Configuration d’IIS 5.0 et versions ultérieures pour les scripts ASP WMI
Tous les paramètres d’authentification sont définis via le Gestionnaire des services Internet.
Quand vous configurez la sécurité d’IIS (Internet Information Server) 5.0 et d’IIS 6.0 pour les scripts ASP WMI, tenez compte des problèmes suivants :
-
Vous pouvez effectuer la configuration au niveau du serveur, du répertoire ou du fichier.
-
Vous pouvez définir l’authentification Anonyme, l’authentification Windows intégrée ou les deux.
-
Vous pouvez définir le script ASP pour qu’il s’exécute in-process (protection faible) ou hors processus à l’aide de Dllhost.exe (protection moyenne ou élevée).
Niveau d’authentification
Pour renforcer la sécurité, vous pouvez configurer l’authentification au niveau du répertoire ou du fichier.
Si l’authentification est définie au niveau du serveur, tous les répertoires et fichiers suivants adhèrent à l’authentification serveur, sauf s’ils sont explicitement modifiés au niveau du répertoire ou du fichier. Vous pouvez créer une structure de répertoires contenant tous les scripts ASP WMI, où les pages HTML et les pages ASP spécifiques à WMI peuvent être configurées indépendamment du reste du serveur. Suivez la procédure ci-après pour changer le niveau d’authentification d’un serveur, d’un répertoire ou d’un fichier.
Pour définir l’authentification à n’importe quel niveau
Dans le Panneau de configuration, double-cliquez sur Outils d’administration, puis double-cliquez sur le composant logiciel enfichable IIS.
Recherchez l’icône de page ASP, puis ouvrez les propriétés du niveau à définir, à savoir serveur, répertoire ou fichier.
Notes
Les paramètres d’authentification se trouvent sous l’onglet Sécurité des répertoires ou Sécurité des fichiers de la feuille Propriétés.
Paramètre d’authentification
Pour les scripts ASP WMI, la désactivation de l’authentification anonyme (décochée) conjointement avec l’activation de l’authentification Windows intégrée (cochée) permettent d’optimiser la sécurité. Pour utiliser les paramètres d’authentification NTLM (NT LAN Manager), Passport ou Digest IIS, vous devez activer les privilèges relatifs à l’accès à distance, car l’utilisateur est traité en tant qu’identité réseau et est connecté à distance. L’activation des privilèges relatifs à l’accès à distance n’est pas obligatoire pour l’authentification anonyme et l’authentification de base. Toutefois, le système est beaucoup moins sécurisé quand vous utilisez l’authentification anonyme et l’authentification de base.
Si l’authentification anonyme est utilisée avec ou sans l’authentification Windows intégrée, l’approche la plus sécurisée consiste à utiliser une ouverture de session qui oblige l’utilisateur à entrer un nom d’utilisateur et un mot de passe. L’ouverture de session par défaut correspond à l’identité IIS. Toutefois, vous pouvez créer une ouverture de session à l’aide d’autorisations spécifiques adaptées aux scripts ASP WMI pouvant être utilisés en tant que comptes pour les connexions anonymes ou invité.
Si vous choisissez un identificateur d’ouverture de session qui n’est pas une identité IIS, décochez la case Autoriser la vérification de mot de passe par IIS, puis entrez le mot de passe approprié. Cela force toutes les connexions anonymes ou invité à utiliser l’identificateur d’ouverture de session. En créant une ouverture de session distincte de l’identité IIS, vous pouvez contrôler les privilèges d’un compte accédant à WMI sans affecter les autres répertoires ou fichiers du serveur IIS, à moins que l’authentification ne soit définie au niveau du serveur.
Suivez la procédure ci-après pour définir les conditions d’authentification de la page ASP à l’aide du composant logiciel enfichable IIS dans le Panneau de configuration.
Pour accéder au paramètre du compte
Dans le Panneau de configuration, double-cliquez sur l’icône Outils d’administration, ouvrez le composant logiciel enfichable IIS, recherchez votre page ASP, puis ouvrez les propriétés du niveau à définir, à savoir serveur, répertoire ou fichier.
Les paramètres d’authentification se trouvent sous l’onglet Sécurité des répertoires ou Sécurité des fichiers de la feuille Propriétés.
Dans la zone Authentification anonyme, cliquez sur Modifier.
Si un autre identificateur d’ouverture de session que l’identité IIS est sélectionné, décochez la case Autoriser la vérification de mot de passe par IIS, puis entrez le mot de passe approprié. Cela force toutes les connexions anonymes ou invité à utiliser l’identificateur d’ouverture de session.
En utilisant une ouverture de session distincte de l’identité IIS, vous pouvez contrôler les privilèges du compte accédant à WMI sans affecter les autres répertoires ou fichiers du serveur IIS, à moins que l’authentification ne soit définie au niveau du serveur.
La configuration précédente permet au serveur IIS d’utiliser l’authentification anonyme dans certaines situations, et l’authentification Windows intégrée ou mixte dans d’autres.
Protection
Le dernier point à prendre en compte au moment de la configuration du serveur IIS est la protection à utiliser au moment de l’exécution d’un script ASP.
Vous pouvez définir un script ASP pour qu’il s’exécute :
In-process par rapport à IIS (protection faible).
De façon externe à IIS avec Dllhost.exe en mode de mise en pool ou hors processus (protection moyenne en mode de mise en pool).
Autohébergé hors processus (haute protection).
Notes
Pour obtenir le meilleur équilibre entre sécurité et performances, utilisez un hôte en mode de mise en pool.