La société Microsoft est-elle suicidaire ? ou bien veut-elle que l'on migre tous vers Unix Linux !!!

Peut être déjà commencer par ne pas donner les droits en lecture à
l'utilisateur IUSR_xxx sur tout le disque... et ensuite désactiver l'option
"Enable Parent Paths" (ou son équivalent en français) dans IIS...

Bonsoir,
Le remarque de Thierry est judicieuse...
De là, à passer à Linux ! Avez-vous essayé de configurer un serveur web sur
une machine Linux... sans formation... à la main ?
Les administrateurs ou plutôt employeurs qui "mettent" leur entreprise en
vitrine doivent faire preuve d'un minimum de savoir-faire. Je dis cela sans
attaque personnelle, loin de moi cette idée. Mais c'est un risque à ne pas
courir simplement pour les heures perdues en cas de problème !
Un employeur ne peut pas demander à un employé non formé d'envoyer son
entreprise... au bûcher ! Tout cela n'est pas sérieux.
J'ai pris le temps d'essayer ce code chez 2 FAI .Net... Dieu merci, mis à
part le nom des disques on ne voit rien d'autre et accède à rien d'autre. Il
faudrait qu'ils modifient simplement leur paramétrage et... je le leur dirais
car n'étant pas vraiment un "cador" de ce type de code !
Pour les outils, chez MS, il y a Internet Security Toolkit, c'est un très
bon début.
Des articles comme :
http://www.microsoft.com/france/technet/securite/secmod10.mspx
et ceci :
http://www.microsoft.com/france/technet/securite/info/info.asp?mar=/france/technet/securite/info/MBSA.html
Et puis ceci :
http://www.microsoft.com/france/technet/securite/info/info.asp?mar=/france/technet/securite/info/iislockdowntool.html

Mais rien ne remplace la formation. Ce n'est pas en 1 semaine de stage que
l'on sait tout sur la sécurité. C'est un travail de longue haleine. Il faut
pouvoir se mettre dans la peau d'un pirate pour sécuriser ses biens.

Comme vous le voyez, votre question est très importante et va sûrement
soulever d'autres questions et réponses toutes aussi animées les unes que les
autres. Si des admins web passent par-là et nous donnent leur avis sur la
question se serait pas mal non plus.

Bonne continuation.
PAB.
[MVP Windows - Shell/User]


"jluc" a écrit :

La société Microsoft est-elle suicidaire ? ou bien veut-elle que l'on migre
tous vers Unix Linux !!!



En Effet, Il est extrêmement difficile de configurer IIS de sorte que les
comptes anonymes web ou auteurs ne puisse pas se balader à travers tous les
disques dures de d'une machine.

Pour vous en rendre compte vous-même téléchargez le fichier «
explorasp.asp »

A l'adresse suivante http://www.aspfr.com/code.aspx?ID)048 et installer le
sur le serveur de votre fournisseur de services.

Grace au FSO « file system object » j'ai pu lire tout le contenu de tous les
sites web hébergés par mon fournisseur. Et de surcroit tous les fichiers
system de windows et j'en passe.

C'est exactement la même chose pour les serveurs windows 2003 de la société
pour laquelle je travaille.

J'ai eu beau respecter scrupuleusement pas à pas les recommandations
compliquées de MSDN pour sécuriser les machines mais c'est un véritable
calvaire !

Pool d'isolation ? même les super logiciels comme « Hosting controller » ou
« Plesk »

N'arrivent pas à configurer les « ACL » de manière sure !

Donc si quelqu'un connaît la solution pour un site web de sorte que le «
FSO » ne puisse pas aller se balader ailleurs que dans sa propre cour qu'il
me fasse signe !

Merci.

jluc wrote:

La société Microsoft est-elle suicidaire ? ou bien veut-elle que l'on
migre tous vers Unix Linux !!!



En Effet, Il est extrêmement difficile de configurer IIS de sorte que
les comptes anonymes web ou auteurs ne puisse pas se balader à
travers tous les disques dures de d'une machine.

Pour vous en rendre compte vous-même téléchargez le fichier «
explorasp.asp »

A l'adresse suivante http://www.aspfr.com/code.aspx?ID)048 et
installer le sur le serveur de votre fournisseur de services.

Grace au FSO « file system object » j'ai pu lire tout le contenu de
tous les sites web hébergés par mon fournisseur. Et de surcroit tous
les fichiers system de windows et j'en passe.

C'est exactement la même chose pour les serveurs windows 2003 de la
société pour laquelle je travaille.

J'ai eu beau respecter scrupuleusement pas à pas les recommandations
compliquées de MSDN pour sécuriser les machines mais c'est un
véritable calvaire !

Pool d'isolation ? même les super logiciels comme « Hosting
controller » ou « Plesk »

N'arrivent pas à configurer les « ACL » de manière sure !

Donc si quelqu'un connaît la solution pour un site web de sorte que
le « FSO » ne puisse pas aller se balader ailleurs que dans sa propre
cour qu'il me fasse signe !

Merci.

Marche pas sur mes serveurs, peut être que la page suivante est un début de
réponse:
http://support.microsoft.com/kb/812614/en-us
http://support.microsoft.com/kb/812614/en-us

bonjour,

le script en question,comme le font remarquer les réponses précedentes, ne
montre rien d'autre que des erreurs d'administrations d'un serveur web. Il a
atteint son objectif s'il vous a permis de réaliser qu'il faut aller un peu
plus loin pour considérer un IIS sécure. Plus concrètement :
1/ le fait que la compte IUSR_Machine ai accès à tout le système de fichier
n'est pas une fatalité (cf acl)
2/ le fait que le comtpe IUSR_Machine ai accès au fso non plus (regedt32 ou
regedit/W2K3 : droits sur le cle {0D43FE01-F093-11CF-8940-00A0C9054228})
(attention la manip #2 n'est à appliquer que dans le cas de serveurs dont on
maitrise pas le code : type serveur public offrant la possibilité d'uploader
des ASP)



"jluc" <pourriel@non.merci> a écrit dans le message de news:
427e1237$0$1433$626a14ce@news.free.fr...

La société Microsoft est-elle suicidaire ? ou bien veut-elle que l'on
migre
tous vers Unix Linux !!!



En Effet, Il est extrêmement difficile de configurer IIS de sorte que les
comptes anonymes web ou auteurs ne puisse pas se balader à travers tous
les
disques dures de d'une machine.

Pour vous en rendre compte vous-même téléchargez le fichier «
explorasp.asp »

A l'adresse suivante http://www.aspfr.com/code.aspx?ID)048 et installer
le
sur le serveur de votre fournisseur de services.

Grace au FSO « file system object » j'ai pu lire tout le contenu de tous
les
sites web hébergés par mon fournisseur. Et de surcroit tous les fichiers
system de windows et j'en passe.

C'est exactement la même chose pour les serveurs windows 2003 de la
société
pour laquelle je travaille.

J'ai eu beau respecter scrupuleusement pas à pas les recommandations
compliquées de MSDN pour sécuriser les machines mais c'est un véritable
calvaire !

Pool d'isolation ? même les super logiciels comme « Hosting controller »
ou
« Plesk »

N'arrivent pas à configurer les « ACL » de manière sure !

Donc si quelqu'un connaît la solution pour un site web de sorte que le «
FSO » ne puisse pas aller se balader ailleurs que dans sa propre cour
qu'il
me fasse signe !

Merci.

Bonjour et merci pour votre réponse



Bien sur que du travail de pro doit être effectué par un pro et je comprends
bien qu'un MVP défende son « biftek »

Mais vous ne semblez pas très bien avoir compris où je voulais en venir.

Quand Microsoft utilise des arguments commerciaux tels que la sécurité et la
facilité ou la fiabilité, je crois que la moindre des choses serait de ne
pas activer par defaut le « file system object » aux utilisateurs web
anonymes :

Exemple concret :

Lorsque je crée un nouveau site web par l'interface web d'administration du
serveur

Mon site est crée automatiquement avec un nouveau compte utilisateur d'
utilisateur pour l'administration du site + un nouveau compte anonyme pour
la navigation. C'est ce dernier qui devrait n'avoir aucun droit par défaut
sur le « file system object ».

Ça devrait être le contraire : aucun droit par défaut sur ce compte anonyme
avec la possibilité d'en ajouter ensuite à la demande suivant les besoins.



Voilà tout !

Jluc

"PATRICE A. BONNEFOY" <PATRICEABONNEFOY@discussions.microsoft.com> wrote in
message news:4B87654F-8E3A-42EA-9422-F35CB1BE4A8E@microsoft.com...

Bonsoir,
Le remarque de Thierry est judicieuse...
De là, à passer à Linux ! Avez-vous essayé de configurer un serveur web

sur

une machine Linux... sans formation... à la main ?
Les administrateurs ou plutôt employeurs qui "mettent" leur entreprise en
vitrine doivent faire preuve d'un minimum de savoir-faire. Je dis cela

sans

attaque personnelle, loin de moi cette idée. Mais c'est un risque à ne pas
courir simplement pour les heures perdues en cas de problème !
Un employeur ne peut pas demander à un employé non formé d'envoyer son
entreprise... au bûcher ! Tout cela n'est pas sérieux.
J'ai pris le temps d'essayer ce code chez 2 FAI .Net... Dieu merci, mis à
part le nom des disques on ne voit rien d'autre et accède à rien d'autre.

Il

faudrait qu'ils modifient simplement leur paramétrage et... je le leur

dirais

car n'étant pas vraiment un "cador" de ce type de code !
Pour les outils, chez MS, il y a Internet Security Toolkit, c'est un très
bon début.
Des articles comme :
http://www.microsoft.com/france/technet/securite/secmod10.mspx
et ceci :

http://www.microsoft.com/france/technet/securite/info/info.asp?mar=/france/technet/securite/info/MBSA.html

Et puis ceci :

http://www.microsoft.com/france/technet/securite/info/info.asp?mar=/france/technet/securite/info/iislockdowntool.html

Mais rien ne remplace la formation. Ce n'est pas en 1 semaine de stage que
l'on sait tout sur la sécurité. C'est un travail de longue haleine. Il

faut

pouvoir se mettre dans la peau d'un pirate pour sécuriser ses biens.

Comme vous le voyez, votre question est très importante et va sûrement
soulever d'autres questions et réponses toutes aussi animées les unes que

les

autres. Si des admins web passent par-là et nous donnent leur avis sur la
question se serait pas mal non plus.

Bonne continuation.
PAB.
[MVP Windows - Shell/User]


"jluc" a écrit :

> La société Microsoft est-elle suicidaire ? ou bien veut-elle que l'on

migre

> tous vers Unix Linux !!!
>
>
>
> En Effet, Il est extrêmement difficile de configurer IIS de sorte que

les

> comptes anonymes web ou auteurs ne puisse pas se balader à travers tous

les

> disques dures de d'une machine.
>
> Pour vous en rendre compte vous-même téléchargez le fichier «
> explorasp.asp »
>
> A l'adresse suivante http://www.aspfr.com/code.aspx?ID)048 et

installer le

> sur le serveur de votre fournisseur de services.
>
> Grace au FSO « file system object » j'ai pu lire tout le contenu de tous

les

> sites web hébergés par mon fournisseur. Et de surcroit tous les fichiers
> system de windows et j'en passe.
>
> C'est exactement la même chose pour les serveurs windows 2003 de la

société

> pour laquelle je travaille.
>
> J'ai eu beau respecter scrupuleusement pas à pas les recommandations
> compliquées de MSDN pour sécuriser les machines mais c'est un véritable
> calvaire !
>
> Pool d'isolation ? même les super logiciels comme « Hosting controller »

ou

> « Plesk »
>
> N'arrivent pas à configurer les « ACL » de manière sure !
>
> Donc si quelqu'un connaît la solution pour un site web de sorte que le «
> FSO » ne puisse pas aller se balader ailleurs que dans sa propre cour

qu'il

> me fasse signe !
>
> Merci.
>
>
>

Merci pour cette idée,
mais "Enable Parent Paths" n'a jamais été activée
et si je désactive IUSR_xxx sur tout le disque
les utilisateurs ne peuvent plus acceder à rien du tout...


"Thierry Schembri" <tschembri@hydromail.net> wrote in message
news:e9I5nA%23UFHA.3044@TK2MSFTNGP10.phx.gbl...

Peut être déjà commencer par ne pas donner les droits en lecture à
l'utilisateur IUSR_xxx sur tout le disque... et ensuite désactiver

l'option

"Enable Parent Paths" (ou son équivalent en français) dans IIS...

jluc wrote:

Merci pour cette idée,
mais "Enable Parent Paths" n'a jamais été activée
et si je désactive IUSR_xxx sur tout le disque
les utilisateurs ne peuvent plus acceder à rien du tout...


"Thierry Schembri" <tschembri@hydromail.net> wrote in message
news:e9I5nA%23UFHA.3044@TK2MSFTNGP10.phx.gbl...

Peut être déjà commencer par ne pas donner les droits en lecture à
l'utilisateur IUSR_xxx sur tout le disque... et ensuite désactiver
l'option "Enable Parent Paths" (ou son équivalent en français) dans
IIS...

Héritages des droits NTFS ?
Cet utilisateur ne devrait avoir accès qu'au repertoire racine du site web.

Bonjour,

J'ai bien lu les remarques de tous le monde et je suis perplexe.
Dans mon cas, il y a moyen de naviguer dans pas mal de répertoires (pas
tous) avec cette page ASP.
Mettons un répertoire C:X dans lequel je peux entrer et un C:Y ou j'ai un
acces denied. La seule différence est que pour X j'ai le group Users avec
les droits "Read & exécute, List folder content, Read". Si je supprime Users
dans la sécurité de X IUSR_machine n'a plus d'accès.

Le compte ISUR_machine est dans le group Guests et pas dans Users et
IUSR_machine n'est autorisé que sur le répertoire wwwroot (comme il se doit
je pense) et les chemins parents ne sont pas activés.
Si je regarde dans le groupe Users je vois dans les membres "NT
AUTORITYAuthenticatedUsers(s-1-5-11)". Est-ce à dire que IUSR_machine fait
partie automatiquement du groupe Users par l'entremise de
"AuthenticatedUsers" ??

Dans ce cas, je ne vois que 2 possibilités: soit je supprime le groupe Users
au niveau de la sécurité soit je doit ajouter un "deny" partout pour
IUSR_Machine .

Je fais quoi ? J'ai loupé quelque chose ? Qui a une aspirine ?

Gloup ;o)


"jluc" <pourriel@non.merci> a écrit dans le message de news:
427e1237$0$1433$626a14ce@news.free.fr...

La société Microsoft est-elle suicidaire ? ou bien veut-elle que l'on
migre
tous vers Unix Linux !!!



En Effet, Il est extrêmement difficile de configurer IIS de sorte que les
comptes anonymes web ou auteurs ne puisse pas se balader à travers tous
les
disques dures de d'une machine.

Pour vous en rendre compte vous-même téléchargez le fichier «
explorasp.asp »

A l'adresse suivante http://www.aspfr.com/code.aspx?ID)048 et installer
le
sur le serveur de votre fournisseur de services.

Grace au FSO « file system object » j'ai pu lire tout le contenu de tous
les
sites web hébergés par mon fournisseur. Et de surcroit tous les fichiers
system de windows et j'en passe.

C'est exactement la même chose pour les serveurs windows 2003 de la
société
pour laquelle je travaille.

J'ai eu beau respecter scrupuleusement pas à pas les recommandations
compliquées de MSDN pour sécuriser les machines mais c'est un véritable
calvaire !

Pool d'isolation ? même les super logiciels comme « Hosting controller »
ou
« Plesk »

N'arrivent pas à configurer les « ACL » de manière sure !

Donc si quelqu'un connaît la solution pour un site web de sorte que le «
FSO » ne puisse pas aller se balader ailleurs que dans sa propre cour
qu'il
me fasse signe !

Merci.

Tartopum wrote:

Bonjour,

J'ai bien lu les remarques de tous le monde et je suis perplexe.
Dans mon cas, il y a moyen de naviguer dans pas mal de répertoires
(pas tous) avec cette page ASP.
Mettons un répertoire C:X dans lequel je peux entrer et un C:Y ou
j'ai un acces denied. La seule différence est que pour X j'ai le
group Users avec les droits "Read & exécute, List folder content,
Read". Si je supprime Users dans la sécurité de X IUSR_machine n'a
plus d'accès.
Le compte ISUR_machine est dans le group Guests et pas dans Users et
IUSR_machine n'est autorisé que sur le répertoire wwwroot (comme il
se doit je pense) et les chemins parents ne sont pas activés.
Si je regarde dans le groupe Users je vois dans les membres "NT
AUTORITYAuthenticatedUsers(s-1-5-11)". Est-ce à dire que
IUSR_machine fait partie automatiquement du groupe Users par
l'entremise de "AuthenticatedUsers" ??

Dans ce cas, je ne vois que 2 possibilités: soit je supprime le
groupe Users au niveau de la sécurité soit je doit ajouter un "deny"
partout pour IUSR_Machine .

Je fais quoi ? J'ai loupé quelque chose ? Qui a une aspirine ?

Gloup ;o)


"jluc" <pourriel@non.merci> a écrit dans le message de news:
427e1237$0$1433$626a14ce@news.free.fr...

La société Microsoft est-elle suicidaire ? ou bien veut-elle que l'on
migre
tous vers Unix Linux !!!



En Effet, Il est extrêmement difficile de configurer IIS de sorte
que les comptes anonymes web ou auteurs ne puisse pas se balader à
travers tous les
disques dures de d'une machine.

Pour vous en rendre compte vous-même téléchargez le fichier «
explorasp.asp »

A l'adresse suivante http://www.aspfr.com/code.aspx?ID)048 et
installer le
sur le serveur de votre fournisseur de services.

Grace au FSO « file system object » j'ai pu lire tout le contenu de
tous les
sites web hébergés par mon fournisseur. Et de surcroit tous les
fichiers system de windows et j'en passe.

C'est exactement la même chose pour les serveurs windows 2003 de la
société
pour laquelle je travaille.

J'ai eu beau respecter scrupuleusement pas à pas les recommandations
compliquées de MSDN pour sécuriser les machines mais c'est un
véritable calvaire !

Pool d'isolation ? même les super logiciels comme « Hosting
controller » ou
« Plesk »

N'arrivent pas à configurer les « ACL » de manière sure !

Donc si quelqu'un connaît la solution pour un site web de sorte que
le « FSO » ne puisse pas aller se balader ailleurs que dans sa
propre cour qu'il
me fasse signe !

Merci.

Voir la note en fin de fiche technique sur le "bypass traverse checking":
http://support.microsoft.com/kb/812614/en-us

> Voir la note en fin de fiche technique sur le "bypass traverse checking":
http://support.microsoft.com/kb/812614/en-us

Merci pour le lien.
Intéressant effectivement. Je commence à comprendre. Il y a également ce
lien:
http://support.microsoft.com/default.aspx?scid=kb;en-us;823659 (voir point3)

Concrètement si je retire "tout le monde" de "outrepasser le contrôle de
défilement" (bypass traverse checking) dans les stratégies de sécurité, il y
a de forte chance que je casse tout :o(

Gloup