Laboratoire Microsoft |  CertifExpress 
 Le Forum de Réfèrence sur les Technologies Microsoft - http://www.forum-microsoft.org

[IIS 8.5] Sécurité des sites TOPIC_SOLVED

Postez vos messages sur le serveur Web de Microsoft

Modérateurs : Modérateurs, Modérateurs_Applicatifs

[IIS 8.5] Sécurité des sites

Message par c-colle » Mer 22 Juin 2016, 9:27

Bonjour,

J'ai actuellement un serveur IIS utilisé pour héberger différents sites basé sur une même racine : www.test.fr/site1, www.test.fr/site2; www.test.fr/site3, ...

Actuellement, le site racine www.test.fr est utilisé pour s'exécuter avec l'utilisateur www, les sous-sites sont en réalité des répertoires virtuels configurés pour s'exécuter avec l'utilisateur correspondant au site (site1, site2, ...).

Je viens de m'apercevoir que le code des sous sites sont en réalité exécutés par l'utilisateur racine (www). De ce fait, le site1 peut aller écrire dans le site2 (en remontant au dossier parent ../site2 par exemple). Cela fonctionne pour uploader des fichiers par exemple.

J'aimerai isoler complètement les sites (avec des users différents) afin que les sous sites ne puissent pas écrire dans les autres.

Comment faire dans mon cas ?


Merci !
Avatar de l’utilisateur
c-colle
Senior
Senior
 
Message(s) : 302
Inscription : Sam 09 Oct 2004, 22:42
Localisation : Metz / Nancy

Re: [IIS 8.5] Sécurité des sites

Message par ndietrich » Jeu 23 Juin 2016, 17:58

Bonjour c-colle

Il y a 2 choses à savoir:

1) Il existe 2 types d'identités dans IIS, l'identité du pool d'application lié à ton site / répertoire virtuel (Network Service, IIS AppPool\DefaultAppPool, ...) et l'identité impersonnée configurée en fonction de l’authentification de ton site (IUSR_xxx si anonyme, ou l'utilisateur Windows connecté au navigateur). L'identité du pool d'application sera l'identité du process w3wp.exe et l'identité impersonnée sera l'identité impersonnée par le thread prenant en charge la requête utilisateur, c'est avec cette dernière que le site accèdera au système de fichiers. Où as-tu configuré tes utilisateurs www, site1, etc… ?

2) Si tu veux une vraie isolation entre tes sites, vérifies que tes répertoires virtuels pointent bien sur des pools d’application différents. Ca les fera exécuter au moins dans des processus différents. Bien sûr il faudra aussi que les identités configurées et les permissions NTFS soient aussi correctement configurées.
Nicolas Dietrich
Software Development Manager Oracle - Oracle Database Clusterware Team
Ex-Directeur R&D Secib
Ex-Microsoft (Internet Developer Escalation Engineer & Technical Account Manager Dev)
Ex-MSDN Blog: http://blogs.msdn.com/nicd/
ndietrich
Grand Master Flash
Grand Master Flash
 
Message(s) : 2583
Inscription : Mer 30 Jan 2002, 8:23

Re: [IIS 8.5] Sécurité des sites  TOPIC_SOLVED

Message par c-colle » Ven 24 Juin 2016, 15:26

Merci pour ces informations, je comprends mieux le fonctionnement d'IIS.

Je viens de faire un test en ne créant non pas un répertoire virtuel mais une application, ça a exactement le comportement que je souhaite.

Je pense que je vais migrer mes répertoires virtuels en applications afin d'avoir une véritable isolation.
Avatar de l’utilisateur
c-colle
Senior
Senior
 
Message(s) : 302
Inscription : Sam 09 Oct 2004, 22:42
Localisation : Metz / Nancy


Retour vers Internet Information serveur (IIS)

Qui est en ligne ?

Utilisateur(s) parcourant ce forum : Aucun utilisateur inscrit et 6 invité(s)



Accueil | News | Articles | Tips | Outils | Certification | Easters Eggs
Essentiels | Glossaire | Vidos | Whitepapers | Essentiels | Bote Scripts
Conditions d'utilisation & Copyright | Respect de la vie prive