La société Microsoft est-elle suicidaire ? ou bien veut-elle que l'on migre tous vers Unix Linux !!!

Le
jluc
La société Microsoft est-elle suicidaire ? ou bien veut-elle que l'on migre
tous vers Unix Linux !!!



En Effet, Il est extrêmement difficile de configurer IIS de sorte que les
comptes anonymes web ou auteurs ne puisse pas se balader à travers tous les
disques dures de d'une machine.

Pour vous en rendre compte vous-même téléchargez le fichier «
explorasp.asp »

A l'adresse suivante http://www.aspfr.com/code.aspx?ID)048 et installer le
sur le serveur de votre fournisseur de services.

Grace au FSO « file system object » j'ai pu lire tout le contenu de tous les
sites web hébergés par mon fournisseur. Et de surcroit tous les fichiers
system de windows et j'en passe.

C'est exactement la même chose pour les serveurs windows 2003 de la société
pour laquelle je travaille.

J'ai eu beau respecter scrupuleusement pas à pas les recommandations
compliquées de MSDN pour sécuriser les machines mais c'est un véritable
calvaire !

Pool d'isolation ? même les super logiciels comme « Hosting controller » ou
« Plesk »

N'arrivent pas à configurer les « ACL » de manière sure !

Donc si quelqu'un connaît la solution pour un site web de sorte que le «
FSO » ne puisse pas aller se balader ailleurs que dans sa propre cour qu'il
me fasse signe !

Merci.
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Thierry Schembri
Le #11400341
Peut être déjà commencer par ne pas donner les droits en lecture à
l'utilisateur IUSR_xxx sur tout le disque... et ensuite désactiver l'option
"Enable Parent Paths" (ou son équivalent en français) dans IIS...
PATRICE A. BONNEFOY
Le #11400321
Bonsoir,
Le remarque de Thierry est judicieuse...
De là, à passer à Linux ! Avez-vous essayé de configurer un serveur web sur
une machine Linux... sans formation... à la main ?
Les administrateurs ou plutôt employeurs qui "mettent" leur entreprise en
vitrine doivent faire preuve d'un minimum de savoir-faire. Je dis cela sans
attaque personnelle, loin de moi cette idée. Mais c'est un risque à ne pas
courir simplement pour les heures perdues en cas de problème !
Un employeur ne peut pas demander à un employé non formé d'envoyer son
entreprise... au bûcher ! Tout cela n'est pas sérieux.
J'ai pris le temps d'essayer ce code chez 2 FAI .Net... Dieu merci, mis à
part le nom des disques on ne voit rien d'autre et accède à rien d'autre. Il
faudrait qu'ils modifient simplement leur paramétrage et... je le leur dirais
car n'étant pas vraiment un "cador" de ce type de code !
Pour les outils, chez MS, il y a Internet Security Toolkit, c'est un très
bon début.
Des articles comme :
http://www.microsoft.com/france/technet/securite/secmod10.mspx
et ceci :
http://www.microsoft.com/france/technet/securite/info/info.asp?mar=/france/technet/securite/info/MBSA.html
Et puis ceci :
http://www.microsoft.com/france/technet/securite/info/info.asp?mar=/france/technet/securite/info/iislockdowntool.html

Mais rien ne remplace la formation. Ce n'est pas en 1 semaine de stage que
l'on sait tout sur la sécurité. C'est un travail de longue haleine. Il faut
pouvoir se mettre dans la peau d'un pirate pour sécuriser ses biens.

Comme vous le voyez, votre question est très importante et va sûrement
soulever d'autres questions et réponses toutes aussi animées les unes que les
autres. Si des admins web passent par-là et nous donnent leur avis sur la
question se serait pas mal non plus.

Bonne continuation.
PAB.
[MVP Windows - Shell/User]


"jluc" a écrit :

La société Microsoft est-elle suicidaire ? ou bien veut-elle que l'on migre
tous vers Unix Linux !!!



En Effet, Il est extrêmement difficile de configurer IIS de sorte que les
comptes anonymes web ou auteurs ne puisse pas se balader à travers tous les
disques dures de d'une machine.

Pour vous en rendre compte vous-même téléchargez le fichier «
explorasp.asp »

A l'adresse suivante http://www.aspfr.com/code.aspx?ID)048 et installer le
sur le serveur de votre fournisseur de services.

Grace au FSO « file system object » j'ai pu lire tout le contenu de tous les
sites web hébergés par mon fournisseur. Et de surcroit tous les fichiers
system de windows et j'en passe.

C'est exactement la même chose pour les serveurs windows 2003 de la société
pour laquelle je travaille.

J'ai eu beau respecter scrupuleusement pas à pas les recommandations
compliquées de MSDN pour sécuriser les machines mais c'est un véritable
calvaire !

Pool d'isolation ? même les super logiciels comme « Hosting controller » ou
« Plesk »

N'arrivent pas à configurer les « ACL » de manière sure !

Donc si quelqu'un connaît la solution pour un site web de sorte que le «
FSO » ne puisse pas aller se balader ailleurs que dans sa propre cour qu'il
me fasse signe !

Merci.





jbongran
Le #11400301
jluc wrote:
La société Microsoft est-elle suicidaire ? ou bien veut-elle que l'on
migre tous vers Unix Linux !!!



En Effet, Il est extrêmement difficile de configurer IIS de sorte que
les comptes anonymes web ou auteurs ne puisse pas se balader à
travers tous les disques dures de d'une machine.

Pour vous en rendre compte vous-même téléchargez le fichier «
explorasp.asp »

A l'adresse suivante http://www.aspfr.com/code.aspx?ID)048 et
installer le sur le serveur de votre fournisseur de services.

Grace au FSO « file system object » j'ai pu lire tout le contenu de
tous les sites web hébergés par mon fournisseur. Et de surcroit tous
les fichiers system de windows et j'en passe.

C'est exactement la même chose pour les serveurs windows 2003 de la
société pour laquelle je travaille.

J'ai eu beau respecter scrupuleusement pas à pas les recommandations
compliquées de MSDN pour sécuriser les machines mais c'est un
véritable calvaire !

Pool d'isolation ? même les super logiciels comme « Hosting
controller » ou « Plesk »

N'arrivent pas à configurer les « ACL » de manière sure !

Donc si quelqu'un connaît la solution pour un site web de sorte que
le « FSO » ne puisse pas aller se balader ailleurs que dans sa propre
cour qu'il me fasse signe !

Merci.



Marche pas sur mes serveurs, peut être que la page suivante est un début de
réponse:
http://support.microsoft.com/kb/812614/en-us
http://support.microsoft.com/kb/812614/en-us
Martin CLAVREUIL
Le #11400271
bonjour,

le script en question,comme le font remarquer les réponses précedentes, ne
montre rien d'autre que des erreurs d'administrations d'un serveur web. Il a
atteint son objectif s'il vous a permis de réaliser qu'il faut aller un peu
plus loin pour considérer un IIS sécure. Plus concrètement :
1/ le fait que la compte IUSR_Machine ai accès à tout le système de fichier
n'est pas une fatalité (cf acl)
2/ le fait que le comtpe IUSR_Machine ai accès au fso non plus (regedt32 ou
regedit/W2K3 : droits sur le cle {0D43FE01-F093-11CF-8940-00A0C9054228})
(attention la manip #2 n'est à appliquer que dans le cas de serveurs dont on
maitrise pas le code : type serveur public offrant la possibilité d'uploader
des ASP)



"jluc" 427e1237$0$1433$
La société Microsoft est-elle suicidaire ? ou bien veut-elle que l'on
migre
tous vers Unix Linux !!!



En Effet, Il est extrêmement difficile de configurer IIS de sorte que les
comptes anonymes web ou auteurs ne puisse pas se balader à travers tous
les
disques dures de d'une machine.

Pour vous en rendre compte vous-même téléchargez le fichier «
explorasp.asp »

A l'adresse suivante http://www.aspfr.com/code.aspx?ID)048 et installer
le
sur le serveur de votre fournisseur de services.

Grace au FSO « file system object » j'ai pu lire tout le contenu de tous
les
sites web hébergés par mon fournisseur. Et de surcroit tous les fichiers
system de windows et j'en passe.

C'est exactement la même chose pour les serveurs windows 2003 de la
société
pour laquelle je travaille.

J'ai eu beau respecter scrupuleusement pas à pas les recommandations
compliquées de MSDN pour sécuriser les machines mais c'est un véritable
calvaire !

Pool d'isolation ? même les super logiciels comme « Hosting controller »
ou
« Plesk »

N'arrivent pas à configurer les « ACL » de manière sure !

Donc si quelqu'un connaît la solution pour un site web de sorte que le «
FSO » ne puisse pas aller se balader ailleurs que dans sa propre cour
qu'il
me fasse signe !

Merci.




jluc
Le #11400261
Bonjour et merci pour votre réponse



Bien sur que du travail de pro doit être effectué par un pro et je comprends
bien qu'un MVP défende son « biftek »

Mais vous ne semblez pas très bien avoir compris où je voulais en venir.

Quand Microsoft utilise des arguments commerciaux tels que la sécurité et la
facilité ou la fiabilité, je crois que la moindre des choses serait de ne
pas activer par defaut le « file system object » aux utilisateurs web
anonymes :

Exemple concret :

Lorsque je crée un nouveau site web par l'interface web d'administration du
serveur

Mon site est crée automatiquement avec un nouveau compte utilisateur d'
utilisateur pour l'administration du site + un nouveau compte anonyme pour
la navigation. C'est ce dernier qui devrait n'avoir aucun droit par défaut
sur le « file system object ».

Ça devrait être le contraire : aucun droit par défaut sur ce compte anonyme
avec la possibilité d'en ajouter ensuite à la demande suivant les besoins.



Voilà tout !

Jluc

"PATRICE A. BONNEFOY" message news:
Bonsoir,
Le remarque de Thierry est judicieuse...
De là, à passer à Linux ! Avez-vous essayé de configurer un serveur web


sur
une machine Linux... sans formation... à la main ?
Les administrateurs ou plutôt employeurs qui "mettent" leur entreprise en
vitrine doivent faire preuve d'un minimum de savoir-faire. Je dis cela


sans
attaque personnelle, loin de moi cette idée. Mais c'est un risque à ne pas
courir simplement pour les heures perdues en cas de problème !
Un employeur ne peut pas demander à un employé non formé d'envoyer son
entreprise... au bûcher ! Tout cela n'est pas sérieux.
J'ai pris le temps d'essayer ce code chez 2 FAI .Net... Dieu merci, mis à
part le nom des disques on ne voit rien d'autre et accède à rien d'autre.


Il
faudrait qu'ils modifient simplement leur paramétrage et... je le leur


dirais
car n'étant pas vraiment un "cador" de ce type de code !
Pour les outils, chez MS, il y a Internet Security Toolkit, c'est un très
bon début.
Des articles comme :
http://www.microsoft.com/france/technet/securite/secmod10.mspx
et ceci :



http://www.microsoft.com/france/technet/securite/info/info.asp?mar=/france/technet/securite/info/MBSA.html
Et puis ceci :



http://www.microsoft.com/france/technet/securite/info/info.asp?mar=/france/technet/securite/info/iislockdowntool.html

Mais rien ne remplace la formation. Ce n'est pas en 1 semaine de stage que
l'on sait tout sur la sécurité. C'est un travail de longue haleine. Il


faut
pouvoir se mettre dans la peau d'un pirate pour sécuriser ses biens.

Comme vous le voyez, votre question est très importante et va sûrement
soulever d'autres questions et réponses toutes aussi animées les unes que


les
autres. Si des admins web passent par-là et nous donnent leur avis sur la
question se serait pas mal non plus.

Bonne continuation.
PAB.
[MVP Windows - Shell/User]


"jluc" a écrit :

> La société Microsoft est-elle suicidaire ? ou bien veut-elle que l'on


migre
> tous vers Unix Linux !!!
>
>
>
> En Effet, Il est extrêmement difficile de configurer IIS de sorte que


les
> comptes anonymes web ou auteurs ne puisse pas se balader à travers tous


les
> disques dures de d'une machine.
>
> Pour vous en rendre compte vous-même téléchargez le fichier «
> explorasp.asp »
>
> A l'adresse suivante http://www.aspfr.com/code.aspx?ID)048 et


installer le
> sur le serveur de votre fournisseur de services.
>
> Grace au FSO « file system object » j'ai pu lire tout le contenu de tous


les
> sites web hébergés par mon fournisseur. Et de surcroit tous les fichiers
> system de windows et j'en passe.
>
> C'est exactement la même chose pour les serveurs windows 2003 de la


société
> pour laquelle je travaille.
>
> J'ai eu beau respecter scrupuleusement pas à pas les recommandations
> compliquées de MSDN pour sécuriser les machines mais c'est un véritable
> calvaire !
>
> Pool d'isolation ? même les super logiciels comme « Hosting controller »


ou
> « Plesk »
>
> N'arrivent pas à configurer les « ACL » de manière sure !
>
> Donc si quelqu'un connaît la solution pour un site web de sorte que le «
> FSO » ne puisse pas aller se balader ailleurs que dans sa propre cour


qu'il
> me fasse signe !
>
> Merci.
>
>
>


jluc
Le #11400241
Merci pour cette idée,
mais "Enable Parent Paths" n'a jamais été activée
et si je désactive IUSR_xxx sur tout le disque
les utilisateurs ne peuvent plus acceder à rien du tout...


"Thierry Schembri" news:e9I5nA%
Peut être déjà commencer par ne pas donner les droits en lecture à
l'utilisateur IUSR_xxx sur tout le disque... et ensuite désactiver


l'option
"Enable Parent Paths" (ou son équivalent en français) dans IIS...




jbongran
Le #11400211
jluc wrote:
Merci pour cette idée,
mais "Enable Parent Paths" n'a jamais été activée
et si je désactive IUSR_xxx sur tout le disque
les utilisateurs ne peuvent plus acceder à rien du tout...


"Thierry Schembri" news:e9I5nA%
Peut être déjà commencer par ne pas donner les droits en lecture à
l'utilisateur IUSR_xxx sur tout le disque... et ensuite désactiver
l'option "Enable Parent Paths" (ou son équivalent en français) dans
IIS...





Héritages des droits NTFS ?
Cet utilisateur ne devrait avoir accès qu'au repertoire racine du site web.
Tartopum
Le #11400191
Bonjour,

J'ai bien lu les remarques de tous le monde et je suis perplexe.
Dans mon cas, il y a moyen de naviguer dans pas mal de répertoires (pas
tous) avec cette page ASP.
Mettons un répertoire C:X dans lequel je peux entrer et un C:Y ou j'ai un
acces denied. La seule différence est que pour X j'ai le group Users avec
les droits "Read & exécute, List folder content, Read". Si je supprime Users
dans la sécurité de X IUSR_machine n'a plus d'accès.

Le compte ISUR_machine est dans le group Guests et pas dans Users et
IUSR_machine n'est autorisé que sur le répertoire wwwroot (comme il se doit
je pense) et les chemins parents ne sont pas activés.
Si je regarde dans le groupe Users je vois dans les membres "NT
AUTORITYAuthenticatedUsers(s-1-5-11)". Est-ce à dire que IUSR_machine fait
partie automatiquement du groupe Users par l'entremise de
"AuthenticatedUsers" ??

Dans ce cas, je ne vois que 2 possibilités: soit je supprime le groupe Users
au niveau de la sécurité soit je doit ajouter un "deny" partout pour
IUSR_Machine .

Je fais quoi ? J'ai loupé quelque chose ? Qui a une aspirine ?

Gloup ;o)


"jluc" 427e1237$0$1433$
La société Microsoft est-elle suicidaire ? ou bien veut-elle que l'on
migre
tous vers Unix Linux !!!



En Effet, Il est extrêmement difficile de configurer IIS de sorte que les
comptes anonymes web ou auteurs ne puisse pas se balader à travers tous
les
disques dures de d'une machine.

Pour vous en rendre compte vous-même téléchargez le fichier «
explorasp.asp »

A l'adresse suivante http://www.aspfr.com/code.aspx?ID)048 et installer
le
sur le serveur de votre fournisseur de services.

Grace au FSO « file system object » j'ai pu lire tout le contenu de tous
les
sites web hébergés par mon fournisseur. Et de surcroit tous les fichiers
system de windows et j'en passe.

C'est exactement la même chose pour les serveurs windows 2003 de la
société
pour laquelle je travaille.

J'ai eu beau respecter scrupuleusement pas à pas les recommandations
compliquées de MSDN pour sécuriser les machines mais c'est un véritable
calvaire !

Pool d'isolation ? même les super logiciels comme « Hosting controller »
ou
« Plesk »

N'arrivent pas à configurer les « ACL » de manière sure !

Donc si quelqu'un connaît la solution pour un site web de sorte que le «
FSO » ne puisse pas aller se balader ailleurs que dans sa propre cour
qu'il
me fasse signe !

Merci.




jbongran
Le #11400161
Tartopum wrote:
Bonjour,

J'ai bien lu les remarques de tous le monde et je suis perplexe.
Dans mon cas, il y a moyen de naviguer dans pas mal de répertoires
(pas tous) avec cette page ASP.
Mettons un répertoire C:X dans lequel je peux entrer et un C:Y ou
j'ai un acces denied. La seule différence est que pour X j'ai le
group Users avec les droits "Read & exécute, List folder content,
Read". Si je supprime Users dans la sécurité de X IUSR_machine n'a
plus d'accès.
Le compte ISUR_machine est dans le group Guests et pas dans Users et
IUSR_machine n'est autorisé que sur le répertoire wwwroot (comme il
se doit je pense) et les chemins parents ne sont pas activés.
Si je regarde dans le groupe Users je vois dans les membres "NT
AUTORITYAuthenticatedUsers(s-1-5-11)". Est-ce à dire que
IUSR_machine fait partie automatiquement du groupe Users par
l'entremise de "AuthenticatedUsers" ??

Dans ce cas, je ne vois que 2 possibilités: soit je supprime le
groupe Users au niveau de la sécurité soit je doit ajouter un "deny"
partout pour IUSR_Machine .

Je fais quoi ? J'ai loupé quelque chose ? Qui a une aspirine ?

Gloup ;o)


"jluc" 427e1237$0$1433$
La société Microsoft est-elle suicidaire ? ou bien veut-elle que l'on
migre
tous vers Unix Linux !!!



En Effet, Il est extrêmement difficile de configurer IIS de sorte
que les comptes anonymes web ou auteurs ne puisse pas se balader à
travers tous les
disques dures de d'une machine.

Pour vous en rendre compte vous-même téléchargez le fichier «
explorasp.asp »

A l'adresse suivante http://www.aspfr.com/code.aspx?ID)048 et
installer le
sur le serveur de votre fournisseur de services.

Grace au FSO « file system object » j'ai pu lire tout le contenu de
tous les
sites web hébergés par mon fournisseur. Et de surcroit tous les
fichiers system de windows et j'en passe.

C'est exactement la même chose pour les serveurs windows 2003 de la
société
pour laquelle je travaille.

J'ai eu beau respecter scrupuleusement pas à pas les recommandations
compliquées de MSDN pour sécuriser les machines mais c'est un
véritable calvaire !

Pool d'isolation ? même les super logiciels comme « Hosting
controller » ou
« Plesk »

N'arrivent pas à configurer les « ACL » de manière sure !

Donc si quelqu'un connaît la solution pour un site web de sorte que
le « FSO » ne puisse pas aller se balader ailleurs que dans sa
propre cour qu'il
me fasse signe !

Merci.





Voir la note en fin de fiche technique sur le "bypass traverse checking":
http://support.microsoft.com/kb/812614/en-us
Tartopum
Le #11400151
> Voir la note en fin de fiche technique sur le "bypass traverse checking":
http://support.microsoft.com/kb/812614/en-us




Merci pour le lien.
Intéressant effectivement. Je commence à comprendre. Il y a également ce
lien:
http://support.microsoft.com/default.aspx?scid=kb;en-us;823659 (voir point3)

Concrètement si je retire "tout le monde" de "outrepasser le contrôle de
défilement" (bypass traverse checking) dans les stratégies de sécurité, il y
a de forte chance que je casse tout :o(

Gloup
Publicité
Poster une réponse
Anonyme