Partager via

Procédure pas à pas : création d'une zone de sécurité partie 2

  • Article

Mise à jour : novembre 2007

Cette procédure pas à pas repose sur Procédure pas à pas : création d'une zone de sécurité partie 1. Dans cette procédure pas à pas, vous allez apprendre à effectuer les tâches suivantes :

  • définir la stratégie pour les applications hébergées sur le serveur Web HardenedIIS ;

  • importer des paramètres à partir d'un serveur IIS configuré existant dans HardenedIIS ;

  • évaluer le déploiement d'un service Web sur HardenedIIS.

Pour définir la stratégie pour des applications hébergées sur un serveur Web

  1. Cliquez sur le serveur Web HardenedIIS pour afficher l' Éditeur de paramètres et de contraintes.

  2. Activez la case à cocher Sécurité ASP.NET sous Contraintes pour les applications.

  3. Sélectionnez l'en-tête Sécurité ASP.NET adjacent à la case à cocher.

    La boîte de dialogue de contrainte Sécurité ASP.NET s'affiche dans le volet droit de l'Éditeur de paramètres et de contraintes.

  4. Sous Modes de sécurité autorisés, sélectionnez Formulaires.

    Assurez-vous qu'il s'agit de la seule valeur sélectionnée.

  5. Sélectionnez Nécessite l'emprunt d'identité.

    Remarque :

    En fonction du dimensionnement de l'Éditeur de paramètres et de contraintes, vous devrez peut-être utiliser les barres de défilement dans le volet droit de l'éditeur pour afficher cette option.

  6. Dans le volet gauche de l'Éditeur de paramètres et de contraintes, activez la case à cocher État de session ASP.NET.

  7. Sélectionnez l'en-tête État de session ASP.NET adjacent à la case à cocher.

  8. Sous Mode État de session dans le volet droit de l'éditeur, assurez-vous que SQLServer est la seule valeur sélectionnée.

Ces deux contraintes exigent que toute application Web hébergée sur ce serveur utilise l'authentification par formulaire avec emprunt d'identité et l'état de session SQL pour stocker les informations de session. Ces deux boîtes de dialogue de contrainte sont des exemples de contraintes prédéfinies. Les contraintes que vous avez créées précédemment pour les tables de scripts et les liaisons sécurisées sont des exemples de contraintes définies par l'utilisateur. Pour plus d'informations sur les types de contraintes disponibles et comment les créer, consultez Utilisation des contraintes dans les applications et leurs relations et Tâches de configuration d'application commune, système et de serveur logique.

L'étape suivante consiste à importer des paramètres dans HardenedIIS à partir d'un serveur Web IIS existant. Cette étape est facultative. Si vous ne disposez pas d'un serveur Web IIS, passez à la procédure suivante.

Pour importer des paramètres à partir d'un serveur Web IIS existant

  1. Cliquez avec le bouton droit sur HardenedIIS et sélectionnez Importer les paramètres.

    L'Assistant Importation des paramètres IIS s'affiche. Importez des paramètres à partir du serveur Web de votre choix à l'aide de la procédure spécifiée dans Comment : importer des paramètres à partir d'un serveur IIS. Si l'importation des paramètres échoue, une erreur s'affiche pour indiquer pourquoi. Pour plus d'informations, consultez Dépannage de l'importation de paramètres IIS et ASP.NET.

    À l'aide de l'Assistant Importation des paramètres IIS, vous pouvez importer des paramètres globaux, tous les sites Web ou des pools d'applications si vous importez à partir de Windows Server 2003 ; les pools d'applications ne sont pas pris en charge dans Windows XP ni dans les versions d'IIS antérieures à 6.0.

  2. Une fois les paramètres importés, consultez-les dans l'Éditeur de paramètres et de contraintes : sélectionnez HardenedIIS, puis parcourez le nœud Paramètres du serveur logique. Pour retrouver des paramètres plus facilement, utilisez la fonction Recherche. Pour plus d'informations, consultez Comment : rechercher des paramètres.

L'étape suivante consiste à générer un service Web et à évaluer son déploiement dans cette zone.

Pour générer un service Web

  1. Dans l'Explorateur de solutions, cliquez avec le bouton droit sur le nœud de la solution, sélectionnez Ajouter, puis Nouveau diagramme de système distribué.

    La boîte de dialogue Ajouter un nouvel élément - Éléments de solution s'affiche.

  2. Sous Modèles, cliquez sur Diagramme d'application, puis sur Ajouter.

    Le nouveau diagramme d'application s'ouvre dans le Concepteur d'applications.

  3. À partir de la boîte à outils, faites glisser un prototype ASP.NETWebService vers le diagramme et nommez-le MyWebService.

    Remarque :

    La fenêtre Détails de service Web s'affiche lorsque vous créez le diagramme d'application. Pour plus d'informations sur l'utilisation de cette fenêtre pour afficher et créer des opérations de service Web, consultez Définition d'opérations pour les services Web ASP.NET.

  4. Cliquez avec le bouton droit sur MyWebService et sélectionnez Définir le déploiement.

    La boîte de dialogue Définir le déploiement s'affiche, avec le diagramme de centre de données logique existant sélectionné.

  5. Cliquez sur OK.

    Le diagramme de déploiement s'ouvre dans le Concepteur de déploiements. Le diagramme de déploiement est un réplica exact du diagramme de centre de données logique référencé et est utilisé pour évaluer le déploiement d'applications dans le centre de données.

  6. À partir de la fenêtre Vue système, faites glisser MyWebService vers HardenedIIS.

    Cette action permet d'indiquer que MyWebService doit être déployé sur le serveur Web HardenedIIS dans le centre de données. À l'aide du diagramme de déploiement, vous évaluez le succès de ce déploiement en fonction des informations que vous possédez sur le type et la configuration des serveurs logiques et des zones dans le centre de données, et sur le type et la configuration des applications dont vous proposez l'hébergement à cet emplacement.

  7. Cliquez avec le bouton droit sur le diagramme de déploiement et choisissez Valider le diagramme.

    Les avertissements de validation suivants s'affichent dans la fenêtre Liste d'erreurs :

    • "Le paramètre de contrainte 'Modes de sécurité autorisés' requiert que le paramètre 'Mode' soit affecté 'Forms', mais il est actuellement affecté à 'Windows'.

    • "Le paramètre de contrainte 'Nécessite l'emprunt d'identité' requiert que le paramètre 'Impersonate' soit affecté à 'True', mais il est actuellement affecté à 'False'.

    • "Le paramètre de contrainte 'Mode d'état de session' requiert que le paramètre 'Mode' soit affecté à 'SQLServer', mais il est actuellement affecté à 'InProc'.

    • Le paramètre doit avoir au moins une des valeurs suivantes affectée : '{IPAddress="", Port="443")' La valeur actuelle est '<null>'.

    • Le paramètre doit avoir au moins une des valeurs suivantes affectée : '{FileExtension=".asmx", ScriptProcessor="%WINDIR%\Microsoft.NET\Framework\v2.0.40420\aspnet_isapi.dll"….

Ces avertissements se produisent parce que les conditions de paramètres spécifiées pour les applications hébergées sur HardenedIIS ou sur la zone PerimeterNetwork entrent en conflit avec les paramètres de MyWebService, l'application hébergée. Vous définissez ces conditions lors de la définition des contraintes Sécurité ASP.NET et État de session ASP.NET sur HardenedIIS à l'aide de l'Éditeur de paramètres et de contraintes.

L'étape suivante consiste à résoudre ces avertissements.

Pour résoudre des avertissements de validation

  1. Cliquez avec le bouton droit sur le premier avertissement de la fenêtre Liste d'erreurs, pointez sur Atteindre et sélectionnez Paramétrer le mode sur MyWebService (diagramme d'application).

    Cette action entraîne la sélection du paramètre Mode sur MyWebService dans l'Éditeur de paramètres et de contraintes.

  2. Remplacez le paramètre "Windows" par "Formulaires".

  3. Cliquez avec le bouton droit sur le fichier DefaultSystem1.dd dans l'Explorateur de solutions et sélectionnez Ouvrir pour afficher le diagramme de déploiement.

  4. Résolvez les deuxième et troisième avertissements en suivant la même approche.

    Le quatrième avertissement indique qu'il existe une contrainte de communication dans le centre de données qui exige que le trafic passe par le port 443. En tant qu'auteur du diagramme de centre de données logique, vous connaissez la cause de cette contrainte. En tant que consommateur du diagramme de centre de données logique, vous pouvez déterminer pourquoi cet avertissement se produit en suivant le même processus que celui qui est utilisé pour résoudre les autres avertissements.

    La dernière erreur résulte de la contrainte de tables de scripts sur les fichiers .asmx. Cette contrainte empêche l'hébergement de services Web dans la zone PerimeterNetwork, que les serveurs Web de la zone autorisent ou non l'hébergement de services Web.

  5. Revalidez le diagramme de déploiement.

  6. Résolvez tous les avertissements restants.

Voir aussi

Autres ressources

Conception et configuration d'une procédures pas à pas de centre de données logique