IIS, c’est quoi?Historique de IISInstallation de IIS

Gestion de base de  IISMéthodes d’authentification

Edy Joachim,

Internet Information Services , c’est quoi? Internet Information Services (IIS) 8 et 8.5 est le rôle Web Server (IIS) dans

Windows Server® 2012 et Windows Server® 2012 R2 . Un serveur Web (appelé aussi Serveur HTTP) est un programme basé sur le modèle 

client/server et le protocole Hypertext Transfer Protocol ( HTTP). Un serveur Web fournit les fichiers qui constituent les pages Web aux clients  Web.

Le rôle Serveur Web (IIS) offre une plateforme à la fois extensible, modulaire, sécurisée et simple d’emploi pour héberger de manière fiable des sites Web, des services et des applications Web. 

Avec IIS, vous pouvez partager des informations avec des utilisateurs sur Internet, un intranet ou un extranet.,

IIS est une plateforme Web unifiée qui intègre les services ASP.NET, FTP, PHP et Windows Communication Foundation (WCF).

IIS supporte les protocoles HTTP, HTTPS, FTP, FTPS, SMTP, … Tout ordinateur sur Internet (ou dans un Intranet) qui contient un site dispose 

d’un programme Web.  Les deux plus gros joueurs des programmes Web sont Apache , et Microsoft's Internet 

Information Server ( IIS ). 

Autres serveurs WebQuelques autres joueurs:

Apache , le plus populaire des serveurs web Nginx Google Sun …..

Progression de IIS

Developer December 2016 Percent January 

2017 Percent Change

Microsoft 783,790,492 45.07% 821,905,283 45.66% 0.59

Apache 354,949,196 20.41% 387,211,503 21.51% 1.10

nginx 300,839,507 17.30% 317,398,317 17.63% 0.33

Google 18,602,544 1.07% 17,933,762 1.00% ‐0.07

La part de marché des serveurs web en février 2014

La part de marché des serveurs web en février 2014

Serveur janv‐14 Part de marché févr‐14 Part de 

marché Evolution

Source : Netcraft

Apache 358,669,012 41.64% 351,700,572 38.22% ‐3.41

Microsoft 253,438,493 29.42% 301,781,997 32.80% 3.38

nginx 124,052,996 14.40% 138,056,444 15.00% 0.60

Google 21,280,639 2.47% 21,129,509 2.30% ‐0.17

Grandes compagnies ou institutions utilisant IIS Network Solutions Register.com  Barnes & Noble  Buy.com Dell.com Gateway.com 1‐800‐FLOWERS.com Staples.com Ford La famille royale …. 

Historique de IIS IIS 1.0 ajout gratuit pour Windows NT 3.51 IIS 2.0 inclus dans Windows 

NT 4.0. IIS 3.0, inclus dans Windows NT 4.0 Service Pack 2 IIS 4.0 "Option Pack" for Windows NT 4.0. IIS 5.0 inclus dans Windows 2000]

IIS 5.1 avec  Windows XP Professional,  IIS 6.0, inclus dans  Windows Server 2003 et Windows XP Professional 

x64 Edition, IIS 7.0 a été complètement revu et inclus dans Windows Vista et 

Windows Server 2008.  IIS 7.0 a été conçu de façon modulaire pour aider à éviter les attaques en surface 

et augmenter la performance. IIS 7.5 a été inclus dans  Windows 7 et Windows Server 2008 R2.  IIS 8.0 est inclus dans la version Windows Server 2012 et Windows 8.  IIS 8.5 est inclus dans Windows Server 2012 R2 et Windows 8.1. 

Installation de IIS IIS est implanté dans Windows 2012 comme rôle IIS est modulaire:  On y ajoute donc les modules selon nos besoins.

Les modules sont ajoutés sous formes de « roleservices »

Les consoles « Server Manager » et PowerShell sont utilisées pour installer IIS et les modules (roleservices).

Modules IIS Les « Role Services » sont présentés dans Server Manager par catégorie

Les différentes catégories sont: Common HTTP Features Application Development Features Health and Diagnostics Features Security Features Performance Features Management Tools File Transfer Protocol (FTP) Server Features

Gestion de base de  IIS

Une fois IIS est installé, la console Internet Information Services (IIS) Manager est disponible sous les Outils d’administration pour la gestion du programme.

PowerShell peut être utilisé pour gérer IIS également.

Mode de fonctionnement de l'authentification sur le Web L'authentification sur le Web implique une communication entre le navigateur 

Web (le client) et le serveur Web avec intervention d'un nombre d'en‐têtes HTTP (HyperText Transfer Protocol) et de messages d'erreur.

Le flux de communication se décompose de la manière suivante :  Le navigateur Web soumet une demande (HTTP‐GET, par exemple). Le serveur Web procède à un contrôle d'authentification. Si l'authentification 

est obligatoire, le serveur renvoie un message d'erreur de ce type en cas d'échec : « Vous n'êtes pas autorisé à afficher cette page »« Vous ne disposez pas des autorisations pour afficher ce répertoire …»

Ce message contient des informations que le navigateur Web peut utiliser pour resoumettre la demande en tant que demande authentifiée.

Le navigateur Web utilise la réponse du serveur pour élaborer une nouvelle demande comportant des informations d'authentification.

Le serveur Web procède à un contrôle d'authentification. En cas de réussite, le serveur Web envoie au navigateur Web les données initialement demandées.

Méthodes d'authentificationIIS prend en charge les méthodes d'authentification suivantes :

Authentification anonyme (AnonymousAuthentication)IIS crée le compte IUSR_nom_ordinateur (où nom_ordinateur correspond au nom du serveur qui exécute IIS) pour authentifier les utilisateurs anonymes qui soumettent une demande de contenu Web. 

Si l'ordinateur exécutant Windows Server 20xx est un serveur autonome, le compte IUSR_nom_ordinateur se trouve alors sur le serveur local. Si le serveur est un contrôleur de domaine, le compte IUSR_nom_ordinateurest alors défini pour le domaine.

Méthodes d'authentificationAuthentification de base  (Basic Authentication)

L'authentification de base permet de limiter l'accès aux fichiers qui se trouvent sur le serveur Web au format NTFS. 

L'utilisateur doit entrer des informations d'identification et l'accès repose sur l'ID d'utilisateur. 

L'ID d'utilisateur et le mot de passe sont envoyés sur le réseau en texte clair.

Remarque : Les informations d'identification de l'utilisateur sont codées en Base64 mais ne sont pas chiffrées lors de leur transmission sur le réseau, l'authentification de base n'est pas considérée comme un mode d'authentification sécurisé.

Méthodes d'authentificationAuthentificationWindows (Windows Authentication)

L'authentification Windows intégrée est plus sécurisée que l'authentification de base et fonctionne bien dans un environnement intranet dans lequel les utilisateurs possèdent des comptes de domaine Windows. 

Dans le cadre d'une authentification Windows intégrée, le navigateur tente d'utiliser les informations d'identification de l'utilisateur actuel à partir d'une ouverture de session sur un domaine.  Normalement, l’utilisateur n’a donc pas à entrer ses crédentiels pour accéder au site. Lorsque vous utilisez l'authentification Windows intégrée, le mot de passe de l'utilisateur n'est pas 

transmis au serveur. En cas d'échec, l'utilisateur est invité à entrer un nom d'utilisateur et un mot de passe. 

Remarque : vous ne pouvez pas utiliser l'authentification Windows intégrée par l'intermédiaire d'un serveur proxy.

http://www.iis.net/configreference/system.webserver/security/authentication/windowsauthentication

Authentifications Windows:  considérations spéciales Internet Explorer 10 et supérieur demande pour les crédentiels lors de l’accès à une page Web aux usagers de domaine (ce comportement peut être modifié). 

Si la page est séparée par des points (edy.ejoa.dom, par exemple), IE croit que c’est une tentative d’accès à partir de l’Internet et demande les crédentiels.

Solutions Solution 1:

Solutions Windows authentification Solution 2:

Solutions Windows authentification Pour appliquer ce paramètre sur tous les ordinateurs du domaine : Créez un GPO et modifier le paramètre « Site to Zone Assignment List » :

Computer Configuration\AdmininistrativeTemplates\Windows Components\Internet Explorer\Internet Control Panel\Security Page\Site to Zone Assignment List

Solutions Windows authentification

Solutions Windows authentification

Méthodes d'authentificationAuthentification Digest (Digest Authentication) L'authentification Digest comble les nombreuses lacunes de 

l'authentification de base.  Le mot de passe n'est pas envoyé en texte clair lorsque vous utilisez 

l'authentification Digest.  Vous pouvez utiliser l'authentification Digest par l'intermédiaire d'un 

serveur proxy. L'authentification Digest s'appuie sur un mécanisme de stimulation/réponse (utilisé par l'authentification Windows intégrée) dans lequel le mot de passe est envoyé sous forme chiffrée. 

Les permissions au niveau des sites Les méthodes d’authentification déterminent Qui peut accéder aux sites.

Pour déterminer le Quoi que les usagers peut faire sur un site est contrôlé en combinant les méthodes d’authentification avec les permissions de sécurité. Par défaut, les permissions sont assignées pour permettre aux utilisateurs du domaine d’accéder, au moins en lecture, à tous les sites et toutes les applications (ce que vous ne voulez pas toujours). 

Toutes les particularités des permissions de sécurité restent pertinentes: Permissions par défaut Héritage …

Permissions sécurité par défaut

Recommandation pour IIS Ne pas utiliser un DC comme serveur IIS

Question de sécurité Installer seulement les modules nécessaires

IIS comprend plus de 40 modules. Moins de modules installés, plus limités sont les risques d’attaque de surface.

Garder le logiciel antivirus à jour ….

Références IIS

https://technet.microsoft.com/en‐us/library/jj635855(v=ws.11).aspx#Install

http://support.microsoft.com/kb/324276/fr

Gestion avancée de IISSemaine prochaine pour la suite…….