Nous mentionnons souvent inetpub dans le processus d’explication des différents processus et astuces de développement, comme dans cet article sur la façon d’afficher les journaux IIS sur Windows et Azure. Parce qu’il est important de comprendre comment fonctionne le dossier inetpub, les avantages d’y faire votre travail de développement et comment éviter les vulnérabilités potentielles, nous avons pensé examiner de plus près inetpub en tant que sujet autonome.
Définition de Inetpub
Inetpub est le dossier sur un ordinateur qui est le dossier par défaut pour Microsoft Internet Information Services (IIS). Le contenu du site Web et les applications Web sont stockés dans le dossier inetpub, ce qui le maintient organisé et sécurisé. IIS permet également de servir plusieurs domaines à partir d’un dossier inetpub.
Comment fonctionne le dossier Inetpub
Le dossier inetpub se trouve dans le lecteur C (C:\inetpub) et comporte cinq sous-dossiers :
-
- Le sous-dossier \inetpub\adminscripts du dossier inetpub héberge les scripts d’administration qui vous permettent d’automatiser les tâches d’administration du serveur et d’administrer à distance le site Web servi à partir du dossier inetpub.
- Le sous-dossier \inetpub\iissamples du dossier inetpub contient des exemples d’applications qui permettent aux développeurs de découvrir le fonctionnement du site Web et des applications Web. Le contenu est uniquement à des fins de démonstration. L’utilisation de l’un des exemples de sites sur un serveur Web IIS fonctionnel met l’ordinateur en danger.
- Le sous-dossier \inetpub\mailroot du dossier inetpub et ses sous-dossiers associés sont utilisés pour le traitement du service SMTP pour le courrier.
- Le sous-dossier \inetpub\scripts du dossier inetpub contient des applications Web qui ajoutent des fonctionnalités au site Web.
- Le sous-dossier \inetpub\wwwroot du dossier inetpub contient toutes les pages Web et le contenu qui seront publiés sur le Web. Il s’agit du répertoire par défaut pour la publication des pages Web.
Les sites Web peuvent être créés à l’aide du gestionnaire IIS . La plupart du temps, IIS sert du contenu statique – le même HTML est servi à chaque utilisateur. Mais IIS 8.5 avec servir du contenu dynamique – généré par des applications Web.
Avantages du développement d’un site dans le dossier Inetpub
Le serveur Web IIS permet aux développeurs de servir un site Web depuis n’importe où sur l’ordinateur. En conservant le site Web dans les sous-dossiers inetpub, les fichiers n’ont que l’accès approprié et le site Web peut être correctement sécurisé.
Comme pour de nombreux produits Windows, il existe une communauté de développeurs active qui aime détester IIS en tant que serveur Web. Ils ont tendance à utiliser Apache, un serveur Web open source.
Mais les développeurs qui utilisent IIS pensent qu’il est plus facile que d’utiliser Apache pour démarrer et configurer un site Web. Ensuite, les développeurs ont tendance à s’en tenir à ce qu’ils savent après avoir appris à créer et à gérer des sites Web sur IIS.
Et parce qu’IIS est un produit Microsoft, Microsoft est prêt à consacrer beaucoup de ressources au développement du serveur Web IIS, à la sécurisation de l’ordinateur hôte et à l’assistance pour résoudre les problèmes. Il existe également une importante communauté de développeurs qui s’entraident pour résoudre tous les problèmes.
Les développeurs et les fournisseurs tiers disposent également d’une large gamme de produits pour augmenter et protéger les serveurs Web IIS.
Moyens de prévenir les vulnérabilités Inetpub
IIS permet à n’importe quel ordinateur Windows, y compris les PC, de servir des pages Web à partir du dossier inetpub. Malheureusement, cela rend l’ordinateur vulnérable aux attaques telles que :
-
- Élévation des privilèges de dépassement de la mémoire tampon SSI
- Divulgation du code source Unicode .asp
- Débordement de la mémoire tampon du serveur d’indexation Microsoft
- Divulgation de fragments de fichiers
- Analyse de demande de fichier de serveur Web
- Traversée des dossiers du serveur Web
- Vulnérabilité de la pile de protocoles HTTP
Certaines mesures de base peuvent aider à atténuer le risque d’attaque via les dossiers inetpub compromettant un ordinateur.
-
- Supprimez le sous-dossier iissamples du dossier inetpub.
Les exemples d’applications et de sites Web sont instructifs et présentent des vulnérabilités bien connues. Le sous-dossier contient des exemples de sites Web que les serveurs de production ne doivent jamais utiliser. - Limitez l’accès et les autorisations NTFS aux fichiers du dossier inetpub.
Ces autorisations permettent aux sites Web de fournir des informations au public. Mais si les sous-dossiers et les fichiers du dossier inetpub ne sont pas correctement restreints, l’ensemble de l’ordinateur est vulnérable, pas seulement les fichiers Web. Un article Microsoft décrit les autorisations et les droits d’utilisateur nécessaires dans le dossier inetpub .
- Déplacez le site Web vers un autre volume.
Il est de notoriété publique que le dossier par défaut des sites Web IIS se trouve dans le répertoire C:\inetpub\wwwroot. Cela augmente le risque de violations telles que les attaques par traversée de répertoire. Microsoft recommande de déplacer le répertoire du site Web vers le lecteur D:. - Désinstallez toutes les imprimantes sur l’ordinateur.
Étant donné que les ordinateurs de bureau peuvent devenir des serveurs Web grâce à IIS, cet ordinateur peut être connecté à une imprimante. Les pilotes d’imprimante peuvent être compromis. - Désactivez IIS si l’ordinateur n’a pas besoin d’être un serveur Web.
IIS est désactivé par défaut. Mais si quelqu’un l’active par accident ou change d’avis après avoir tenté de développer un site Web sur un ordinateur local, il peut être désactivé.
- Supprimez le sous-dossier iissamples du dossier inetpub.
- Cliquez sur Programmes et fonctionnalités dans le panneau de configuration.
- Cliquez sur “Activer ou désactiver les fonctionnalités Windows”) (en haut à gauche)
- Faites défiler vers le bas et décochez « Internet Information Services ».
- Redémarrer le PC.