Après avoir abordé la sécurisation d’un serveur Windows 2000 sur un intranet le mois dernier, voici les éléments complémentaires pour sécuriser ce même serveur accessible, cette fois-ci, depuis internet.
1. Prévoyez l’architecture de votre réseau
Votre entreprise est certainement protégée par un coupe-feu (si ce n’est pas le cas, c’est le moment de l’envisager sérieusement). Placez votre serveur sur l’une des zones démilitarisées (DMZ, DeMilitarized Zone) faisant office de sas entre l’extérieur et l’intérieur de votre système d’information. Ainsi, votre serveur sera protégé par une première ligne de défense, constituée d’un ensemble de règles d’accès et de filtres appliqués par le coupe-feu.
2. Installez votre système de manière sécurisée
Appliquer pour cela les points de configuration que nous avons abordés le mois dernier à propos du serveur intranet. Certaines précautions supplémentaires conduisent à des paramétrages différents. Il faut limiter au maximum les possibilités offertes à l’attaquant et rendre toute action difficile, voire impossible. C’est le principe dit “de l’entrave maximum”. En premier lieu, installez votre serveur sur la DMZ comme un serveur autonome placé au sein d’un groupe de travail. De cette façon, un attaquant qui se rendrait maître du serveur n’aurait accès qu’à des comptes locaux dans la base SAM (la base des comptes NT) du serveur, et non à des comptes de domaine qui ouvrent la connection sur d’autres machines.
3. Désactivez NetBios
Le protocole NetBios est utilisé pour partager des ressources sur un Lan, par exemple, mais permet à un attaquant de récupérer des informations à propos de votre serveur. Pour éviter cela, et pour qu’il ne puisse ni se connecter à votre serveur, ni se connecter à d’autres serveurs depuis le vôtre, il faut désactiver NetBios. Arrêtez d’abord “Service d’application d’assistance TCP/IP NetBios”. Allez dans le menu “Démarrer”, puis dans les “Outils d’administration”, et choisissez “Services”. Dans la liste, faites un clic droit sur le service précité et choisissez Arrêter (voir figure 1). Ensuite, désactivez NetBios sur TCP/IP (NetBT). Sous Windows 2000, allez dans le menu “Démarrer”, sélectionnez “Paramètres” puis “Panneau de configuration” et double-cliquez sur l’icône “Connections réseaux et distantes”. Double-cliquez alors sur l’icône de votre carte réseau, puis sur le bouton “Propriétés”. Double-cliquez ensuite sur le protocole TCP/IP puis sur les boutons “Propriétés” et “Avancé”, sur l’onglet “Wins” et enfin sur le bouton radio “Désactiver NetBios sur TCP/IP”.Enfin, en revenant dans la fenêtre de “Propriétés” de votre carte réseau, désinstallez le service “Partage de fichiers et d’imprimantes pour les réseaux Microsoft”, s’il est installé (voir figure 2). Complétez cette précaution en filtrant également les flux NetBIOS au niveau de votre coupe-feu, sur les ports 137/UDP, 138/UDP et 139/UDP.
4. Installez votre serveur Web
Cette étape doit être exécutée (que ce soit IIS, Netscape, Apache, etc.) en prenant la précaution d’utiliser 2 partitions NTFS différentes : sur l’une, vous placerez le système et les exécutables du serveur web, et sur l’autre l’arborescence des fichiers de votre site web. En effet, un attaquant maître de votre serveur par le biais du serveur web aura comme point de départ l’arborescence de votre site web. S’il n’existe pas de fichier système à exploiter dans cette arborescence, ses possibilités seront réduites. Enfin, arrêtez les services installés en même temps que votre serveur HTTP si vous ne les utilisez pas. Typiquement, il s’agit des serveurs FTP, NNTP (serveur de News) et SMTP (serveur d’e-mail).
5. Retirez les exemples
Quel que soit le serveur web que vous avez installé, il est certainement livré avec des exemples d’applications, bien souvent installés par défaut. Or, la plupart de ces applications comportent des vulnérabilités exploitables par un attaquant. Désinstallez les, en particulier les répertoires “Samples”, “iissamples”, “admin”, “AdminScripts” et consorts. Prenez garde aux répertoires virtuels qui n’apparaissent pas directement dans l’arborescence des répertoires du serveur web sur le disque. Dans le cas d’IIS 5.0, supprimez par exemple le répertoire virtuel “MSADC”, dont le chemin est “C:Program FilesCommon FilesSystemmsadc”.
6. Supprimez les CGI et filtres inutiles
Vérifiez le contenu de vos répertoires “CGI-Bin” et “Scripts” puis supprimez tous les CGI non utilisés. De même, dans les paramètres de votre serveur web, supprimez tous les filtres Isapi (Microsoft) ou NSAPI (Netscape) non utilisés. Enfin, supprimez les liaisons entre les types de fichiers que vous n’utilisez pas et leurs interpréteurs. Par exemple, pour IIS, supprimez les liaisons entre les fichiers “.ida” et “.idq” et la DLL “idq.dll” ainsi que la liaison entre les fichiers “.htr” et la DLL “ism.dll”, si vous n’utilisez pas de pages de ce type.
7. Enlevez les exécutables inutiles
Même si vous avez installé votre système sur une partition différente de votre arborescence web, supprimez tous les exécutables inutiles sur un serveur web. Certains pourraient permettre à un attaquant de lire le contenu des fichiers présents sur votre serveur, ou pire, d’installer ses propres fichiers sur votre serveur et lui offrir alors de nouvelles possibilités d’attaque ou de rebond vers d’autres machines. Supprimez donc en particulier les exécutables suivants “cmd.exe.”, “command.com”, “tftp.exe”, “ftp.exe”, “telnet.exe”, “net.exe”, “debug.exe”, etc.
8. Restreignez les permissions d’accès aux fichiers
Si vous ne pouvez supprimer certains fichiers indispensables, veillez à ce que les permissions d’accès aux fichiers soient les plus restreintes possibles. Par exemple, les fichiers systèmes doivent pouvoir être exécutés par les administrateurs seulement et ne doivent être modifiables par personne. Personne ne doit avoir de permission d’accès en écriture aux fichiers de l’arborescence du serveur web. Faites également attention à la combinaison des permissions d’accès que vous définissez au niveau des fichiers eux-mêmes d’une part (permissions NTFS) et au niveau du serveur web d’autre part (lecture des pages, exécution, script, écriture). Prenez garde aux permissions NTFS accordées à des comptes utilisateurs particuliers. Dans le cas d’IIS, par exemple, le compte utilisateur “IUSR_MachineName” est le compte sous lequel sont connectés les utilisateurs surfant anonymement sur votre site web. Les permissions d’accès à ce compte utilisateur devront donc être les plus réduites possibles (voir figure 3). Enfin, désactivez le “directory browsing” permettant de lister le contenu de vos répertoires web quand aucune page par défaut n’existe.
9. Limitez les droits de certains utilisateurs
Certains comptes utilisateurs sont particulièrement importants sur un serveur web (IUSR_MachineName, par exemple, pour IIS). Restreignez les droits affectés à ces comptes,avec des paramètres au niveau du répertoire “stratégie de sécurité locale” (voir écran 4). Attention, dans le cas d’IIS 4.0, vous devez accorder le droit “Ouvrir une session localement” à l’utilisateur “IUSR_MachineName”, alors que ce n’est plus obligatoire avec IIS 5.0 (voir figure 5).
10. Faites faire un audit pério-dique de votre système
Pensez à mettre régulièrement à jour votre serveur en installant les correctifs des éditeurs. Une fois le serveur à jour et paramétré, vérifiez qu’il le reste dans le temps et que vous n’avez oublié aucune vulnérabilité. Pour cela, effectuez périodiquement un audit de votre serveur. Ce type de prestation s’appelle un test de visibilité, il peut aller jusqu’au test d’intrusion.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.