

XML eXtensible Markup Language XML permet de Concevoir un langage de balisage personnalisé Structurer un ensemble de classes de documents

Un métalangage de balisage est défini par une définition de type de document (DTD) ou XML Schema (plus récent).

XML est utilisé pour échanger des données entre applications, définir la configuration d'applications et serveurs, créer des documents sémantiques (structurés) pour

le Web fixe ou mobile.Techologies XML IvMad, 2012 4

XML eXtensible Markup Language Les applications XML

Techologies XML

IvMad, 2012 5

XML eXtensible Markup Language MathML (Mathematical Markup Language) notation

mathématique sur le web CML (Chemical Markup Language) pour la publication

Internet des formules chimiques, de molécules, deséquations.

SVG (Scalable Vector Graphics) langage de balisaged'information graphique vectorielle.

SMIL (Synchronized Multimedia Integration Language) pourla création multimédia, il spécifie comment et quand deséléments multimédia peuvent apparaître dans une pageweb. Par exemple, on peut dire que sur la page le texteapparaît suivi d'une série d'images qui sont accompagnéesd'une musique ou un commentaire audio.

WML (Wireless Markup Language) le langage de balisagepour l'internet mobile.

Techologies XML IvMad, 2012 6

XML eXtensible Markup Language Un document XML peut ainsi "prévoir" plusieurs

cibles: L'écran d'un téléphone portable, L'écran d'un ordinateur de bureau, Collection dans une base de données, Une application logicielle Échange d'informations sur le Web (service Web) Effectuer des sélections par tri, Générations automatiques de tables des matières et

bien d'autres fonctions.

Techologies XML

IvMad, 2012 7

XML eXtensible Markup Language Un document structuré possède des parties avec

des significations particulières


XML eXtensible Markup Language XML permet de séparer le fond de la forme. La grammaire qui définie les balises du document

XML (DTD ou Schema), c'est un fichier .xsd Le document avec les données, c'est‐à‐dire le

document XML (fichier .xml). La transformation XSLT (eXtensive Stylesheet

Language Transformations) est le document avec lesinformations de mise en forme, pour produire unfichier dans le format de sortie voulu (XHTML, PDFou TXT).

Techologies XML

IvMad, 2012 9

XML eXtensible Markup Language


XML fichier de configuration La configuration des sites dans fichier XML :

Techologies XML

ApplicationHost.config Le fichier de configuration pour IIS 7.0.

Il contient les définitions des sites, des applications, des répertoires virtuels et des pools d'applications, ainsi que les paramètres du serveur Web

Le fichier est dans: windows\system32\inetsrv\config

Les paramètres du IIS sont référencés dans system32\inetsrv\config\schema\IIS_Schema.xml

Le fichier XML contient des descriptions dans le format: <attribute‐name>="<default‐value>" [<metadata>] [<description>]

11IvMad, 2012Techologies XML

ApplicationHost.config Description des paramètres

<attribute‐name> nom de l'attribut

<default‐value> valeur par défaut

<metadata> défini le type de l'attribut

<description> description de l'attribut

ApplicationHost.config contient deux parties distinctes:

system.applicationHost : paramétrage des services

system.webServer : contient tous les réglages pour le Web comme les listes des modules ISAPI, filtres ASP, CGI.


ApplicationHost.config Structure du fichier config

Lire le fichier ICI13IvMad, 2012Techologies XML

ApplicationHost.config Modifier le fichier de configuration pour obtenir l'option

lister le contenu d'un répertoire de site

<system.webServer>…………………………………………

<directoryBrowse enabled="true" />…………………………………………</system.webServer>


IvMad, 2012 15

XML hiérarchie (exemple)<?xml version="1.0" encoding="ISO-8859-1"?><biblio><livre><titre>Les Misérables</titre><auteur>Victor Hugo</auteur><nb_tomes>3</nb_tomes>

</livre><livre><titre>L'Assomoir</titre><auteur>Émile Zola</auteur>

</livre><livre lang="en"><titre>David Copperfield</titre><auteur>Charles Dickens</auteur><nb_tomes>3</nb_tomes>

</livre></biblio>


XML interprétation Un document bien formé (sans DTD) est affiché

par le navigateur en visualisant sa structure. Visualisation avec une feuille de style CSS où est

définie l’interprétation des éléments du document XML. <?xml version="1.0"?>

<?xml-stylesheet type="text/css" href="biblio.css"?><bibliotheque>...</bibliotheque>

Techologies XML

IvMad, 2012 17

Visualiser un fichier XML


XML feuille de style (CSS3)

livre {display: block;position: relative; left: 50; top:100;margin‐left:10pt;margin‐bottom: 5pt;font‐family: "Verdana";font‐size: 12pt

}

titre {margin‐right:10pt; color:blue; font‐family: "Verdana";

}auteur {

margin‐right:10pt; font‐family: "Verdana";

}ref {

color:red;font‐family: "Verdana";

}

Techologies XML

IvMad, 2012 19

XML présentation transformée


Structure d'une transformation XSL Visualisation avec une feuille de style XSL <?xml version="1.0"?>

<?xml‐stylesheet type="application/xml" href="biblio.xsl"?><bibliotheque>...</bibliotheque>

Techologies XML

IvMad, 2012 21

XML stylesheet<?xml version="1.0"?><xsl:stylesheet version="1.0" xmlns:xsl="http://www.w3.org/1999/XSL/Transform"><xsl:output method="html"/><xsl:template match="/"><html> <head> <title>Ma bibliotheque</title>

<style type="text/css">th {background-color:silver;}td {border-style:solid; border-width:1px;}

</style></head> <body>

<H2>Bibliotheque</H2><table><tr> <th>Titre</th> <th>Auteur</th> <th>Ref.</th></tr> <xsl:for-each select="bibliothèque/livre"><tr> <td><xsl:value-of select="titre"/></td><td><xsl:value-of select="concat(auteur/nom, ' ', auteur/prénom)"/></td><td><xsl:value-of select="ref"/></td></tr>

</xsl:for-each></table>

</body> </html></xsl:template></xsl:stylesheet>


XML eXtensible Markup Language

Techologies XML

IvMad, 2012 23

Les transformations XML


XML Schema Un schéma d'un document définit:

les éléments possibles dans le document les attributs associés à ces éléments la structure du document et les types de données

Le schéma est spécifié en XML pas de nouveau langage balisage de déclaration domaine spécifique xsd:

Présente de nombreux avantages structures de données avec types de données extensibilité par héritage et ouverture analysable par un parseur XML standard

Techologies XML

Active Server Pages

ASP.NET avecWindows 2008 serveur

Ivan Madjarov, IUT‐R&T, 2005‐2012 Techologies XML IvMad, 2012 26

ASP.NET et ASP ASP.NET fait partie de la plateforme Microsoft .NET

et incarne l'évolution de la technologie Active Server Pages (ASP). sites Web dynamiques, des applications web ou des services Web XML.

ASP.NET est un environnement compilé, basé sur .NET Framework. Applications écrites dans un langage compatible avec

.NET Framework, ainsi que Microsoft Visual Basic®.NET,Microsoft Visual C#® et Microsoft JScript®.NET.


ASP (Active Server Pages) ASP est un ensemble technologique développé par

Microsoft pour la programmation Web et la créationdes sites Web dynamiques.

C'est le concurrent de PHP. ASP nécessite une plate‐forme Windows avec IIS

installé, ou une plate‐forme Linux ou Unix avecApache et le module Apache::ASP.

ASP est une structure d'objets accessibles par deuxlangages : le VBScript et le Jscript. Il est possible d'utiliser Perl ou Python en ajoutant le

moteur d'interprétation du langage adéquat à l'IIS.


ASP (Active Server Pages) L'ASP est basé sur le modèle COM (Component

Object Model, aussi appelé ActiveX) pourcommuniquer avec un serveur.

Il renvoie ensuite du HTML au client via le protocoleHTTP (HyperText Transfert Protocol).

L'ASP est capable de : se connecter à des bases de données, de lire des fichiers XML, la gestion du protocole FTP, lire et écrire des documents Excel ou Word (Office)

en passant par le système COM.


ASP (Active Server Pages) Les ASP sont exécutées du côté serveur (comme les

scripts CGI, PHP, JSP) et non du côté client. ASP s'inscrit dans une architecture 3‐tiers. Le serveur Web avec de l'ASP sert d'intermédiaire

entre le navigateur du client et une BD assuré par la technologie ADO qui fournit les éléments à la manipulation des données par le langage SQL.


ASP (Active Server Pages) Les 7 objets de base des Active Server Pages Application : Toutes les informations partagées

par les visiteurs connectés à l'application. ObjectContext : Contrôler les transactions avec le

serveur MTS (Microsoft Transaction Server). Request : Données envoyées au serveur dans la

requête HTTP du client. Response : Envoyer la réponse HTTP au client. Server : Informations propres au serveur web. Session : gérer les sessions de l'utilisateur ASPerror : récupère et définit les erreurs des ASP.


ASP sous Windows 2008 Server Gestionnaire de serveur ‐> Rôles ‐> Serveur Web ‐>

Ajouter un rôle


ASP sous Windows 2008 Server Cocher "ASP" et cliquer sur "Suivant"


ASP sous Windows 2008 Server Pools d'application ‐> Clique droit sur le pool ‐>

DefaultAppPool ‐> Paramètres avancés.


ASP sous Windows 2008 Server "Vrai" la ligne Activer les applications 32 bits et clique

sur OK pour valider


La technique de l'ASP Une page ASP (extension .asp) se caractérise par la

présence des balises <% … %>, qui indiquent au serveur HTTP qu'une commande VBScript ou JScriptdoit être interprétée.

Le code enfermé par les délimiteurs est interprété par la partie application ASP du serveur Web. Le résultat est rendu en format HTML.

L'intérêt principal de cette technique est la possibilité de réagir de manière dynamique aux requêtes de l'utilisateur à travers de vrais langages de programmation.


La technique de l'ASP<%@ LANGUAGE="VBSCRIPT" %> <HTML><HEAD><TITLE>La date et l'heure en ASP</TITLE></HEAD><BODY> <% semaine =

array("dimanche","lundi","mardi","mercredi","jeudi","vendredi","samedi") n = Weekday(date()) %><FONT FACE="Verdana" SIZE="+1"> <p>Bonjour,<br>nous sommes le <br /><font color="red"><b> <%

Response.Write(semaine(n‐1)) %></b></font> <font color="red"><B><% Response.Write(date()) %></B></font><br>et il est <font color="red"><B><% Response.Write(time()) %> </B></font> <br>heure local du Serveur</p>

</FONT> </BODY> </HTML>


La technique de l'ASP Le code HTML envoyé au client :<HTML> <HEAD><TITLE>La date et l'heure en ASP</TITLE></HEAD> <BODY> <FONT FACE="Verdana" SIZE="+1"> <p>Bonjour,<br>nous sommes le <br /><font color="red">

<b>samedi</b></font> <font color="red"><B>05/12/2009</B></font><br>et il est <font color="red"><B>07:40:07</B></font> <br>heure local du Serveur</p>

</FONT> </BODY> </HTML>


La technique de l'ASP


JScript et VBScript<%@ LANGUAGE="JSCRIPT" %> <html><head><title>Tableau en asp</title></head><body><table border="1"><%for (i=0; i<10; i++) {Response.Write("<tr>")for (k=0; k<10; k++) {

Response.Write("<td align=center valign=middle WIDTH=25 BGCOLOR=rgb(" + (i+200) + "," + (i*k+112) + "," + (i*k+15) + ")><FONT FACE=Arial SIZE=3>" + (i+k) + "</font></td>")

}Response.Write("</tr>")

}%>

</table></body></html>


JScript et VBScript


ASP et les bases de données L'ASP utilise ODBC (Open DataBase Connectivity) qui

est un protocole standard permettant d'accéder aux informations de serveurs de bases de données. ODBC pour accéder à ACCESS MySQL ODBC pour accéder à MySQL JDBC assure l'interfaçage avec les applications Java

Pour installer une nouvelle source ODBC : Outils d'administration/Source de données ODBC. Activer l'onglet DSN Système/Ajouter. Sélectionner le pilote ODBC qui devra être utilisé en

fonction de la BD (MS Access Driver ou MySQL ODBC). Cliquer sur le bouton Terminer.


ASP et les bases de données<%@ LANGUAGE="VBSCRIPT" %><HTML><HEAD><TITLE>Exemple</TITLE></HEAD><BODY><%

dim objConnectdim objRecordsetset objConnect = Server.CreateObject("ADODB.Connection")objConnect.Open "WebDB"set objRecordset = Server.CreateObject("ADODB.Recordset")objRecordset.Open "SELECT * FROM tblSites;", objConnect

%><P><FONT FACE="Verdana" COLOR="#004080">Liste des sites</P><P><FONT FACE="Verdana" SIZE="2"><%

Do While not objRecordset.eofResponse.Write(objRecordset("NomSite"))Response.Write("<BR>")objRecordset.MoveNext

loopset objRecordset=nothingset objConnect=nothing

%></FONT></P></BODY></HTML>


ASP et les bases de données


ASP et l'administration système L'analyse des "LogFiles" pour serveur Web et FTP A la création d'un site sous IIS 7.0 par défaut des valeurs

sont stockées : Date, Time, ClientIP, UserName, ServerIP, Method, UriStem, UriQuery, TimeTaken, HttpStatus, Win32Status, ServerPort, UserAgent, HttpSubStatus.

Une reconfiguration est possible par le fichier logExtFileFlags accessible par Internet Information Services Manager => Logging


ASP et l'administration système Aperçu d'un fichier log


ASP et l'administration système Configurer avec ODBC Pour stocker les logs directement dans une BD il faut

configurer un accès ODBC. Assure la possibilité d'avoir des rapports d'activités Inconvénient : ralenti l'exécution des services IIS Pour créer une table "ODBC logging" il faut utiliser le

fichier dans "system32\inetsrv\logtemp.sql". Pour installer l'élément <odbcLogging> :

1. Server Manager ‐> Roles ‐> Web Server2. Web Server ‐> Role Services ‐> Add Role Services3. Role Services ‐> Add Role Services ‐> ODBC Logging ‐>

Next4. Confirm Installation Selections ‐> Install ‐> Close

Documents

Sécurité serveurs Windows 2003/2008/2012