> Tech > Les nouvelles fonctions de sécurité d’IIS 5.0

Les nouvelles fonctions de sécurité d’IIS 5.0

Tech - Par iTPro.fr - Publié le 24 juin 2010
email

Microsoft Internet Information Server 5.0 comporte une foule de nouvelles fonctions, et notamment un traitement amélioré des comptes des utilisateurs et des ordinateurs, une meilleure exécution des applications des utilisateurs, ainsi que des fonctions de sécurité perfectionnées. Etant donné que de nombreux utilisateurs vont commencer à  utiliser Windows 2000, lui aussi porteur d'améliorations majeures en termes de sécurité, et qu'IIS 5.0 est quatre à  cinq fois plus rapide qu'IIS 4.0, il était grand temps de consacrer un article aux nouvelles fonctions de sécurité de la dernière version d'IIS. Celles-ci facilitent la configuration de la sécurité des applications et, grâce aux nouvelles technologies comme Kerberos, améliorent la cohérence de l'utilisation de la sécurité d'IIS avec d'autres systèmes.

L'utilisation d'IIS 5.0 commence par son installation sur Windows 2000. Pour tester IIS 5.0, j'ai utilisé la beta de Windows 2000 Server. La configuration de Windows 2000 a un impact sur l'utilisation d'IIS 5.0 et sur le fonctionnement des fonctions de sécurité du logiciel. Le serveur IIS 5.0 peut être configuré comme contrôleur de domaine ou installé dans un domaine Windows 2000 existant. En d'autres termes on peut l'installer sur n'importe quelle machine du domaine.

Une fois IIS 5.0 installé, j'ai utilisé Microsoft Visual InterDev 6.0 pour créer un nouveau répertoire virtuel, tâche que rendent pénible les Extensions FrontPage Server. Windows 2000 m'a obligé à  me connecter par le biais de Visual InterDev et a vérifié le compte d'utilisateur utilisé par l'OS pour créer le répertoire. En dehors de mon ID de logon et de mon mot de passe, je n'ai eu besoin d'aucune information de plus sur Windows 2000. Ce processus correspond à  celui d'IIS 4.0 pour créer un répertoire virtuel et travailler avec les fonctions de sécurité.

L'accès aux paramètres de sécurité se fait par le Gestionnaire des services Internet comme dans IIS 4.0 de Windows NT 4.0

J’ai défini les options de sécurité sur le serveur après avoir créé le nouveau
répertoire virtuel. L’accès aux paramètres de sécurité se fait par le Gestionnaire
des services Internet (Internet Service Manager – ISM) comme dans IIS 4.0 de Windows
NT 4.0. Ouvrez ISM à  partir du dossier Start\Programs\/Administrative Tools. Sélectionnez
Propriétés du répertoire virtuel et cliquez sur l’onglet Sécurité du répertoire.

La première option de sécurité est la méthode d’authentification, qui contrôle
l’authentification des utilisateurs accédant au répertoire virtuel en fonction
du système de sécurité du serveur. L’écran 1 montre la boîte de dialogue Méthodes
d’authentification, qui contrôle les différentes méthodes. Cochez la case Accès
anonyme
et cliquez sur Edition. Cette option accorde l’accès du répertoire
virtuel à  tous les utilisateurs. Après avoir cliqué sur Edition, vous voyez s’afficher
la boîte de dialogue Compte de l’utilisateur anonyme dans laquelle vous sélectionnez
le compte ; le compte par défaut est IUSR_machinename.

L’option Authentification de base contrôle l’accès autorisé au répertoire
virtuel. Si vous cochez cette case, le browser utilise la transmission en texte
clair pour envoyer votre compte d’utilisateur et votre mot de passe à  IIS 5.0.
Cette fonction est identique à  celle d’IIS 4.0, mais avec un petit changement
: la possibilité de cliquer sur Edition pour afficher la boîte de dialogue Domaine
d’authentification de base, qui permet de sélectionner le domaine NT par rapport
auquel vous voulez authentifier les utilisateurs. Le domaine par défaut est le
domaine NT local, mais il est possible de choisir tout domaine NT ou tout autre
domaine compatible. Cette fonction permet de contrôler l’accès des utilisateurs
aux applications Web avec une authentification en fonction du système de sécurité
de n’importe quel autre OS. Les grandes organisations possédant un grand nombre
de systèmes Windows 2000, de domaines NT et de systèmes Novell Netware apprécieront
cette fonction.

L’option suivante, Authentification abrégée pour les serveurs de domaines Windows),
active l’authentification abrégée définie par l’IETF (Internet Engineering Task
Force) dans la RFC 2069 (http://www.ietf.org/rfc/rfc2089.txt).
L’authentification abrégée spécifie l’utilisation d’un service de chiffrement
pour protéger le mot de passe de l’utilisateur. Elle envoie un mot de passe à 
secret partagé plutôt qu’un mot de passe d’utilisateur. Cette authentification
fonctionne sur TCP/IP, donc avec les serveurs proxy de Microsoft. Internet Explorer
5.0 fait partie des rares browsers supportant l’authentification abrégée, qui
fait partie de HTTP 1.1.

Lorsqu’un utilisateur navigue vers un répertoire virtuel avec l’authentification
abrégée activée, IIS 5.0 envoie au browser une valeur de circonstance pour l’interroger.
Cette requête comprend des informations supplémentaires utilisées par le browser
dans le processus de chiffrement. Le browser les ajoute à  l’ID et au mot de passe
de l’utilisateur et soumet cette chaîne à  un algorithme de hachage pour générer
une nouvelle valeur qu’il envoie sur le réseau. Si cette valeur est la même que
la valeur de hachage générée par IIS 5.0, l’authentification abrégée authentifie
l’utilisateur et lui accorde l’accès aux ressources IIS.

Lorsque vous activez l’authentification abrégée, IIS 5.0 vous signale de stocker
les mots de passe des comptes en texte clair. IIS 5.0 utilise le mot de passe
en texte clair pour générer la valeur hachée qui sera comparée à  celle du browser.
L’authentication abrégée fonctionne parce qu’IIS 5.0 peut découvrir le mot de
passe de l’utilisateur sur le serveur et que le browser le connaît. IIS 5.0 compare
le hachage envoyé par le browser, sans obligation pour le browser ou IIS d’envoyer
le mot de passe sur le réseau.

Dans les précédentes versions d’IIS la dernière option, Authentification Windows
intégrée,
s’appelait Authentification par Stimulation/Réponse NT. Cette
option active le protocole d’authentification par Stimulation/Réponse NT original
de IE 2.0 et des versions ultérieures, ainsi que d’autres méthodes.

Téléchargez cette ressource

Travail à distance – Guide complet pour les Directions IT et Métiers

Travail à distance – Guide complet pour les Directions IT et Métiers

Le travail à distance met à l'épreuve la maturité numérique des entreprises en termes de Cybersécurité, d'espace de travail, de bien-être des collaborateurs, de communication et gestion de projet à distance. Découvrez, dans ce nouveau Guide Kyocera, quels leviers activer prioritairement pour mettre en place des solutions de travail à domicile efficaces, pérennes et sécurisées.

Tech - Par iTPro.fr - Publié le 24 juin 2010