sécurité serveurs windows 2003/2008/2012
Post on 05-Jan-2017
236 Views
Preview:
TRANSCRIPT
Sécurité des Serveurs Windows 2012/2008
Systèmes d’exploitation WindowsIIS8Serveur Web Serveur FTPWebDAVWindows SharePoint ServicePHP avec IIS 8.0ASP.NET
Ivan Madjarov, IUT-R&T, 2005-2014 1 IvMad, 2005-2014
Les objectifs Cette présentation a pour objectif de démontrer la
faisabilité d’une sécurisation des services serveur à partir du kit d'installation de Windows 2012 Server.
Nous nous basons uniquement sur des techniques d'administrations et du bon sens approuvés dans la pratique et largement appliquer par les administrateurs de ce niveau des systèmes.
Nous évitons l'utilisation de logiciels hors Microsoft dans le cadre de ce cours pour assurer un environnement propre lié à la sécurité des accès à un service serveur basé Microsoft.
2
Partie I
Le Système d'Exploitation
3IvMad, 2005-2014 IvMad, 2005-2014
Système d’exploitation Un système d'exploitation est composé : d'un noyau ; de bibliothèques ; d'un ensemble d'outils système ; de programmes
applicatifs de base.
4
IvMad, 2005-2014
Système d’exploitation ‐ noyau Gestion de l'exécution des processus: Gestion de la mémoire pour chaque processus; Ordonnancement des processus (répartition du
temps d'exécution des processeurs); Synchronisation et communication entre processus.
Gestion du temps Partage de la ressource entre processus.
Gestion du systèmes de fichiers; Gestion des protocoles réseau (TCP/IP, IPX, etc.); Gestion des périphériques par des pilotes (drivers).
5 IvMad, 2005-2014
Système d’exploitation ‐ noyau Architecture d'un noyau‐monolithique (Kernel)
6
IvMad, 2005-2014
Systèmes d’exploitation Windows Windows ‐ Live Cycle and Versions
7 IvMad, 2005-2014
Windows 2012 Server Windows Server 2012 est conçu pour aider les
administrateurs système à rationaliser leurs infrastructures.
La nouvelle démarche "IO Model" consiste à : réduire les coûts liés à l’administration des systèmes; augmenter le niveau de sécurité; augmenter le niveau de service; rendre l’infrastructure plus agile.
8
IvMad, 2005-2014
Windows 2012 Server WS 2012 innove sur plusieurs axes : Console Server Manager pour installer, configurer et
administrer les serveurs locaux et distants Option d’installation Server Core qui diminue la surface
exposée aux risques informatiques Hyper‐V 3.0, "hyperviseur" est une architecture qui
héberge des machines virtuelles multiprocesseurs (64bit) Internet Information Server 8.0 (IIS 8) avec fonctions ASP,
ASP.NET et PHP, plus sécurisé et mieux administré. Windows SharePoint Services 3.0 (WSS 3.0) permet de
créer des sites Web spécialisés pour le partage d’informations, de documents ou toutes autres démarches collaboratives.
9
Partie II
Internet Information Server 8.0
(IIS 8.0)
10IvMad, 2005-2014
IvMad, 2005-2014
IIS 8.0 – Les objectifs à atteindre Installer les différentes versions d'IIS selon les
plateformes cibles. Mettre en ligne des sites Web statiques et
dynamiques. Implémenter les mécanismes de sécurité sur les
sites Web. Optimise les fonctionnement d'IIS pour l'utilisation
de Scripting : ASP, PHP, ASP.NET, JSP, CGI Superviser le fonctionnement d'IIS. Sauvegarder et restaurer des serveurs IIS.
11 IvMad, 2005-2014
IIS 8.0 ‐ Architecture Les composants logiciels Windows 2012 Server se
présentent sous deux formes: Le rôle est un service: d'annuaire, de résolution de noms,
d'hébergement Web, de partage de fichiers, de gestion d'imprimantes;
La fonctionnalité offre une option évoluée à un rôle installé.
IIS 8.0 est installé sous la forme d'un rôle auquel on peut ajouter des options: Méthodes d'identification Langages dynamiques Outils d'administration
12
IvMad, 2005-2014
IIS 8.0 ‐ Architecture Sous IIS 8.0, l’ensemble des fonctionnalités est découpé en
modules qui s’intègrent dans une procédure de traitement appelée pipeline.
Il y a la possibilité de chargement ou déchargement des modules fonctionnels selon la demande.
Les avantages de cette architecture sont multiples: Allègement du serveur qui bénéficie ainsi de meilleures
performances. Une personnalisation plus poussée selon les besoins. Une plus grande facilitée à sécuriser le serveur par la
réduction des profils de vulnérabilité. Une maintenance plus facile car seules les mises à jours des
modules activés sont téléchargés et installés.
13 IvMad, 2005-2014
IIS 8.0 – ArchitectureArchitecture interne de l’IIS 8.0 et son implémentation dans le système d’exploitation "Windows 2012 Server"
14
IvMad, 2005-2014
IIS 8.0 – Les modules Développement applicatif Infrastructure de développement et d'hébergement des
applications pour créer des contenus ou pour étendre la fonctionnalité des services
Intégrité et diagnostics Infrastructure pour analyser, gérer et dépanner les
serveurs et les applications Web Sécurité infrastructure pour sécuriser le Serveur Web face aux
utilisateurs et aux requêtes (demandes) Performances infrastructure pour mettre en cache le flux de sortie
15 IvMad, 2005-2014
IIS 8.0 – Les modules Outils de gestion Infrastructure pour gérer un Serveur Web : interface utilisateur (graphique), outils en ligne de commande scripts IIS (XML).
Service de publication FTP Intègre le serveur FTP et la console de gestion FTP.
Service WebDAV (HTTP 1.1) Service ASP.NET
16
IvMad, 2005-2014
IIS 8.0 – La configuration La configuration depuis l'IIS 7.0 et pour l'IIS 8.0 repose
sur une hiérarchie de fichiers XML : applicationHost.config : Un fichier qui contient la
configuration globale côté serveur. web.config : Un fichier qui contient la configuration d’un
site Web défini. L'administration du serveur est améliorée: AppCmd.exe : outil de ligne de commande InetMgr.exe : Interface graphique très complète qui
permet de gérer entièrement le serveur. Les outils d’administration sont accessibles à distance
via une connexion HTTPS/SSL.
17 IvMad, 2005-2014
IIS 8.0 – Le schéma fonctionnel IIS 8.0 est un serveur
sécurisé, fiable et évolutive
WAS gère la configuration du pool d'applications
Worker process exécute les applications Web
IIS protocol adapter reçoit les messages HTTP et lescommunique au WAS
WMSvc permet la gestion àdistance d'un serveur Web
18
IvMad, 2005-2014
Installation de W2012 Serveur Règle générale: Installez le système d’exploitation Windows 2012
Serveur sans aucun service additionnel; Installer ensuite les patches et les mises à jour du
système Windows 2012 Serveur; Arrêtez tous les services qui ne vous servent pas. Désinstallez tous les protocoles réseaux à l'exception
du TCP/IP.
19 IvMad, 2005-2014
Installation de W2012 Serveur Windows Server 2012 Standard (Windows 8 Server) L'installation contient tous les rôles et
fonctionnalités Le système couvre deux processeurs physiques et
gère jusqu'à 640 cœurs et 4 To de mémoire. Il y a une limitation du nombre de licences
concernant la virtualisation: deux machines virtuelles.
Il n'y a pas de limite pour le nombre des machines virtuelles avec la version Datacenter de Windows 2012 Server.
20
IvMad, 2005-2014
Installation de W2012 Serveur Server Core (version minime) : A l'installation de Windows Server 2012, on peut
procéder à une installation Server Core quicomprend une installation de serveur minimale del'ensemble Windows Server 2012.
Avec ce type d'installation, l'interface Windowstraditionnelle n'est pas installée et la configurationse fait à partir de l'invite de commande.
Le rôle de serveur Web est disponible mais certainsmodules tels que le .NET Framework et le codemanagé ne le sont pas. La version "Hyper‐V 3.0" est la plus complète
21 IvMad, 2005-2014
Installation de W8 Serveur (1)
Configuration minimum: Processeur: 1.4GHz 64‐bit RAM: 512Mo HDD: 32Go
Sélectionner la langue par défaut:
22
IvMad, 2005-2014
Installation de W8 Serveur (2)
23
Cliquez sur "Install now"
Entrez le numéro de série
IvMad, 2005-2014
Installation de W8 Serveur (3)
24
Sélectionnez Windows Server 2012 Server with a GUI et cliquez sur "Next"
Acceptez les termes de la licence et
cliquez sur "Next"
IvMad, 2005-2014
Installation de W8 Serveur (4)
25
Sélectionnez le type d’installation
Sélectionnez le disque et la partition sur lesquels installer le système (minimum 32 Go) puis cliquez sur
"Next"
IvMad, 2005-2014
Installation de W8 Serveur (5)
26
On peut suivre le déroulement de l'installation
Définir le mot de passe de
l'Administrateur
IvMad, 2005-2014
Installation de W8 Serveur (6)
27
L'installation terminée, on peut ouvrir une session avec Ctrl+Alt+Del
Identification pour une session
Administrateur
IvMad, 2005-2014
Installation de W8 Serveur (7)
28
Le Server Manager du W8 Server:
On défini les rôles et les fonctionnalités; activer ou désactiver
On peut définir le nom et le domaine éventuel du serveur. Définissez ensuite l’adresse (ou les adresses) IP de votre serveur
Pour installer un rôle:Gérer‐>Ajouter des
rôles et fonctionnalités
IvMad, 2005-2014
Installation de IIS 8.0 Gérer‐>Ajouter des rôles et fonctionnalités
29 IvMad, 2005-2014
Installation de IIS 8.0 Gérer‐>Ajouter des rôles et fonctionnalités
30
IvMad, 2005-2014
Installation de IIS 8.0Sélectionner le serveur qui va abriter le rôle et les fonctionnalités
31 IvMad, 2005-2014
Installation de IIS 8.0Rôle de serveurs ‐> Serveur Web (IIS)
32
IvMad, 2005-2014
Installation de IIS 8.0
33 IvMad, 2005-2014
Installation de IIS 8.0
34
IvMad, 2005-2014
Installation de IIS 8.0
35 IvMad, 2005-2014
Démarrage de IIS 8.0
36
Le serveur Web répond en local à l’URL: http://localhost
IvMad, 2005-2014
Installation de IIS 8.0 par cmdlets Installation et suppression des rôles et des
fonctionnalités à l'aide des cmdlets de PowerShell Get‐WindowsFeature : liste l'ensemble des rôles et
fonctionnalités de Windows Server 2012.
37 IvMad, 2005-2014
Installation de IIS 8.0 par cmdlets On peut obtenir la liste des composants installés dans le
PowerShell par la commande : (on importe en premier le ServerManager)>Import‐Module ServerManager>Get‐WindowsFeature | Select‐Object Name, InstallState | Select‐String ‐Pattern "Installed"
38
IvMad, 2005-2014
Installation de IIS 8.0 par cmdlets On peut ajouter par la ligne de commande du
PowerShell des rôles, des services et des fonctionnalités :ps> Import‐Module ServerManagerps> Add‐WindowsFeature Web‐Server, Web‐WebServer, Web‐Common‐Http, Web‐Static‐Content, Web‐Default‐Doc, Web‐Http‐Errors, Web‐Dir‐Browsing, Web‐Health, Web‐Http‐Logging, Web‐Performance, Web‐Stat‐Compression, Web‐Security, Web‐Filtering, Web‐Mgmt‐Tools, Web‐Mgmt‐Console
39 IvMad, 2005-2014
Installation de IIS 8.0 par cmdlets On peut supprimer de la liste à l'aide de cmdlets
PowerShell des packages déjà installés :ps> Import‐Module ServerManagerps> Remove‐WindowsFeature Web‐Server ‐Restart
Le commutateur ‐Restart permet de redémarrer automatiquement le serveur à l'issue de l'opération
cmdlets : scripts exécuté sur la ligne de commande PowerShell.
40
IvMad, 2005-2014
Installation de IIS 8.0 avec dism Dans le contexte où il n'est pas possible d'utiliser
PowerShell, l'installation des composants IIS peut s'appuyer sur l'outil dism.exe.
L'utilisation de cet outil se base sur des commutateurs pour afficher, par exemple, la liste des rôles, services et fonctionnalités: dism /online / get‐features
Pour lancer l'installation du rôles IIS : dism /online /enable‐feature /all /featurename:IIS‐
WebServer
Ensuite, pour installer un service pour ce rôle : dism /online /enable‐feature /all /featurename:IIS‐
ASPNET
41 IvMad, 2005-2014
Installation automatisée de IIS (1)
Certain organisme installe un nombre conséquent de IIS serveurs en diverses localisations ou filères.
Windows 2008/2012 Serveur propose Windows Deployment Services (WDS) pour un déploiement automatisé des technologies serveur.
IIS 7.0 ou IIS 8.0 peut être entièrement installé à partir de la ligne de commande à l’aide de l’outil :start /w pkgmgr.exe /iu:update1;update2…
Un minimum du rôle serveur Web:start /w pkgmgr /iu:IIS‐WebServerRole;WAS‐WindowsActivationService;WAS‐ProcessModel;WAS‐NetFxEnvironment;WAS‐ConfigurationAPI
42
IvMad, 2005-2014
Installation automatisée de IIS (2)
Une installation complète demande le script :start /w pkgmgr /iu:IIS‐WebServerRole;IIS‐WebServer;IIS‐CommonHttpFeatures;IIS‐StaticContent;IIS‐DefaultDocument;IIS‐DirectoryBrowsing;IIS‐HttpErrors;IIS‐HttpRedirect;IIS‐ApplicationDevelopment; IIS‐ASPNET;IIS‐NetFxExtensibility;IIS‐ASP;IIS‐CGI;IIS‐ISAPIExtensions;IIS‐ISAPIFilter;IIS‐ServerSideIncludes;IIS‐HealthAndDiagnostics;IIS‐HttpLogging;IIS‐LoggingLibraries;IIS‐RequestMonitor;IIS‐HttpTracing;IIS‐CustomLogging;IIS‐ODBCLogging;IIS‐Security;IIS‐BasicAuthentication;IIS‐WindowsAuthentication;IIS‐DigestAuthentication; IIS‐ClientCertificateMappingAuthentication; IIS‐IISCertificateMappingAuthentication;IIS‐URLAuthorization;IIS‐RequestFiltering;IIS‐IPSecurity;IIS‐Performance;IIS‐HttpCompressionStatic;IIS‐HttpCompressionDynamic;IIS‐WebServerManagementTools;IIS‐ManagementConsole;IIS‐ManagementScriptingTools;IIS‐ManagementService;IIS‐IIS6ManagementCompatibility;IIS‐Metabase;IIS‐WMICompatibility;IIS‐LegacyScripts;IIS‐LegacySnapIn;IIS‐FTPPublishingService;IIS‐FTPServer;IIS‐FTPManagement;WAS‐WindowsActivationService;WAS‐ProcessModel;WAS‐NetFxEnvironment;WAS‐ConfigurationAPI
43 IvMad, 2005-2014
Installation automatisée de IIS (3)
Une interface XML est également proposée :start /w pkgmgr /n:{unattend XML}
Le fichier XML contient le script de l’installation minime:<?xml version=”1.0” ?><unattend xmlns=”urn:schemas‐microsoft‐com:unattend” xmlns:wcm=http://schemas.microsoft.com/WMIConfig/2002/State><servicing><package action=”configure”><assembly Identity name=”Microsoft‐Windows‐Foundation‐Package” version=”6.0.5308.6” language=”neutral” processorArchitecture=”x86” publicKeyToken=”31bf3856ad364e35”versionScope=”nonSxS”/><selection name=”IIS‐WebServerRole” state=”true”/><selection name=”WAS‐WindowsActivationService” state=”true”/><selection name=”WAS‐ProcessModel” state=”true”/><selection name=”WAS‐NetFxEnvironment” state=”true”/><selection name=”WAS‐ConfigurationAPI” state=”true”/></package>
44
IvMad, 2005-2014
Configuration de l'IIS 8.0
45
Pour configurer IIS 8.0 il faut lancer le "Gestionnaire des services Internet"
1. Gestionnaire de serveur
2. Rôles3. Serveur Web4. Gestionnaire
des services5. Sites6. Site par défaut
IvMad, 2005-2014
Configuration de l'IIS 8.0
46
IvMad, 2005-2014
Configuration de l'IIS 8.0
47
inetmgr.exe : Outil d’administration accessible et à distance par protocole sécurisé (HTTP et HTTPS)
IvMad, 2005-2014
Configuration de IIS 8.0 Approche générale de sécurité : Fermer la connexion Internet à l’installation des
services IIS; Télécharger la dernière version des Service Pack et
les Patchs pour IIS; Activer Automatic Update pour le système
d’exploitation; Désactiver l’accès Internet pour le site Web par
défaut (default Web site) : Pour faire ça, il suffi d’associé le site par défaut à l’adresse
127.0.0.1. L’accès au site par défaut reste disponible uniquement par le navigateur de la machine locale.
48
IvMad, 2005-2014
Création d'un site Web
Clique droit de la souris sur "Sites" et choisir"Ajouter un site Web"
49 IvMad, 2005-2014
Configurer le nouveau site Web
Nom d’accès au site par un navigateur
Adresse absolue sur unité physique différente du SE.C'est règle de sécurité simple et efficace
Accessibilité: protocole et port, ainsi que le nom de la machine hébergeur
50
IvMad, 2005-2014
Accéder au nouveau site Web<html><head><title>Site MMG</title></head><body><h1 align="center">Mon site Web MMG</h1></body></html>
Enregistré sous index.htmdans le répertoired:\siteweb\
51 IvMad, 2005-2014
Ajouter un répertoire virtuel Sécurité accrue par le détachement des URLs des chemins
d’accès physiques du site.Clique droit de la souris sur le nom du site (MonSiteWeb) pour ouvrir le menu déroulant et "Ajouter un répertoire virtuel"
52
IvMad, 2005-2014
Gérer un répertoire virtuel Si on souhaite autoriser l'affichage du contenu d'un répertoire
accessible par le site Web et le protocole HTTP :
53 IvMad, 2005-2014
Gérer un répertoire virtuel Ouvrir la fonctionnalité "Exploration de répertoire" et
"Activer" ou "Désactiver" la fonctionnalité :
54
IvMad, 2005-2014
Ajouter un répertoire virtuel L’alias du répertoire virtuel est substitué par son accès absolu
à travers le URL sur le serveur en affichant la page associée.
55 IvMad, 2005-2014
Manager IIS 8.0 avec AppCmd.exe AppCmd.exe est un outil de ligne de commande
pour configurer et interroger des objets sur le serveur Web.
Le résultat retourné est sous forme de texte ou XML. Les tâches à effectuer sont : Créer et configurer des sites, applications, pools
d'applications et répertoires virtuels. Démarrer et arrêter des sites Web. Démarrer, arrêter et recycler des pools
d'applications. Afficher des informations sur les processus actifs et
les requêtes en cours sur le serveur Web.56
IvMad, 2005-2014
Manager IIS 8.0 avec AppCmd.exe Démarrer AppCmd.exe avec droit d’administrateur :
Accéder au répertoire
Activer l’outil
StartStopListAddDeleteset
57 IvMad, 2005-2014
Manager IIS 8.0 avec AppCmd.exe Syntaxe de la commande APPCMD:
APPCMD (command) (objet‐type) <identifier></parameter:value1 …>
Chaque objet‐type possède ses propres commandes:
58
IvMad, 2005-2014
Manager IIS 8.0 avec AppCmd.exe Pour chaque commande d’un objet‐type on peut
obtenir ses propres commandes:
59 IvMad, 2005-2014
Manager IIS 8.0 avec AppCmd.exe Démarrer ou arrêter un site Web dont on ne
connait pas apriori le nom. appcmd list sites : affiche la liste des sites installés
sur le serveur. appcmd stop sites "Default Web Site" : arête
le site nommé "Default Web Site".
60
IvMad, 2005-2014
Manager IIS 8.0 avec AppCmd.exe Ajouter un nouveau site au serveur Web :
appcmd add site /name: string /id: int /physicalPath: string /bindings: string /name : nom du site /id : identificateur du site /physicalPath : chemin d’accès absolu au site /bindings : protocol/IP_address:port:host_header
61 IvMad, 2005-2014
Manager IIS 8.0 avec AppCmd.exe Ajouter un nouveau site au serveur Web avec un accès
virtuel pour tout le monde par le nom du site sur le port 80 vers un chemin d’accès absolu:> APPCMD add site /name:monSiteTest /id:3 /bindings:http/*:81: /physicalPath:C:\IvMad\SiteWeb\monSiteTest
62
IvMad, 2005-2014
Manager IIS avec AppCmd.exe L’outil AppCmd peut générer des sorties XML:
>AppCmd List Sites /XML
63 IvMad, 2005-2014
Manager IIS 8.0 avec AppCmd.exe config des sites dans le fichier applicationHost.config
64
IvMad, 2005-2014
Manager IIS 8.0 avec AppCmd.exe Faire une sauvegarde de la configuration : Pour créer une nouvelle sauvegarde de la
configuration nommée par exemple "Backup_1", taper la commande :
appcmd add backup "Backup_1«
La sauvegarde est créé dans le dossier "inetsrv/backup" :
65 IvMad, 2005-2014
Manager IIS 8.0 avec AppCmd.exe Pour lister les sauvegardes existantes :
appcmd list backup
Pour restaurer la sauvegarde nommée "Backup_1" : appcmd restore backup "Backup_1"
66
IvMad, 2005-2014
IIS 8.0 Journalisation (logs) La journalisation sous IIS8 permet de mettre en
place un suivi des activités sur le serveur. Chaque requête envoyée au serveur est alors
enregistrée dans un fichier log dans un format choisi.
La journalisation est séparée pour les accès HTTP et FTP sur le serveur.
Le contenu de la journalisation est paramétrable: Client IP adresse; User name; Date; Time; Service; Server
name; Server IP adresse; Time taken; Client bytes sent; Server bytes sent; Service status code; Windows statuscode; Request type; Target; Parameters.
67 IvMad, 2005-2014
IIS 8.0 la journalisation (log)
68
IvMad, 2005-2014
IIS 8.0 la journalisation (log)
69
Confirmez par le bouton "Appliquer"
IvMad, 2005-2014
IIS 8.0 la journalisation (log) Un requête correcte
Une recherche de vulnérabilité
70
#Software: Microsoft Internet Information Services 8.0#Version: 1.0#Date: 2014‐02‐12 09:32:37#Fields: date time s‐ip cs‐method cs‐uri‐stem cs‐uri‐query s‐port cs‐username c‐ipcs(User‐Agent) cs(Referer) sc‐status sc‐substatus sc‐win32‐status time‐taken2014‐02‐12 09:32:37 139.124.38.134 HEAD / ‐ 80 ‐ 72.129.200.245 ‐ ‐ 200 0 64 3622014‐02‐12 09:34:25 139.124.38.134 HEAD / ‐ 80 ‐ 182.52.105.243 ‐ ‐ 200 0 0 343
#Software: Microsoft Internet Information Services 8.0#Version: 1.0#Date: 2014‐02‐12 09:52:00#Fields: date time s‐ip cs‐method cs‐uri‐stem cs‐uri‐query s‐port cs‐username c‐ip cs(User‐Agent) cs(Referer) sc‐status sc‐substatus sc‐win32‐status time‐taken2014‐02‐12 09:52:00 139.124.38.134 GET /phpTest/zologize/axa.php ‐ 80 ‐ 95.173.169.53 ‐ ‐ 404 0 2 952014‐02‐12 09:52:00 139.124.38.134 GET /phpMyAdmin/scripts/setup.php ‐ 80 ‐ 95.173.169.53 ‐ ‐ 404 0 2 782014‐02‐12 09:52:00 139.124.38.134 GET /pma/scripts/setup.php ‐ 80 ‐ 95.173.169.53 ‐ ‐ 404 0 2 782014‐02‐12 09:52:00 139.124.38.134 GET /myadmin/scripts/setup.php ‐ 80 ‐ 95.173.169.53 ‐ ‐ 404 0 2 78
IvMad, 2005-2014
IIS 8.0 un accès sécurisé (HTTPS) Pour mettre en place la sécurité sur un site il faut lui
ajouter un accès en HTTPS (HyperText Transfer Protocol Secured ‐ port 443 par défaut) en utilisant des certificats. installer une autorité de certification générer des certificats pour utiliser le protocole
HTTPS via SSL (Secure Socket Layer) Un certificat permet de garantir que l'émetteur est
bien celui qu'il prétend être. On peut aussi restreindre l'accès à certains
utilisateurs.
71 IvMad, 2005-2014
IIS 8.0 un accès sécurisé (HTTPS) Pour installer une autorité de certification, il faut ajouter un
rôle à partir du "Server Manager".
72
IvMad, 2005-2014
IIS 8.0 un accès sécurisé (HTTPS) L'assistant lance le Services de rôle et il faut choisir :
73 IvMad, 2005-2014
IIS 8.0 un accès sécurisé (HTTPS)
74
IvMad, 2005-2014
IIS 8.0 un accès sécurisé (HTTPS)
75 IvMad, 2005-2014
IIS 8.0 un accès sécurisé (HTTPS)
76
IvMad, 2005-2014
IIS 8.0 un accès sécurisé (HTTPS)
77 IvMad, 2005-2014
IIS 8.0 un accès sécurisé (HTTPS)
78
IvMad, 2005-2014
IIS 8.0 un accès sécurisé (HTTPS)
79 IvMad, 2005-2014
IIS 8.0 un accès sécurisé (HTTPS)
80
IvMad, 2005-2014
IIS 8.0 un accès sécurisé (HTTPS)
81 IvMad, 2005-2014
IIS 8.0 un accès sécurisé (HTTPS)
82
IvMad, 2005-2014
IIS 8.0 un accès sécurisé (HTTPS)
83 IvMad, 2005-2014
IIS 8.0 un accès sécurisé (HTTPS)
84
IvMad, 2005-2014
IIS 8.0 un accès sécurisé (HTTPS)
85 IvMad, 2005-2014
IIS 8.0 un accès sécurisé (HTTPS)
86
IvMad, 2005-2014
IIS 8.0 un accès sécurisé (HTTPS)
87 IvMad, 2005-2014
IIS 8.0 un accès sécurisé (HTTPS)
88
IvMad, 2005-2014
IIS 8.0 un accès sécurisé (HTTPS)
89
Indiquer le nom de fichier pour la
demande de certificat
IvMad, 2005-2014
IIS 8.0 un accès sécurisé (HTTPS)
90
Le certificat dans le fichier
CertWebRequest.txt
IvMad, 2005-2014
Configuration de HTTPS via SSL Le pas suivant est de générer un certificat auto‐signé
pour utiliser SSL. Pour cela, il faut aller dans l'assistant d'IIS7/IIS8 et ouvrir "Certificats de serveur".
91 IvMad, 2005-2014
Configuration de HTTPS via SSL On sélectionne dans le menu de droite "Créer un
certificat auto‐signé".
92
IvMad, 2005-2014
Configuration de HTTPS via SSL Nommer le certificat et on valide :
93 IvMad, 2005-2014
Configuration de HTTPS via SSL Le certificat apparait désormais dans la liste des
certificats d'IIS. On va maintenant pouvoir associer HTTPS à notre site
Web. Pour cela, clic droit sur notre site puis "Edit Binding".
Une fenêtre apparait nous spécifiant que ce site est déjà associé au protocole HTTP. Cliquez sur "Ajouter" pour lui associer HTTPS.
Il est désormais possible de choisir un certificat pour utiliser le protocole SSL pour crypter le transfert des données entre l'utilisateur et le serveur.
94
IvMad, 2005-2014
Configuration de HTTPS via SSL Ainsi, le résultat est visible à l’écran suivant. Il reste à
confirmer les informations choisies.
95 IvMad, 2005-2014
Configuration de HTTPS via SSL Pour configurer le protocole SSL sur le site Web il faut
choisir dans l'assistant d'IIS7.0 "SSL Settings". Modifier les paramètres SSL dans la fenêtre :
96
IvMad, 2005-2014
Test sur les clients (HTTPS via SSL) Lorsque l'on accède à l'adresse https://localhost/, le
navigateur nous demande si on souhaite faire confiance au certificat du site émetteur.
97 IvMad, 2005-2014
Test sur les clients (HTTPS via SSL) Si on continue, on arrive sur le site mais l'adresse est
surlignée en rouge :
98
IvMad, 2005-2014
Test sur les clients (HTTPS via SSL) Le code minimal pour une page Web, enregistrée
dans un fichier HTML nommé index.htm<html><head><title>Site MMG</title></head><body><h1 align="center">Mon site Web MMG</h1></body></html>
99 IvMad, 2005-2014
Internet Information Services 8.0 "PowerShell" avec 50 nouvelles cmdlets "Database Manager" pour "SQL Server management"
intégré dans "IIS Manager" "Configuration Editor" qui à travers un GUI génère des
scripts pour l'automatisation de certains tâches "Web Deployment Tool" pour le déploiement ou la
migration de sites Web, applications ou serveurs "WebDav" intégré nativement "URLScan" filtre nativement les requetés HTTP "FTP server services" avec ".NET XML‐based *.config" ".NET Framework" intégré dans "Server Core"
100
Sécurité des Serveurs Windows 2012
Serveur FTP 8.0WebDAV 8.0PHP avec IIS 8.0 Windows SharePoint Service
Ivan Madjarov, IUT-R&T, 2014 IvMad, 2014
Les objectifs Cette présentation a pour objectif de démontrer
qu'on peut arriver à sécuriser les services serveur disponibles à partir du kit d'installation de Windows 2008 Serveur.
Nous nous basons uniquement sur des techniques d'administrations et du bon sens approuvés dans la pratique et largement appliquer par les administrateurs de ce niveau de systèmes.
Nous évitons l'utilisation de logiciels hors Microsoft dans le cadre de ce cours pour assurer un environnement propre lié à la sécurité des accès à un service serveur basé Microsoft.
2
Partie IV
Serveur FTP (File Transfert Protocol)
Ivan Madjarov, IUT‐R&T, 2014 IvMad, 2014
FTP Installation Un serveur FTP sert à partager des fichiers entre
utilisateurs. Installation du serveur FTP pour IIS 8.0 Gestionnaire de serveur Gérer ‐> Ajouter des rôles et fonctionnalités La page "Avant de commencer" on click "Suivant" La page "Type d'installation" on choisi "Installation basée
sur un rôle ou une fonctionnalité" La page "Sélection du serveur" et on click "Suivant"
4
IvMad, 2014
FTP Installation
5 IvMad, 2014
FTP Installation
6
IvMad, 2014
FTP Installation
7 IvMad, 2014
FTP Installation
8
IvMad, 2014
FTP Installation
9 IvMad, 2014
FTP Configuration Il faut créer un dossier pour le partage du service FTP
avec un seul accès administrateur. On peut aussi se servir de la ligne de commande pour aller plus vite :mkdir "c:\inetpub\ftproot\noroute.monftp.eu"cacls "c:\inetpub\ftproot\noroute.monftp.eu" /G Administrateur:F /T /E
Pour modifier les attributs d'accès d'un utilisateur ou dossier on peut se servir de la ligne de commande avec "calcs" ou "icalcs". cacls "c:\inetpub\ftproot\noroute.monftp.eu" /G username:F /T /E
10
IvMad, 2014
FTP Configuration
11 IvMad, 2014
FTP Création d'un certificat Dans le "Gestionnaire des services Internet" on
sélectionne les "Certificats de serveur".
12
IvMad, 2014
FTP Création d'un certificat Pour créer un "Certificat auto‐signé".
13 IvMad, 2014
FTP Configuration L'espace FTP On crée un répertoire "pub" dans le chemin d'accès :
"C:\inetpub\ftproot\pub" L'espace FTP de dépôt de fichiers se crée à partir de
l'outils d’Administration de l'IIS. D'un clique droit de la souris sur le "Sites" on peut
ajouter un ou plusieurs sites FTP :
14
IvMad, 2014
FTP Configuration L’assistant de création d'un site FTP demande des
informations sur le nom du site et son accès physique.
15 IvMad, 2014
FTP Configuration Il faut configurer l’accès au site FTP puis définir les
paramètres SSL en choisissant un certificat :
16
IvMad, 2014
FTP Configuration Possibilités de choix d'authentification "anonyme" – accès publique "de base" – accès restreint aux comptes "Active Directory"
17 IvMad, 2014
FTP Configuration Après le bouton "Terminer" on obtient dans l'espace
administrateur de IIS7 :
18
IvMad, 2014
FTP client et test Pour effectuer le test on a besoin d'un client FTP (FileZilla,
par exemple) qui faut le configurer pour une connexion TLS/SSL avec le serveur FTP et le site.
19 IvMad, 2014
FTP client et test A la connexion réussie il faut accepter le certificat :
20
IvMad, 2014
FTP client et test Le contenu du répertoire est listé à présent :
21 IvMad, 2014
FTP Création automatique Dans certains cas l'installation automatique du serveur
FTP et la création aussi automatique de sites FTP peut s'avérer indispensable. Installation automatique :
cmd /c "pkgmgr /iu:IIS‐FTPSvc;IIS‐FTPExtensibility" Création automatique d'un site FTP par un script : L'accès au site est contrôlé par "Authentification de base"; Les droits "read" et "write" sont attribués au dossier
"ftproot"; Le site bloque l'accès "anonymous"; La connexion SSL n'est pas demandée, ainsi les clients se
connectent sur un canal non crypté. Suite …
22
IvMad, 2014
FTP Création automatique cd %windir%\system32\inetsrv REM ftproot is the location of the ftp data directory set ftproot=%systemdrive%\inetpub\ftproot REM ftpsite is the name of the ftp site set ftpsite="ftp site" if not exist “%ftproot%” (mkdir "%ftproot%") cacls "%ftproot%" /G IUSR:W /T /E appcmd add site /name:%ftpsite% /bindings:ftp://*:21
/physicalpath:"%ftproot%" appcmd set config ‐section:system.applicationHost/sites
[name='%ftpsite%'].ftpServer.security.ssl.controlChannelPolicy:"SslAllow" appcmd set config ‐section:system.applicationHost/sites
/[name='%ftpsite%'].ftpServer.security.ssl.dataChannelPolicy:"SslAllow" appcmd set config ‐section:system.applicationHost/sites /[name='%ftpsite%'].
ftpServer.security.authentication.basicAuthentication.enabled:true appcmd set config %ftpsite% /section:system.ftpserver/security/authorization
/+[accessType='Allow',permissions='Read,Write',roles='',users='*'] /commit:apphost
23 IvMad, 2014
FTP Virtualisation Sécuriser d'avantage le site FTP en ajoutant des
répertoires virtuels aux points sensibles :
24
IvMad, 2014
FTP Virtualisation Le répertoire virtuels est assigné par un alias qui est
confondu sur le serveur au moment de la connexion avec l'accès physique sur une partition:
25 IvMad, 2014
FTP Virtualisation La présence du répertoire virtuel est signalé dans la
fenêtre du Gestionnaire des services Internet :
26
IvMad, 2014
FTP Client et test L'accès client ajuste le dossier distant par défaut :
27 IvMad, 2014
FTP Client et test Accès au dossier résolu :
28
IvMad, 2014
FTP ‐ la journalisation (logs) Ouvrez le Gestionnaire des services Internet. Dans le volet Connexions, sélectionnez le niveau serveur ou
site. Dans Affichage des fonctionnalités, double‐cliquez sur l'icône
Journalisation FTP. Dans le menu Un fichier journal par, sélectionnez Site ou
Serveur. Dans Fichier journal, cliquez sur Sélectionner des champs
W3C et sélectionnez les informations à journaliser. Dans Répertoire, tapez le chemin du dossier de base dans
lequel vous voulez stocker les fichiers journaux FTP ou cliquez sur le bouton Parcourir pour naviguer jusqu'au dossier de base.
29 IvMad, 2014
FTP ‐ la journalisation (logs) Dans Encodage, sélectionnez UTF8 ou ANSI. Dans Substitution de fichier journal, sélectionnez la façon
dont FTP crée les fichiers journaux dans la liste suivante : Planification : sélectionnez Toutes les heures, Tous les jours,
Toutes les semaines ou Tous les mois pour créer les fichiers journaux à des intervalles fixes.
Taille de fichier maximale (en octets) : entrez un entier positif pour créer de nouveaux fichiers journaux lorsque la taille de fichier dépasse le nombre d'octets indiqué.
Cochez la case Utiliser l'heure locale pour la désignation et la substitution du fichier pour spécifier que l'heure locale et non l'heure universelle coordonnée (UTC) est utilisée pour la désignation et la substitution du fichier journal.
30
Partie V
Serveur WebDAV 8
(partage de fichiers via le Web)
Ivan Madjarov, IUT‐R&T, 2005‐2014 IvMad, 2014 32
Partage WebDAV WebDAV (Web‐based Distributed Authoring and
Versioning) est une extension du protocole HTTP/1.1 WebDAV utilise le port 80. Facilite la publication des pages sur un site Web (IE
5.x‐8x, MS Office de XP à 2013). Développement en collaboration entre plusieurs
auteurs. Peut remplacer le protocole FTP, car plus sécurisé et
plus fonctionnel. Peut jouer le rôle de serveur de fichiers.
IvMad, 2014 33
Partage WebDAV Pour installer et activer le WebDAV dans Microsoft
Windows 2012 Server, procédez comme suit : Dans Assistant "Ajout de rôles et de fonctionnalités",
cliquez sur "Installation basée sur un rôle ou une fonctionnalité", puis sur "Suivant".
Sélectionnez votre serveur et cliquez sur "Suivant". Développez Serveur Web (IIS) > Serveur Web >
Fonctionnalités HTTP communes, puis sélectionnez Publication WebDAV.
Cliquez sur Suivant > Suivant, puis sur Installer.
IvMad, 2014 34
Partage WebDAV
IvMad, 2014 35
Partage WebDAV
IvMad, 2014 36
Partage WebDAV
IvMad, 2014 37
Partage WebDAV
IvMad, 2014 38
Partage WebDAV Installation Sous Connexions, développez votre serveur Web,
puis Sites et sélectionnez votre site Web. Cliquez deux fois sur Règles de création WebDAV. Cliquez sur Activer WebDAV. Cliquez sur Paramètres WebDAV. Si l'accès anonyme est activé, sélectionnez True pour
Autoriser les requêtes de propriété anonymes et cliquez sur Appliquer.
Sélectionnez le répertoire ou le répertoire virtuel auquel vous souhaitez autoriser l'accès à WebDAV.
Cliquez deux fois sur Règles de création WebDAV.
IvMad, 2014 39
Partage WebDAV Installation Cliquez sur Ajouter une règle de création et ajoutez les
règles appropriées pour votre environnement. Cliquez avec le bouton droit de la souris sur le répertoire
ou le répertoire virtuel dans lequel vous avez ajouté des règles de création et cliquez sur Modifier les autorisations.
Cliquez sur Sécurité et ajoutez les droits d'accès appropriés. Par exemple, si vous autorisez l'accès anonyme à votre serveur Web, ajoutez des droits d'accès pour l'utilisateur à accès anonyme. Vous pouvez trouver cet utilisateur en sélectionnant le site Web, en cliquant deux fois sur Authentification et en affichant les propriétés pour les utilisateurs affichés.
IvMad, 2014 40
Partage WebDAV Installation On voit apparaître un nouvel icône dans l’assistant
de IIS7 et IIS8 :
IvMad, 2014 41
WebDAV 8 Configuration Pour activer WebDAV, cliquez sur
"Règles de création WebDAV" :
IvMad, 2014 42
WebDAV 8 Configuration Dans le gestionnaire des services Internet "Activer
WebDAV" ou "Désactiver WebDAV":
IvMad, 2014 43
WebDAV 8 Configuration WebDAV est maintenant activée. Il faut configurer les autorisations pour accéder au
partage des fichiers. Pour cela, cliquez dans le menu de droite sur
"Ajouter une règle de création". La fenêtre suivante permet de configurer une règle
WebDAV. Le premier onglet permet de définir les fichiers accessibles via
WebDAV. Le second onglet permet de définir les utilisateurs pouvant
accéder au WebDAV. Le dernier onglet permet de définir les permissions des
utilisateurs. IvMad, 2014 44
WebDAV 8 Configuration Les droits sont attribués à l’utilisateur "IvMad" ou à "Tous les
utilisateurs" et ils peuvent accéder à tous les types de fichiers présents sur le serveur :
IvMad, 2014 45
WebDAV 8 Configuration Les données sont désormais présentes sur la console de IIS
IvMad, 2014 46
WebDAV 8 Configuration WebDAV utilise le mode d’authentification "Authentification Windows" : utilise le login et mot de
passe de connexion Windows) "Authentification de base" : Authentification via une pop‐
up couplé avec SSL. La configuration du mode d’authentification est accessible
par l’assistant d’IIS7 et dans "Authentification"
IvMad, 2014 47
WebDAV 8 Configuration Il suffit d’activer le module souhaité par une sélection :
"Activer" ou "Désactiver".
Ainsi, on n’autorise que les utilisateurs authentifiés et non les utilisateurs anonymes
IvMad, 2014 48
WebDAV 8 Test Pour faire le test il nous faut un client. On peut utiliser
un Windows 7 qui se connecte au serveur via l’utilisateur "Administrateur".
Pour accélérer la connexion on peut définir par la commande :net use Lecteur: URLainsi, on crée un lecteur réseau qui pointe vers le répertoire configuré WebDAV.
IvMad, 2014 49
WebDAV 8 Test Le gestionnaire de fichiers sous Windows 7 contient
désormais un lecteur réseau sur Z: Partie IV
Windows SharePoint Services
Ivan Madjarov, IUT‐R&T, 2010
IvMad, 2014
Windows SharePoint Services WSS est natif pour W2008SRV. WSS est un moteur de "groupware" offrant des
fonctionnalités de portail Web et d'Intranet Au travers d'un site WSS on peut gérer un planning, ou
gérer les différentes versions d'un document. Les services SharePoint sont utilisés par les applications
de portail Web Microsoft Office SharePoint Portal Server Microsoft Office Project Server.
WSS est lié à une BD référentiel de toutes les données : BD de configuration les données de contenu.
51 IvMad, 2014
Windows SharePoint Services Les sites WSS reposent sur la technologie ASP.NET et
doivent être hébergés via le serveur Web de IIS. Le stockage des informations est confié à une BD
Microsoft SQL Server. L'authentification peut être basé soit sur: un annuaire Active Directory, un annuaire LDAP, une authentification dite "Forms" basée sur des
providers ASP.NET L'interface utilisateur exploite des fonctionnalités
spécifiques à Internet Explorer (ActiveX, Javascript et HTML).
52
IvMad, 2014
Windows SharePoint Services 20 modèles d'application d'administrateur de serveur
de WSS 3.0 sont disponibles à téléchargement
Les modèles compris dans ce téléchargement sont les suivants: Gestion des demandes de congé et de la planification des
absences Budgétisation et suivi de plusieurs projets Centre d'appels Gestion des demandes de modification Gestion des contacts Révision et bibliothèque de documents Planification d'événements
53 IvMad, 2014
Windows SharePoint Services Site d'approbation et de remboursement des dépenses Service d'assistance Suivi du stock Espace de travail de l'équipe informatique Gestion des entretiens et des offres d'emploi Base de connaissances Bibliothèque de prêt Gestion et suivi des biens physiques Espace de travail de suivi de projet Réservations d'équipement et de salles Pipeline de prospect
54
IvMad, 2014
Serveur Web: "Valk" Le cours est disponible à l'adresse:
http://valk.iut‐gtr.univ‐mrs.fr/IIS
55
Sécurité des Serveurs Windows 2008/2003
Systèmes d’exploitation WindowsIIS 7.0 / IIS 6.0Serveur Web Serveur FTPWebDAVWindows SharePoint ServicePHP avec IIS 7.0ASP.NET
Ivan Madjarov, IUT-R&T, 2005-2012 1 IvMad, 2005-2012
Les objectifs Cette présentation a pour objectif de démontrer la
faisabilité d’une sécurisation des services serveur à partir du kit d'installation de Windows 2008 Server.
Nous nous basons uniquement sur des techniques d'administrations et du bon sens approuvés dans la pratique et largement appliquer par les administrateurs de ce niveau des systèmes.
Nous évitons l'utilisation de logiciels hors Microsoft dans le cadre de ce cours pour assurer un environnement propre lié à la sécurité des accès à un service serveur basé Microsoft.
2
Partie I
Le Système d'Exploitation
3IvMad, 2005-2012 IvMad, 2005-2012
Système d’exploitation Un système d'exploitation est composé : d'un noyau ; de bibliothèques ; d'un ensemble d'outils système ; de programmes
applicatifs de base.
4
IvMad, 2005-2012
Système d’exploitation ‐ noyau Gestion de l'exécution des processus: Gestion de la mémoire pour chaque processus; Ordonnancement des processus (répartition du
temps d'exécution des processeurs); Synchronisation et communication entre processus.
Gestion du temps Partage de la ressource entre processus.
Gestion du systèmes de fichiers; Gestion des protocoles réseau (TCP/IP, IPX, etc.); Gestion des périphériques par des pilotes (driver).
5 IvMad, 2005-2012
Système d’exploitation ‐ noyau Architecture d'un noyau‐monolithique (Kernel)
6
IvMad, 2005-2012
Systèmes d’exploitation Windows Windows - Live Cycle
7 IvMad, 2005-2012
Windows 2008 Server Windows Server 2008 est conçu pour aider les
administrateurs système à rationaliser leurs infrastructures.
La nouvelle démarche "IO Model" consiste à : réduire les coûts liés à l’administration des systèmes; augmenter le niveau de sécurité; augmenter le niveau de service; rendre l’infrastructure plus agile.
8
IvMad, 2005-2012
Windows 2008 Server WS 2008 innove sur plusieurs axes: Console Server Manager pour installer, configurer et
administrer les serveurs locaux et distants Option d’installation Server Core qui diminue la surface
exposée aux risques informatiques Hyper‐V, "l’hyperviseur" est une architecture qui héberge
des machines virtuelles multiprocesseurs (32 et 64 bits) Internet Information Server 7.0 (IIS 7) avec fonctions ASP,
ASP.NET et PHP, plus sécurisé et mieux administré. Windows SharePoint Services 3.0 (WSS 3.0) permet de
créer des sites Web spécialisés pour le partage d’informations, de documents ou toutes autres démarches collaboratives.
9
Partie II
Internet Information Server 7.0
(IIS 7.0)
10IvMad, 2005-2012
IvMad, 2005-2012
IIS 7.0 – Nouvelle architecture Sous IIS 7.0, l’ensemble des fonctionnalités est découpé en
modules qui s’intègrent dans une procédure de traitement appelée pipeline.
Possibilité de chargement ou déchargement des modules fonctionnels selon la demande.
Les avantages de cette architecture sont multiples: Allègement du serveur qui bénéficie ainsi de meilleures
performances. Une personnalisation plus poussée selon les besoins. Une plus grande facilitée à sécuriser le serveur par la
réduction des profils de vulnérabilité. Une maintenance plus facile car seules les mises à jours des
modules activés sont téléchargés et installés.
11 IvMad, 2005-2012
IIS 7.0 – Nouvelle architectureArchitecture interne de l’IIS 7.0 et son implémentation dans le système d’exploitation "Windows 2008 Server"
12
IvMad, 2005-2012
IIS 7.0 – Les modules Développement applicatif Infrastructure de développement et d'hébergement des
applications pour créer des contenus ou pour étendre la fonctionnalité des services
Intégrité et diagnostics Infrastructure pour analyser, gérer et dépanner les
serveurs et les applications Web Sécurité infrastructure pour sécuriser le serveur Web face aux
utilisateurs et aux requêtes (demandes) Performances infrastructure pour mettre en cache le flux de sortie
13 IvMad, 2005-2012
IIS 7.0 – Les modules Outils de gestion Infrastructure pour gérer un serveur Web : interface utilisateur, outils en ligne de commande scripts IIS (XML).
Service de publication FTP Intègre le serveur FTP et la console de gestion
FTP. Service WebDAV (HTTP 1.1) Service ASP.NET
14
IvMad, 2005-2012
IIS 7.0 – La configuration La configuration de l'IIS7 repose sur une hiérarchie de
fichiers XML : applicationHost.config : Un fichier qui contient la
configuration globale côté serveur. web.config : Un fichier qui contient la configuration d’un
site Web défini. L'administration du serveur est améliorée: AppCmd.exe : outil de ligne de commande InetMgr.exe : Interface graphique très complète qui
permet de gérer entièrement le serveur. Les outils d’administration sont accessibles à distance
via une connexion HTTPS/SSL.
15 IvMad, 2005-2012
IIS 7.0 – Le schéma fonctionnel IIS 7.0 est un serveur
sécurisé, fiable et évolutive
WAS gère la configuration du pool d'applications
Worker process exécute les applications Web
IIS protocol adapter reçoit les messages HTTP et lescommunique au WAS
WMSvc permet la gestion àdistance d'un serveur Web
16
IvMad, 2005-2012
Installation de W2008 Serveur Règle générale: Installez le système d’exploitation Windows 2008
serveur sans aucun service additionnel; Installer ensuite les patches et les mises à jour du
système Windows 2008 Serveur; Arrêtez tous les services qui ne vous servent pas. Désinstallez tous les protocoles réseaux à
l'exception du TCP/IP.
17 IvMad, 2005-2012
Installation de W2008 Serveur Server Core (version minime) : A l'installation de Windows Server 2008, on peut
procéder à une installation Server Core quicomprend une installation de serveur minimale del'ensemble Windows Server 2008.
Avec ce type d'installation, l'interface Windowstraditionnelle n'est pas installée et la configurationse fait à partir de l'invite de commande.
Le rôle de serveur Web est disponible mais certainsmodules tels que le .NET Framework et le codemanagé ne le sont pas. La version "Hyper‐V" est la plus complète
18
IvMad, 2005-2012
Installation de IIS 7.0 Démarrer/Panneau de Configuration/Programmes et
fonctionnalités
Pour activer une fonctionnalité Windows encore non installée
19 IvMad, 2005-2012
Installation de IIS 7.0 Activer ou désactiver des fonctionnalités Windows
Pour installer IIS 7.0 il faut "Ajouter des rôles"
20
IvMad, 2005-2012
Installation de IIS 7.0 Liste des rôles disponibles
Choisir le rôle "Serveur Web (IIS)"
21 IvMad, 2005-2012
Installation de IIS 7.0 Écran d’introduction au serveur Web et services attachés
22
IvMad, 2005-2012
Installation de IIS 7.0 Pour le rôle serveur Web choisir les services attachés
Choisir les services nécessaire pour le fonctionnement du rôle serveur Web selon les besoins du moment et l’utilisation du serveur
23 IvMad, 2005-2012
Installation de IIS 7.0 Revue des fonctionnalité et services choisies avant le
lancementde l’installation
24
IvMad, 2005-2012
Installation de IIS 7.0 État du processus d’installation des services
25 IvMad, 2005-2012
Installation de IIS 7.0 Confirmation des résultats de l’installation
26
IvMad, 2005-2012
Installation de IIS 7.0 Composants du serveur Web (IIS)
Liste des services système
Liste des services de rôle
27 IvMad, 2005-2012
Installation de IIS 7.0 La page d’accueil en local de l’IIS7 :
Le serveur Web répond en local à l’URL: http://localhost
28
IvMad, 2005-2012
Gestion de IIS 7.0 Le gestionnaire du serveur Web
1. Gestionnaire de serveur
2. Rôles3. Serveur Web4. Gestionnaire
des services5. Sites6. Site par défaut
inetmgr.exe : Outil d’administration accessible et à distance par protocole sécurisé
29 IvMad, 2005-2012
Configuration de IIS 7.0 Approche générale de sécurité : Fermer la connexion Internet à l’installation des
services IIS; Télécharger la dernière version des Service Pack et
les Patchs pour IIS; Activer Automatic Update pour le système
d’exploitation; Désactiver l’accès Internet pour le site Web par
défaut (default Web site) : Pour faire ça, il suffi d’associé le site par défaut à l’adresse
127.0.0.1. L’accès au site par défaut reste disponible uniquement par le navigateur de la machine locale.
30
IvMad, 2005-2012
Site Web Création d’un site Web
Clique droit de la souris sur "Sites" et choisir"Ajouter un site Web"
31 IvMad, 2005-2012
Ajouter un Site Web Configurer le nouveau site Web
Nom d’accès au site par un navigateur
Adresse absolue sur unité physique
Accessibilité: protocole et port, ainsi que le nom de la machine hébergeur
32
IvMad, 2005-2012
Ajouter un Site Web Accéder au nouveau site Web<html><head><title>Site MMG</title></head><body><h1 align="center">Mon site Web MMG</h1></body></html>
Enregistré sous index.htmdans le répertoireC:\inetpub\wwwroot\MMG
33 IvMad, 2005-2012
Ajouter un répertoire virtuel Sécurité accrue par le détachement des URLs des chemins
d’accès physiques du site.Clique droit de la souris sur le nom du site (MMG) pour ouvrir le menu déroulant et "Ajouter un répertoire virtuel"
34
IvMad, 2005-2012
Ajouter un répertoire virtuel L’alias du répertoire virtuel est substitué par son accès
absolu à travers le URL sur le serveur Web en affichant la page associée.
35 IvMad, 2005-2012
Manager IIS 7.0 avec AppCmd.exe AppCmd.exe est un outil de ligne de commande
pour configurer et interroger des objets sur le serveur Web.
Le résultat retourné est sous forme de texte ou XML. Les tâches à effectuer sont : Créer et configurer des sites, applications, pools
d'applications et répertoires virtuels. Démarrer et arrêter des sites Web. Démarrer, arrêter et recycler des pools
d'applications. Afficher des informations sur les processus actifs et
les requêtes en cours sur le serveur Web.36
IvMad, 2005-2012
Manager IIS 7.0 avec AppCmd.exe Démarrer AppCmd.exe avec droit d’administrateur :
Accéder au répertoire
Activer l’outil
StartStopListAddDeleteset
37 IvMad, 2005-2012
Manager IIS 7.0 avec AppCmd.exe Syntaxe de la commande APPCMD:
APPCMD (command) (objet‐type) <identifier></parameter:value1 …>
Chaque objet‐type possède ses propres commandes:
38
IvMad, 2005-2012
Manager IIS 7.0 avec AppCmd.exe Pour chaque commande d’un objet‐type on peut
obtenir ses propres commandes:
39 IvMad, 2005-2012
Manager IIS 7.0 avec AppCmd.exe Démarrer ou arrêter un site Web dont on ne
connait pas apriori le nom. appcmd list sites : affiche la liste des sites installés
sur le serveur. appcmd stop sites "Default Web Site" : arête
le site nommé "Default Web Site".
40
IvMad, 2005-2012
Manager IIS 7.0 avec AppCmd.exe Ajouter un nouveau site au serveur Web :
appcmd add site /name: string /id: int /physicalPath: string /bindings: string /name : nom du site /id : identificateur du site /physicalPath : chemin d’accès absolu au site /bindings : protocol/IP_address:port:host_header
41 IvMad, 2005-2012
Manager IIS 7.0 avec AppCmd.exe Ajouter un nouveau site au serveur Web avec un accès
virtuel pour tout le monde par le nom du site sur le port 80 vers un chemin d’accès absolu:> APPCMD add site /name:monSiteTest /id:3 /bindings:http/*:81: /physicalPath:C:\IvMad\SiteWeb\monSiteTest
42
IvMad, 2005-2012
Manager IIS 7.0 avec AppCmd.exe L’outil AppCmd peut générer des sorties XML:
>AppCmd List Sites /XML
43 IvMad, 2005-2012
Manager IIS 7.0 avec AppCmd.exe config des sites dans le fichier applicationHost.config
44
IvMad, 2005-2012
Manager IIS 7.0 avec AppCmd.exe Faire une sauvegarde de la configuration : Pour créer une nouvelle sauvegarde de la
configuration nommée par exemple "Backup_1", taper la commande :
appcmd add backup "Backup_1«
La sauvegarde est créé dans le dossier "inetsrv/backup" :
45 IvMad, 2005-2012
Manager IIS 7.0 avec AppCmd.exe Pour lister les sauvegardes existantes :
appcmd list backup
Pour restaurer la sauvegarde nommée "Backup_1" : appcmd restore backup "Backup_1"
46
IvMad, 2005-2012
Les méthodes d’authentification Sélection les trois méthodes disponibles.
47 IvMad, 2005-2012
Les méthodes d’authentification Authentification de base : On utilise l’authentification de base pour restreindre
les accès aux fichiers sur un serveur Web. La méthode se base sur l’ID utilisateur. La méthode encode les informations en base 64 sans
les chiffrer, et les envois en clair sur le réseau, ce qui présente un problème de sécurité.
La méthode nécessite un compte par utilisateur, et les différents droits d’ouverture de session doivent être accordés à ce compte.
48
IvMad, 2005-2012
Les méthodes d’authentification Authentification Windows : Cette méthode intégrée est plus sécurisée que
l'authentification de base et fonctionne bien dans un environnement Intranet dans lequel les utilisateurs possèdent des comptes de domaine Windows.
Dans ce cadre, le navigateur tente d'utiliser les informations d'identification de l'utilisateur actuel à partir d'une ouverture de session sur un domaine. En cas d'échec, l'utilisateur est invité à entrer un nom d'utilisateur et un mot de passe.
A l’utilisation de cette méthode le mot de passe de l'utilisateur n'est pas transmis au serveur.
49 IvMad, 2005-2012
Les méthodes d’authentification Authentification Digest : Avec l'authentification Digest le mot de passe n'est
pas envoyé en texte clair. On peut utiliser l'authentification Digest par
l'intermédiaire d'un serveur proxy. La méthode d'authentification Digest s'appuie sur un
mécanisme de stimulation/réponse (utilisé par l'authentification Windows intégrée) dans lequel le mot de passe est envoyé sous forme chiffrée.
50
IvMad, 2005-2012
Installation automatisée de IIS 7.0 Certain organisme installe un nombre conséquent
de IIS serveurs en diverses localisations. Windows 2008 Serveur propose Windows
Deployment Services (WDS) pour un déploiement automatisé des technologies serveur.
IIS 7.0 peut être entièrement installé à partir de la ligne de commande à l’aide de l’outil : start /w pkgmgr.exe /iu:update1;update2…
Un minimum du rôle serveur Web:start /w pkgmgr /iu:IIS-WebServerRole;WAS-WindowsActivationService;WAS-ProcessModel;WAS-NetFxEnvironment;WAS-ConfigurationAPI
51 IvMad, 2005-2012
Installation automatisée de IIS 7.0 Une installation complète demande le script :
start /w pkgmgr /iu:IIS‐WebServerRole;IIS‐WebServer;IIS‐CommonHttpFeatures;IIS‐StaticContent;IIS‐DefaultDocument;IIS‐DirectoryBrowsing;IIS‐HttpErrors;IIS‐HttpRedirect;IIS‐ApplicationDevelopment; IIS‐ASPNET;IIS‐NetFxExtensibility;IIS‐ASP;IIS‐CGI;IIS‐ISAPIExtensions;IIS‐ISAPIFilter;IIS‐ServerSideIncludes;IIS‐HealthAndDiagnostics;IIS‐HttpLogging;IIS‐LoggingLibraries;IIS‐RequestMonitor;IIS‐HttpTracing;IIS‐CustomLogging;IIS‐ODBCLogging;IIS‐Security;IIS‐BasicAuthentication;IIS‐WindowsAuthentication;IIS‐DigestAuthentication; IIS‐ClientCertificateMappingAuthentication;IIS‐IISCertificateMappingAuthentication;IIS‐URLAuthorization;IIS‐RequestFiltering;IIS‐IPSecurity;IIS‐Performance;IIS‐HttpCompressionStatic;IIS‐HttpCompressionDynamic;IIS‐WebServerManagementTools;IIS‐ManagementConsole;IIS‐ManagementScriptingTools;IIS‐ManagementService;IIS‐IIS6ManagementCompatibility;IIS‐Metabase;IIS‐WMICompatibility;IIS‐LegacyScripts;IIS‐LegacySnapIn;IIS‐FTPPublishingService;IIS‐FTPServer;IIS‐FTPManagement;WAS‐WindowsActivationService;WAS‐ProcessModel;WAS‐NetFxEnvironment;WAS‐ConfigurationAPI
52
IvMad, 2005-2012
Installation automatisée de IIS 7.0 Une interface XML est également proposée :
start /w pkgmgr /n:{unattend XML} Le fichier XML contient le script de l’installation minime:
<?xml version=”1.0” ?><unattend xmlns=”urn:schemas‐microsoft‐com:unattend” xmlns:wcm=http://schemas.microsoft.com/WMIConfig/2002/State><servicing><package action=”configure”><assembly Identity name=”Microsoft‐Windows‐Foundation‐Package” version=”6.0.5308.6” language=”neutral” processorArchitecture=”x86” publicKeyToken=”31bf3856ad364e35”versionScope=”nonSxS”/><selection name=”IIS‐WebServerRole” state=”true”/><selection name=”WAS‐WindowsActivationService” state=”true”/><selection name=”WAS‐ProcessModel” state=”true”/><selection name=”WAS‐NetFxEnvironment” state=”true”/><selection name=”WAS‐ConfigurationAPI” state=”true”/></package>
53 IvMad, 2005-2012
IIS 7.0 un accès sécurisé (HTTPS) Pour mettre en place la sécurité sur un site créé
précédemment il faut lui ajouter un accès en HTTPS(HyperText Transfer Protocol Secured) en utilisant des certificats. installer une autorité de certification générer des certificats pour utiliser le protocole
HTTPS via SSL (Secure Socket Layer) Un certificat permet de garantir que l'émetteur est
bien celui qu'il prétend être. On peut aussi restreindre l'accès à certains
utilisateurs.
54
IvMad, 2005-2012
IIS 7.0 un accès sécurisé (HTTPS) Pour installer une autorité de certification, il faut
ajouter un rôle à partir du "Server Manager".
55 IvMad, 2005-2012
IIS 7.0 un accès sécurisé (HTTPS) L'assistant se lance et il faut choisir :
56
IvMad, 2005-2012
IIS 7.0 un accès sécurisé (HTTPS) On configure l’autorité en fonction des besoins et
du réseau.
57 IvMad, 2005-2012
IIS 7.0 un accès sécurisé (HTTPS) L’inscription de l’autorité de certification via le Web
comporte des services à ajouter dans ce rôle :
58
IvMad, 2005-2012
IIS 7.0 un accès sécurisé (HTTPS) Tous les éléments sont maintenant réunis
59 IvMad, 2005-2012
IIS 7.0 un accès sécurisé (HTTPS) Il en existe 2 types d’autorité de certification :
60
IvMad, 2005-2012
IIS 7.0 un accès sécurisé (HTTPS) Choix si l’autorité de certification est à la racine de
l’infrastructure à clef publique ou dépend d'une autre.
61 IvMad, 2005-2012
IIS 7.0 un accès sécurisé (HTTPS) On génère une paire de clefs à l'autorité de certification
(clef publique / clef privée). On peut soit en créer une nouvelle soit en choisir uneexistante.
62
IvMad, 2005-2012
IIS 7.0 un accès sécurisé (HTTPS) On renseigne les paramètres de chiffrement des clés.
J'ai choisis d'utiliser l'algorithme RSA/SHA avec une clef d'une longueur de 4096 BITS.
63 IvMad, 2005-2012
IIS 7.0 un accès sécurisé (HTTPS) On donne un nom à l’autorité de certification :
64
IvMad, 2005-2012
IIS 7.0 un accès sécurisé (HTTPS) On choisit la période de validité des certificats :
65 IvMad, 2005-2012
IIS 7.0 un accès sécurisé (HTTPS) Valider les chemins par défaut de l’autorité de
certification :
66
IvMad, 2005-2012
IIS 7.0 un accès sécurisé (HTTPS) Après avoir confirmé les quelques écrans qui suivent on
aboutit à l’écran de l’installation qui résume tous les paramètres choisis!
67 IvMad, 2005-2012
IIS 7.0 un accès sécurisé (HTTPS) La progression du processus d‘installation :
68
IvMad, 2005-2012
IIS 7.0 un accès sécurisé (HTTPS) Le récapitulatif de fin d’installation :
69 IvMad, 2005-2012
Configuration de HTTPS via SSL Le pas suivant est de générer un certificat auto‐signé
pour utiliser SSL. Pour cela, il faut aller dans l'assistant d'IIS7 et ouvrir "Certificats de serveur".
70
IvMad, 2005-2012
Configuration de HTTPS via SSL On sélectionne dans le menu de droite "Créer un
certificat auto‐signé".
71 IvMad, 2005-2012
Configuration de HTTPS via SSL Nommer le certificat et on valide :
72
IvMad, 2005-2012
Configuration de HTTPS via SSL Le certificat apparait désormais dans la liste des
certificats d'IIS. On va maintenant pouvoir associer HTTPS à notre site
Web. Pour cela, clic droit sur notre site puis "Edit Binding".
Une fenêtre apparait nous spécifiant que ce site est déjà associé au protocole HTTP. Cliquez sur "Ajouter" pour lui associer HTTPS.
Il est désormais possible de choisir un certificat pour utiliser le protocole SSL pour crypter le transfert des données entre l'utilisateur et le serveur.
73 IvMad, 2005-2012
Configuration de HTTPS via SSL Ainsi, le résultat est visible à l’écran suivant. Il reste à
confirmer les informations choisies.
74
IvMad, 2005-2012
Configuration de HTTPS via SSL Pour configurer le protocole SSL sur le site Web il faut
choisir dans l'assistant d'IIS7.0 "SSL Settings". Modifier les paramètres SSL dans la fenêtre :
75 IvMad, 2005-2012
Test sur les clients (HTTPS via SSL) Lorsque l'on accède à l'adresse https://localhost/, le
navigateur nous demande si on souhaite faire confiance au certificat du site émetteur.
76
IvMad, 2005-2012
Test sur les clients (HTTPS via SSL) Si on continue, on arrive sur le site mais l'adresse est
surlignée en rouge :
77 IvMad, 2005-2012
Test sur les clients (HTTPS via SSL) Le code minimal pour une page Web, enregistrée
dans un fichier HTML nommé index.htm<html><head><title>Site MMG</title></head><body><h1 align="center">Mon site Web MMG</h1></body></html>
78
IvMad, 2005-2012
Internet Information Services 7.5 "PowerShell" avec 50 nouvelles cmdlets "Database Manager" pour "SQL Server management"
intégré dans "IIS Manager" "Configuration Editor" qui à travers un GUI génère des
scripts pour l'automatisation de certains tâches "Web Deployment Tool" pour le déploiement ou la
migration de sites Web, applications ou serveurs "WebDav" intégré nativement "URLScan" filtre nativement les requetés HTTP "FTP server services" avec ".NET XML‐based *.config" ".NET Framework" intégré dans "Server Core"
79 IvMad, 2005-2012
Internet Information Services 7.5 Remarques: A ajouter pour 2012
Pages web en html pour chaque site et niveau de configuration Page html pour répertoire virtuel
80
Sécurité des Serveurs Windows 2008
Serveur FTP 7.5WebDAV 7.5PHP avec IIS 7.0 et IIS 6.0Windows SharePoint Service
Ivan Madjarov, IUT-R&T, 2012 IvMad, 2012
Les objectifs Cette présentation a pour objectif de démontrer
qu'on peut arriver à sécuriser les services serveur disponibles à partir du kit d'installation de Windows 2008 Serveur.
Nous nous basons uniquement sur des techniques d'administrations et du bon sens approuvés dans la pratique et largement appliquer par les administrateurs de ce niveau de systèmes.
Nous évitons l'utilisation de logiciels hors Microsoft dans le cadre de ce cours pour assurer un environnement propre lié à la sécurité des accès à un service serveur basé Microsoft.
2
Partie IV
Serveur FTP (File Transfert Protocol)
Ivan Madjarov, IUT‐R&T, 2012 IvMad, 2012
FTP Installation Un serveur FTP sert à partager des fichiers entre
utilisateurs. Installation du serveur FTP 7.x pour IIS 7.0 Télécharger FTP 7.x du le site de Microsoft la version incluse dans IIS 7.0 est la version 6.www.microsoft.com/france/telechargements/default.aspx Le fichier à télécharger pour la version FTP 7.5 porte
le nom :"ftp7_x86fre_fr‐fr.msi".
4
IvMad, 2012
FTP Installation Télécharger et exécuter le fichier .msi:
5 IvMad, 2012
FTP Installation Une fois le fichier téléchargé, l’assistant
d’installation se lance automatiquement :
6
IvMad, 2012
FTP Installation Cliquez sur suivant et acceptez la licence.
7 IvMad, 2012
FTP Installation Liste de modules pour maximum de performance :
8
IvMad, 2012
FTP Installation Validez pour installer FTP 7.5
9 IvMad, 2012
FTP Installation Progression de l'installation pour FTP 7.5
10
IvMad, 2012
FTP Installation Installation terminée de FTP 7.5
11 IvMad, 2012
FTP Installation Une série de nouveaux icônes apparaissent dans la
fenêtre d’administration d’IIS7 :
12
IvMad, 2012
FTP Configuration Il faut créer un dossier pour le partage du service FTP
avec un seul accès administrateur. On peut aussi se servir de la ligne de commande pour aller plus vite :mkdir "c:\inetpub\ftproot\noroute.monftp.eu"cacls "c:\inetpub\ftproot\noroute.monftp.eu" /G Administrateur:F /T /E
Pour modifier les attributs d'accès d'un utilisateur ou dossier on peut se servir de la ligne de commande avec "calcs" ou "icalcs". cacls "c:\inetpub\ftproot\noroute.monftp.eu" /G username:F /T /E
13 IvMad, 2012
FTP Configuration
14
IvMad, 2012
FTP Création d'un certificat Dans le "Gestionnaire des services Internet" on
sélectionne les "Certificats de serveur".
15 IvMad, 2012
FTP Création d'un certificat Pour créer un "Certificat auto‐signé".
16
IvMad, 2012
FTP Configuration L'espace FTP On crée un répertoire "pub" dans le chemin d'accès :
"C:\inetpub\ftproot\pub" L'espace FTP de dépôt de fichiers se crée à partir de
l'outils d’Administration de l'IIS. D'un clique droit de la souris sur le "Sites" on peut
ajouter un ou plusieurs sites FTP :
17 IvMad, 2012
FTP Configuration L’assistant de création d'un site FTP demande des
informations sur le nom du site et son accès physique.
18
IvMad, 2012
FTP Configuration Il faut configurer l’accès au site FTP puis définir les
paramètres SSL en choisissant un certificat :
19 IvMad, 2012
FTP Configuration Possibilités de choix d'authentification "anonyme" – accès publique "de base" – accès restreint aux comptes "Active Directory"
20
IvMad, 2012
FTP Configuration Après le bouton "Terminer" on obtient dans l'espace
administrateur de IIS7 :
21 IvMad, 2012
FTP client et test Pour effectuer le test on a besoin d'un client FTP (FileZilla,
par exemple) qui faut le configurer pour une connexion TLS/SSL avec le serveur FTP et le site.
22
IvMad, 2012
FTP client et test A la connexion réussie il faut accepter le certificat :
23 IvMad, 2012
FTP client et test Le contenu du répertoire est listé à présent :
24
IvMad, 2012
FTP Création automatique Dans certains cas l'installation automatique du serveur
FTP et la création aussi automatique de sites FTP peut s'avérer indispensable. Installation automatique :
cmd /c "pkgmgr /iu:IIS‐FTPSvc;IIS‐FTPExtensibility" Création automatique d'un site FTP par un script : L'accès au site est contrôlé par "Authentification de base"; Les droits "read" et "write" sont attribués au dossier
"ftproot"; Le site bloque l'accès "anonymous"; La connexion SSL n'est pas demandée, ainsi les clients se
connectent sur un canal non crypté. Suite …
25 IvMad, 2012
FTP Création automatique cd %windir%\system32\inetsrv REM ftproot is the location of the ftp data directory set ftproot=%systemdrive%\inetpub\ftproot REM ftpsite is the name of the ftp site set ftpsite="ftp site" if not exist “%ftproot%” (mkdir "%ftproot%") cacls "%ftproot%" /G IUSR:W /T /E appcmd add site /name:%ftpsite% /bindings:ftp://*:21
/physicalpath:"%ftproot%" appcmd set config ‐section:system.applicationHost/sites
[name='%ftpsite%'].ftpServer.security.ssl.controlChannelPolicy:"SslAllow" appcmd set config ‐section:system.applicationHost/sites
/[name='%ftpsite%'].ftpServer.security.ssl.dataChannelPolicy:"SslAllow" appcmd set config ‐section:system.applicationHost/sites /[name='%ftpsite%'].
ftpServer.security.authentication.basicAuthentication.enabled:true appcmd set config %ftpsite% /section:system.ftpserver/security/authorization
/+[accessType='Allow',permissions='Read,Write',roles='',users='*'] /commit:apphost
26
IvMad, 2012
FTP Virtualisation Sécuriser d'avantage le site FTP en ajoutant des
répertoires virtuels aux points sensibles :
27 IvMad, 2012
FTP Virtualisation Le répertoire virtuels est assigné par un alias qui est
confondu sur le serveur au moment de la connexion avec l'accès physique sur une partition:
28
IvMad, 2012
FTP Virtualisation La présence du répertoire virtuel est signalé dans la
fenêtre du Gestionnaire des services Internet :
29 IvMad, 2012
FTP Client et test L'accès client ajuste le dossier distant par défaut :
30
IvMad, 2012
FTP Client et test Accès au dossier résolu :
31
Partie V
Serveur WebDAV 7.x
(partage de fichiers via le Web)
Ivan Madjarov, IUT‐R&T, 2005‐2011
IvMad, 2012 33
Partage WebDAV WebDAV (Web‐based Distributed Authoring and
Versioning) est une extension du protocole HTTP/1.1 WebDAV utilise le port 80. Facilite la publication des pages sur un site Web (IE
5.x‐8x, MS Office de XP à 2010). Développement en collaboration entre plusieurs
auteurs. Peut remplacer le protocole FTP, car plus sécurisé et
plus fonctionnel. Peut jouer le rôle de serveur de fichiers.
IvMad, 2012 34
Partage WebDAV Installation WebDAV permet de partager, récupérer, déposer et
synchroniser des fichiers facilement à travers le Web. Pour installer le service WebDAV il faut télécharger
WebDAV 7.x du site officiel de Microsoft :www.microsoft.com/france/telechargements/default.aspx
IvMad, 2012 35
Partage WebDAV Installation Le fichier à télécharger pour la version WebDAV 7.5
porte le nom: "webdav_fr‐fr_i386.msi".
Une fois exécuté, l’assistant d’installation se lance.
IvMad, 2012 36
Partage WebDAV Installation Une fois la licence validée et clique sur suivant,
l’installation se lance.
IvMad, 2012 37
Partage WebDAV Installation L'installation est assez rapide :
IvMad, 2012 38
Partage WebDAV Installation On voit apparaître un nouvel icône dans l’assistant
d’IIS7 :
IvMad, 2012 39
WebDAV 7.5 Configuration Pour activer WebDAV, cliquez sur
"Règles de création WebDAV" :
IvMad, 2012 40
WebDAV 7.5 Configuration Dans le gestionnaire des services Internet "Activer
WebDAV" ou "Désactiver WebDAV":
IvMad, 2012 41
WebDAV 7.5 Configuration WebDAV est maintenant activée. Il faut configurer les autorisations pour accéder au
partage des fichiers. Pour cela, cliquez dans le menu de droite sur
"Ajouter une règle de création". La fenêtre suivante permet de configurer une règle
WebDAV. Le premier onglet permet de définir les fichiers accessibles via
WebDAV. Le second onglet permet de définir les utilisateurs pouvant
accéder au WebDAV. Le dernier onglet permet de définir les permissions des
utilisateurs. IvMad, 2012 42
WebDAV 7.5 Configuration Les droits sont attribués à l’utilisateur "IvMad" ou à "Tous les
utilisateurs" et ils peuvent accéder à tous les types de fichiers présents sur le serveur :
IvMad, 2012 43
WebDAV 7.5 Configuration Les données sont désormais présentes sur la console de IIS
IvMad, 2012 44
WebDAV 7.5 Configuration WebDAV utilise le mode d’authentification "Authentification Windows" : utilise le login et mot de
passe de connexion Windows) "Authentification de base" : Authentification via une pop‐
up couplé avec SSL. La configuration du mode d’authentification est accessible
par l’assistant d’IIS7 et dans "Authentification"
IvMad, 2012 45
WebDAV 7.5 Configuration Il suffit d’activer le module souhaité par une sélection :
"Activer" ou "Désactiver".
Ainsi, on n’autorise que les utilisateurs authentifiés et non les utilisateurs anonymes
IvMad, 2012 46
WebDAV 7.5 Test Pour faire le test il nous faut un client. On peut utiliser
un Windows 7 qui se connecte au serveur via l’utilisateur "Administrateur".
Pour accélérer la connexion on peut définir par la commande :net use Lecteur: URLainsi, on crée un lecteur réseau qui pointe vers le répertoire configuré WebDAV.
IvMad, 2012 47
WebDAV 7.5 Test Le gestionnaire de fichiers sous Windows 7 contient
désormais un lecteur réseau sur Z: Partie III
PHP avec IIS 7.0
Ivan Madjarov, IUT‐R&T, 2010
IvMad, 2012
PHP 5 Pour installer PHP5, il est nécessaire de télécharger
la version zip qui sert à l'obtention des librairies complémentaires de PHP et le .msi disponible tous deux à cet adresse : http://www.php.net/downloads.php
Après téléchargement des fichiers pour l’installation il faut respecter un ordre des opérations :1. Installation du .msi2. Extraction du .zip 3. Configuration de php.ini4. et pour finir configuration d'IIS7.
49 IvMad, 2012
PHP 5 Installation Installation du .msi
50
IvMad, 2012
PHP 5 Installation On accepter les termes de la Licence :
51 IvMad, 2012
PHP 5 Installation Sélection du répertoire pour installer PHP :
52
IvMad, 2012
PHP 5 Installation Pour des raisons de sécurités il faut privilégier le mode
ISAPI plutôt que le mode CGI (propre à Linux) pour le module PHP sur un serveur Web IIS 7.0.
53 IvMad, 2012
PHP 5 Installation Les modules PHP à installer au sein de IIS :
54
IvMad, 2012
PHP 5 Installation Paramètres mis au point l’installe peut démarrer :
55 IvMad, 2012
PHP 5 Installation On a installé PHP 5.0 sur le serveur Web IIS 7.0 :
56
IvMad, 2012
PHP 5 Extraction du .zip On passe à la partie extraction des librairies
complémentaires de PHP dans un répertoire choisi :
57 IvMad, 2012
PHP 5 Extraction du .zip La progression en cours :
58
IvMad, 2012
PHP 5 Configuration Configuration de php.ini
59 IvMad, 2012
PHP 5 Configuration Remplacer extension_dir = "./" avec
extension_dir = "ext/" dans le fichier php.ini à l’aide d’un éditeur de texte (NotePad, EditPad, ou autre) :
60
IvMad, 2012
PHP 5 Configuration Configuration d'IIS 7.0 pour l'utilisation de PHP 5.0 à
partir du gestionnaire des services Internet :
61 IvMad, 2012
PHP 5 Configuration Pour le serveur Web il faut ajouter un document par
défaut index.php :
62
IvMad, 2012
PHP 5 Configuration A partir de la page d'accueil du serveur web on
provoque le Mappage de Gestionnaire par un double clique de la souris :
63 IvMad, 2012
PHP 5 Configuration Vérifier le script ayant pour chemin d'accès *.php :
64
IvMad, 2012
PHP 5 Configuration Restrictions des demandes configurent plus
précisément le traitement des requêtes côté Serveur
65 IvMad, 2012
PHP 5 Configuration Restrictions des demandes configurent plus
précisément le traitement des requêtes côté Serveur
66
IvMad, 2012
PHP 5 Configuration Restrictions des demandes configurent plus
précisément le traitement des requêtes côté Serveur
67 IvMad, 2012
PHP 5 Configuration Restrictions CGI et ISAPI :
68
IvMad, 2012
PHP 5 Configuration Restrictions CGI et ISAPI :
69 IvMad, 2012
PHP 5 Test Tester la connexion : http://localhost/index.php
Contenu du fichier "index.php":
<?phpphpinfo();?>
70
Partie IV
Windows SharePoint Services
Ivan Madjarov, IUT‐R&T, 2010 IvMad, 2012
Windows SharePoint Services WSS est natif pour W2008SRV. WSS est un moteur de "groupware" offrant des
fonctionnalités de portail Web et d'Intranet Au travers d'un site WSS on peut gérer un planning, ou
gérer les différentes versions d'un document. Les services SharePoint sont utilisés par les applications
de portail Web Microsoft Office SharePoint Portal Server Microsoft Office Project Server.
WSS est lié à une BD référentiel de toutes les données : BD de configuration les données de contenu.
72
IvMad, 2012
Windows SharePoint Services Les sites WSS reposent sur la technologie ASP.NET et
doivent être hébergés via le serveur Web de IIS. Le stockage des informations est confié à une BD
Microsoft SQL Server. L'authentification peut être basé soit sur: un annuaire Active Directory, un annuaire LDAP, une authentification dite "Forms" basée sur des
providers ASP.NET L'interface utilisateur exploite des fonctionnalités
spécifiques à Internet Explorer (ActiveX, Javascript et HTML).
73 IvMad, 2012
Windows SharePoint Services 20 modèles d'application d'administrateur de serveur
de WSS 3.0 sont disponibles à téléchargement
Les modèles compris dans ce téléchargement sont les suivants: Gestion des demandes de congé et de la planification des
absences Budgétisation et suivi de plusieurs projets Centre d'appels Gestion des demandes de modification Gestion des contacts Révision et bibliothèque de documents Planification d'événements
74
IvMad, 2012
Windows SharePoint Services Site d'approbation et de remboursement des dépenses Service d'assistance Suivi du stock Espace de travail de l'équipe informatique Gestion des entretiens et des offres d'emploi Base de connaissances Bibliothèque de prêt Gestion et suivi des biens physiques Espace de travail de suivi de projet Réservations d'équipement et de salles Pipeline de prospect
75 IvMad, 2012
Serveur Web: "Valk" Le cours est disponible à l'adresse:
http://valk.iut‐gtr.univ‐mrs.fr/IIS
76
XMLdocuments semi-structurés
XML - eXtensible Markup LanguageXSL(T) - eXtensible Stylesheet LanguageXSD – XML SchemaDTD – Document Type Definition
Ivan Madjarov, IUT-R&T, 2006-2012 IvMad, 2012 2
XML eXtensible Markup Language Le web est confronté à deux problèmes: HTML n'est pas extensible, il ne peut pas répondre
aux besoins spécifiques de tous les domaines(mathématiques, chimie, musique, astronomie...) etne définit plus le contenu du document.
Les administrateurs systèmes ont besoin d'unlangage de configuration pour les serveurs et lesapplications client. Cela facilite la diffusion desconfigurations des machines semblables sur les sitesreparties d'une entreprise IIS7.0 et IIS7.5
Techologies XML
IvMad, 2012 3
XML eXtensible Markup Language XML permet de Concevoir un langage de balisage personnalisé Structurer un ensemble de classes de documents
Un métalangage de balisage est défini par une définition de type de document (DTD) ou XML Schema (plus récent).
XML est utilisé pour échanger des données entre applications, définir la configuration d'applications et serveurs, créer des documents sémantiques (structurés) pour
le Web fixe ou mobile.Techologies XML IvMad, 2012 4
XML eXtensible Markup Language Les applications XML
Techologies XML
IvMad, 2012 5
XML eXtensible Markup Language MathML (Mathematical Markup Language) notation
mathématique sur le web CML (Chemical Markup Language) pour la publication
Internet des formules chimiques, de molécules, deséquations.
SVG (Scalable Vector Graphics) langage de balisaged'information graphique vectorielle.
SMIL (Synchronized Multimedia Integration Language) pourla création multimédia, il spécifie comment et quand deséléments multimédia peuvent apparaître dans une pageweb. Par exemple, on peut dire que sur la page le texteapparaît suivi d'une série d'images qui sont accompagnéesd'une musique ou un commentaire audio.
WML (Wireless Markup Language) le langage de balisagepour l'internet mobile.
Techologies XML IvMad, 2012 6
XML eXtensible Markup Language Un document XML peut ainsi "prévoir" plusieurs
cibles: L'écran d'un téléphone portable, L'écran d'un ordinateur de bureau, Collection dans une base de données, Une application logicielle Échange d'informations sur le Web (service Web) Effectuer des sélections par tri, Générations automatiques de tables des matières et
bien d'autres fonctions.
Techologies XML
IvMad, 2012 7
XML eXtensible Markup Language Un document structuré possède des parties avec
des significations particulières
Techologies XML IvMad, 2012 8
XML eXtensible Markup Language XML permet de séparer le fond de la forme. La grammaire qui définie les balises du document
XML (DTD ou Schema), c'est un fichier .xsd Le document avec les données, c'est‐à‐dire le
document XML (fichier .xml). La transformation XSLT (eXtensive Stylesheet
Language Transformations) est le document avec lesinformations de mise en forme, pour produire unfichier dans le format de sortie voulu (XHTML, PDFou TXT).
Techologies XML
IvMad, 2012 9
XML eXtensible Markup Language
Techologies XML IvMad, 2012 10
XML fichier de configuration La configuration des sites dans fichier XML :
Techologies XML
ApplicationHost.config Le fichier de configuration pour IIS 7.0.
Il contient les définitions des sites, des applications, des répertoires virtuels et des pools d'applications, ainsi que les paramètres du serveur Web
Le fichier est dans: windows\system32\inetsrv\config
Les paramètres du IIS sont référencés dans system32\inetsrv\config\schema\IIS_Schema.xml
Le fichier XML contient des descriptions dans le format: <attribute‐name>="<default‐value>" [<metadata>] [<description>]
11IvMad, 2012Techologies XML
ApplicationHost.config Description des paramètres
<attribute‐name> nom de l'attribut
<default‐value> valeur par défaut
<metadata> défini le type de l'attribut
<description> description de l'attribut
ApplicationHost.config contient deux parties distinctes:
system.applicationHost : paramétrage des services
system.webServer : contient tous les réglages pour le Web comme les listes des modules ISAPI, filtres ASP, CGI.
12IvMad, 2012Techologies XML
ApplicationHost.config Structure du fichier config
Lire le fichier ICI13IvMad, 2012Techologies XML
ApplicationHost.config Modifier le fichier de configuration pour obtenir l'option
lister le contenu d'un répertoire de site
<system.webServer>…………………………………………
<directoryBrowse enabled="true" />…………………………………………</system.webServer>
14IvMad, 2012Techologies XML
IvMad, 2012 15
XML hiérarchie (exemple)<?xml version="1.0" encoding="ISO-8859-1"?><!-- La ligne ci-dessus est le prologue --><!-- Élément racine --><biblio><!-- Premier enfant --><livre><!-- Élément enfant titre --><titre>Les Misérables</titre><auteur>Victor Hugo</auteur><nb_tomes>3</nb_tomes>
</livre><livre><titre>L'Assomoir</titre><auteur>Émile Zola</auteur>
</livre><livre lang="en"><titre>David Copperfield</titre><auteur>Charles Dickens</auteur><nb_tomes>3</nb_tomes>
</livre></biblio>
Techologies XML IvMad, 2012 16
XML interprétation Un document bien formé (sans DTD) est affiché
par le navigateur en visualisant sa structure. Visualisation avec une feuille de style CSS où est
définie l’interprétation des éléments du document XML. <?xml version="1.0"?>
<?xml-stylesheet type="text/css" href="biblio.css"?><bibliotheque>...</bibliotheque>
Techologies XML
IvMad, 2012 17
Visualiser un fichier XML
Techologies XML IvMad, 2012 18
XML feuille de style (CSS3)
livre {display: block;position: relative; left: 50; top:100;margin‐left:10pt;margin‐bottom: 5pt;font‐family: "Verdana";font‐size: 12pt
}
titre {margin‐right:10pt; color:blue; font‐family: "Verdana";
}auteur {
margin‐right:10pt; font‐family: "Verdana";
}ref {
color:red;font‐family: "Verdana";
}
Techologies XML
IvMad, 2012 19
XML présentation transformée
Techologies XML IvMad, 2012 20
Structure d'une transformation XSL Visualisation avec une feuille de style XSL <?xml version="1.0"?>
<?xml‐stylesheet type="application/xml" href="biblio.xsl"?><bibliotheque>...</bibliotheque>
Techologies XML
IvMad, 2012 21
XML stylesheet<?xml version="1.0"?><xsl:stylesheet version="1.0" xmlns:xsl="http://www.w3.org/1999/XSL/Transform"><xsl:output method="html"/><xsl:template match="/"><html> <head> <title>Ma bibliotheque</title>
<style type="text/css">th {background-color:silver;}td {border-style:solid; border-width:1px;}
</style></head> <body>
<H2>Bibliotheque</H2><table><tr> <th>Titre</th> <th>Auteur</th> <th>Ref.</th></tr> <xsl:for-each select="bibliothèque/livre"><tr> <td><xsl:value-of select="titre"/></td><td><xsl:value-of select="concat(auteur/nom, ' ', auteur/prénom)"/></td><td><xsl:value-of select="ref"/></td></tr>
</xsl:for-each></table>
</body> </html></xsl:template></xsl:stylesheet>
Techologies XML IvMad, 2012 22
XML eXtensible Markup Language
Techologies XML
IvMad, 2012 23
Les transformations XML
Techologies XML IvMad, 2012 24
XML Schema Un schéma d'un document définit:
les éléments possibles dans le document les attributs associés à ces éléments la structure du document et les types de données
Le schéma est spécifié en XML pas de nouveau langage balisage de déclaration domaine spécifique xsd:
Présente de nombreux avantages structures de données avec types de données extensibilité par héritage et ouverture analysable par un parseur XML standard
Techologies XML
Active Server Pages
ASP.NET avecWindows 2008 serveur
Ivan Madjarov, IUT‐R&T, 2005‐2012 Techologies XML IvMad, 2012 26
ASP.NET et ASP ASP.NET fait partie de la plateforme Microsoft .NET
et incarne l'évolution de la technologie Active Server Pages (ASP). sites Web dynamiques, des applications web ou des services Web XML.
ASP.NET est un environnement compilé, basé sur .NET Framework. Applications écrites dans un langage compatible avec
.NET Framework, ainsi que Microsoft Visual Basic®.NET,Microsoft Visual C#® et Microsoft JScript®.NET.
Techologies XML IvMad, 2012 27
ASP (Active Server Pages) ASP est un ensemble technologique développé par
Microsoft pour la programmation Web et la créationdes sites Web dynamiques.
C'est le concurrent de PHP. ASP nécessite une plate‐forme Windows avec IIS
installé, ou une plate‐forme Linux ou Unix avecApache et le module Apache::ASP.
ASP est une structure d'objets accessibles par deuxlangages : le VBScript et le Jscript. Il est possible d'utiliser Perl ou Python en ajoutant le
moteur d'interprétation du langage adéquat à l'IIS.
Techologies XML IvMad, 2012 28
ASP (Active Server Pages) L'ASP est basé sur le modèle COM (Component
Object Model, aussi appelé ActiveX) pourcommuniquer avec un serveur.
Il renvoie ensuite du HTML au client via le protocoleHTTP (HyperText Transfert Protocol).
L'ASP est capable de : se connecter à des bases de données, de lire des fichiers XML, la gestion du protocole FTP, lire et écrire des documents Excel ou Word (Office)
en passant par le système COM.
Techologies XML IvMad, 2012 29
ASP (Active Server Pages) Les ASP sont exécutées du côté serveur (comme les
scripts CGI, PHP, JSP) et non du côté client. ASP s'inscrit dans une architecture 3‐tiers. Le serveur Web avec de l'ASP sert d'intermédiaire
entre le navigateur du client et une BD assuré par la technologie ADO qui fournit les éléments à la manipulation des données par le langage SQL.
Techologies XML IvMad, 2012 30
ASP (Active Server Pages) Les 7 objets de base des Active Server Pages Application : Toutes les informations partagées
par les visiteurs connectés à l'application. ObjectContext : Contrôler les transactions avec le
serveur MTS (Microsoft Transaction Server). Request : Données envoyées au serveur dans la
requête HTTP du client. Response : Envoyer la réponse HTTP au client. Server : Informations propres au serveur web. Session : gérer les sessions de l'utilisateur ASPerror : récupère et définit les erreurs des ASP.
Techologies XML IvMad, 2012 31
ASP sous Windows 2008 Server Gestionnaire de serveur ‐> Rôles ‐> Serveur Web ‐>
Ajouter un rôle
Techologies XML IvMad, 2012 32
ASP sous Windows 2008 Server Cocher "ASP" et cliquer sur "Suivant"
Techologies XML IvMad, 2012 33
ASP sous Windows 2008 Server Pools d'application ‐> Clique droit sur le pool ‐>
DefaultAppPool ‐> Paramètres avancés.
Techologies XML IvMad, 2012 34
ASP sous Windows 2008 Server "Vrai" la ligne Activer les applications 32 bits et clique
sur OK pour valider
Techologies XML IvMad, 2012 35
La technique de l'ASP Une page ASP (extension .asp) se caractérise par la
présence des balises <% … %>, qui indiquent au serveur HTTP qu'une commande VBScript ou JScriptdoit être interprétée.
Le code enfermé par les délimiteurs est interprété par la partie application ASP du serveur Web. Le résultat est rendu en format HTML.
L'intérêt principal de cette technique est la possibilité de réagir de manière dynamique aux requêtes de l'utilisateur à travers de vrais langages de programmation.
Techologies XML IvMad, 2012 36
La technique de l'ASP<%@ LANGUAGE="VBSCRIPT" %> <HTML><HEAD><TITLE>La date et l'heure en ASP</TITLE></HEAD><BODY> <% semaine =
array("dimanche","lundi","mardi","mercredi","jeudi","vendredi","samedi") n = Weekday(date()) %><FONT FACE="Verdana" SIZE="+1"> <p>Bonjour,<br>nous sommes le <br /><font color="red"><b> <%
Response.Write(semaine(n‐1)) %></b></font> <font color="red"><B><% Response.Write(date()) %></B></font><br>et il est <font color="red"><B><% Response.Write(time()) %> </B></font> <br>heure local du Serveur</p>
</FONT> </BODY> </HTML>
Techologies XML IvMad, 2012 37
La technique de l'ASP Le code HTML envoyé au client :<HTML> <HEAD><TITLE>La date et l'heure en ASP</TITLE></HEAD> <BODY> <FONT FACE="Verdana" SIZE="+1"> <p>Bonjour,<br>nous sommes le <br /><font color="red">
<b>samedi</b></font> <font color="red"><B>05/12/2009</B></font><br>et il est <font color="red"><B>07:40:07</B></font> <br>heure local du Serveur</p>
</FONT> </BODY> </HTML>
Techologies XML IvMad, 2012 38
La technique de l'ASP
Techologies XML IvMad, 2012 39
JScript et VBScript<%@ LANGUAGE="JSCRIPT" %> <html><head><title>Tableau en asp</title></head><body><table border="1"><%for (i=0; i<10; i++) {Response.Write("<tr>")for (k=0; k<10; k++) {
Response.Write("<td align=center valign=middle WIDTH=25 BGCOLOR=rgb(" + (i+200) + "," + (i*k+112) + "," + (i*k+15) + ")><FONT FACE=Arial SIZE=3>" + (i+k) + "</font></td>")
}Response.Write("</tr>")
}%>
</table></body></html>
Techologies XML IvMad, 2012 40
JScript et VBScript
Techologies XML IvMad, 2012 41
ASP et les bases de données L'ASP utilise ODBC (Open DataBase Connectivity) qui
est un protocole standard permettant d'accéder aux informations de serveurs de bases de données. ODBC pour accéder à ACCESS MySQL ODBC pour accéder à MySQL JDBC assure l'interfaçage avec les applications Java
Pour installer une nouvelle source ODBC : Outils d'administration/Source de données ODBC. Activer l'onglet DSN Système/Ajouter. Sélectionner le pilote ODBC qui devra être utilisé en
fonction de la BD (MS Access Driver ou MySQL ODBC). Cliquer sur le bouton Terminer.
Techologies XML IvMad, 2012 42
ASP et les bases de données<%@ LANGUAGE="VBSCRIPT" %><HTML><HEAD><TITLE>Exemple</TITLE></HEAD><BODY><%
dim objConnectdim objRecordsetset objConnect = Server.CreateObject("ADODB.Connection")objConnect.Open "WebDB"set objRecordset = Server.CreateObject("ADODB.Recordset")objRecordset.Open "SELECT * FROM tblSites;", objConnect
%><P><FONT FACE="Verdana" COLOR="#004080">Liste des sites</P><P><FONT FACE="Verdana" SIZE="2"><%
Do While not objRecordset.eofResponse.Write(objRecordset("NomSite"))Response.Write("<BR>")objRecordset.MoveNext
loopset objRecordset=nothingset objConnect=nothing
%></FONT></P></BODY></HTML>
Techologies XML IvMad, 2012 43
ASP et les bases de données
Techologies XML IvMad, 2012 44
ASP et l'administration système L'analyse des "LogFiles" pour serveur Web et FTP A la création d'un site sous IIS 7.0 par défaut des valeurs
sont stockées : Date, Time, ClientIP, UserName, ServerIP, Method, UriStem, UriQuery, TimeTaken, HttpStatus, Win32Status, ServerPort, UserAgent, HttpSubStatus.
Une reconfiguration est possible par le fichier logExtFileFlags accessible par Internet Information Services Manager => Logging
Techologies XML IvMad, 2012 45
ASP et l'administration système Aperçu d'un fichier log
Techologies XML IvMad, 2012 46
ASP et l'administration système Configurer avec ODBC Pour stocker les logs directement dans une BD il faut
configurer un accès ODBC. Assure la possibilité d'avoir des rapports d'activités Inconvénient : ralenti l'exécution des services IIS Pour créer une table "ODBC logging" il faut utiliser le
fichier dans "system32\inetsrv\logtemp.sql". Pour installer l'élément <odbcLogging> :
1. Server Manager ‐> Roles ‐> Web Server2. Web Server ‐> Role Services ‐> Add Role Services3. Role Services ‐> Add Role Services ‐> ODBC Logging ‐>
Next4. Confirm Installation Selections ‐> Install ‐> Close
top related