par Mark Minasi
Je reçois entre 50 et 100 questions de lecteurs par jour. Les sujets sont très divers, mais une poignée de questions revient sans cesse. Quand je vois la même question se répéter, je juge que c'est un bon sujet d'article. La question liée à Microsoft IIS que les lecteurs posent le plus souvent est la suivante : comment puis-je héberger deux, ou plus, sites séparés sur un serveur Web ? Supposons par exemple que vous ayez un serveur IIS et que vous vouliez l'utiliser pour faire fonctionner deux sites Web sans relation entre eux : www.pommes.com et www.oranges.com. Comment faire ?
La réponse semble très simple. IIS possède un Web Site Creation Wizard qui répond très bien aux questions de base (dans le snap-in Microsoft Management Console - MMC - Internet Information Services, faire un clic droit sur l'icône du serveur Web, puis choisir New, Web Site). Mais l'assistant (wizard) ne donne aucune idée sur la manière d'héberger deux sites sur un serveur.
Pour construire des sites multiples sur un serveur Web, trois étapes sont nécessaires. Premièrement, il faut séparer physiquement les fichiers HTML des deux sites dans des répertoires différents. Deuxièmement, choisir l'une des trois méthodes pour indiquer au site Web comment déterminer si un visiteur veut aller à www.pommes.com ou www.oranges.com. Enfin, il faut configurer DNS de telle sorte que le navigateur Web du visiteur puisse trouver votre serveur Web.
La première étape est simple. Il suffit de créer un répertoire pour chaque site Web sur le disque dur de votre serveur Web. Pour faciliter la gestion des répertoires, donnez à chaque répertoire un nom descriptif – par exemple, Pommes et Oranges. (Placez ces dossiers à l’extérieur du dossier Inetpub et sur un lecteur autre que le lecteur système.)
Tant que nous sommes aux répertoires sur des serveurs Web, voyons un point de sécurité élémentaire. Tout système sur lequel vous installez IIS ou Personal Web Server obtient un compte local appelé IUSR_servername, et quiconque visite ce site se connecte (logs on) sous ce compte. Ainsi, si je configure IIS sur un serveur nommé T21.acme.com, le serveur aura un compte nommé IUSR_T21 et tous les visiteurs du site Web se connecteront au serveur sous ce nom. Le compte IUSR est membre du groupe Guests et, par défaut, ce groupe peut accéder à une grande partie du contenu du serveur. Il est rare que des utilisateurs Web anonymes fassent un logon de domaine ou accèdent directement aux fileshares. Ce genre d’utilisateurs accèdent plutôt à l’ordinateur par l’intermédiaire du logiciel serveur IIS et c’est ce logiciel qui doit contrôler leur accès aux répertoires du site. Mais, le logiciel IIS a des lacunes, et certains utilisateurs ont trouvé le moyen de l’utiliser comme point de départ pour un accès plus large au réseau.
Pour pallier cet inconvénient, réglez les autorisations de NTFS de manière à ce qu’elles évincent explicitement le compte IUSR de tous les endroits où les visiteurs du site Web ne doivent pas aller. Cette méthode considère NTFS comme une seconde ligne de défense dans le cas où la première ligne – IIS – céderait. Bien entendu, il faut se tenir au courant en permanence des hotfixes concernant la sécurité.
Téléchargez cette ressource
Guide de Reporting Microsoft 365 & Microsoft Exchange
Comment bénéficier d’une vision unifiée de vos messageries, mieux protéger vos données sensibles, vous conformer plus aisément aux contraintes réglementaires et réduire votre empreinte carbone ? Découvrez la solution de reporting complet de l’utilisation de Microsoft Exchange, en mode on-premise ou dans le Cloud.
