Comment créer un certificat auto-signé avec IIS ?
Astuce : comment générer un certificat auto-signé avec PowerShell et un serveur web IIS ? Réponse dans ce tutoriel Windows Server 2016.
Lire cet article
IIS
IIS / Apache : Ajouter l’en-tête X-Forwarded-For dans les logs
Comment ajouter l’en-tête X-Forwarded-For dans les logs d’IIS ou Apache ? Récupérer l’adresse IP source derrière un reverse proxy, load balancer.
Lire cet article
Installer IIS sous Windows Server 2008 R2
Tutoriel pas à pas pour installer le rôle IIS 7 (Internet Information Services) sous Windows Server 2008 R2
Lire cet article
IIS 8.5 : Désactiver le protocole SSL 3.0
Désactiver SSL 3.0 dans IIS pour se protéger de la faille Poodle qui touche ce protocole.
Lire cet articleIIS 8.5 – Sécuriser son FTP avec un certificat SSL
Création d’un certificat auto-signé pour sécuriser les communications avec le serveur FTP sous IIS.
Lire cet article
IIS 8.5 : Créer un site FTP avec isolation des utilisateurs
Configuration d’un serveur FTP sous IIS afin d’isoler chaque utilisateur dans son répertoire perso
Lire cet article
IIS 8.5 – Protéger le FTP des attaques « Brute force »
Bannissez les machines qui tentent une attaque de type Brute force sur votre serveur FTP !
Lire cet article
Qu’est ce que le Directory Browsing/Listing ?
I. Présentation Dans ce tutoriel, nous allons parler du Directory Browsing (navigation dans les répertoires) aussi appelé Directory Listing (Listage de répertoire). Nous allons voir comment il peut être utilisé, pourquoi il peut être un danger et comment l’activer et le désactiver sous les serveurs web Apache et IIS. II. Qu’est ce que c’est ? Le Directory Browsing ou Listing est le fait de donner la possibilité aux visiteurs d’un site web de voir et d’afficher le contenu d’un répertoire en « brut ». Habituellement, les serveurs web affichent des pages web (HTML, PHP, etc.), il est plus rare de trouver un répertoire affiché tel quel lorsque l’on visite un site web. Cela peut toutefois être utile, prenons par exemple les espaces web mettant à disposition des utilisateurs des fichiers à télécharger : En quoi est-ce un danger ? Il n’est pas toujours souhaitable de voir tous les fichiers d’un dossier web s’afficher aux yeux des visiteurs, je pense notamment à des
Lire cet article
Installation de Pydio sous IIS 8
I. Présentation Dans ce tutoriel, nous allons voir l’installation de Pydio (Put Your Data In Orbit) qui est en fait la nouvelle version d’Ajaxplorer, le successeur en quelque sorte. Pydio est une alternative française et Open Source à des solutions comme Dropbox, Drive, ou encore ownCloud.Concernant le tutoriel, l’installation sera réalisée sous Microsoft IIS 8 dans ce cas. Si vous désirez installer Pydio sous Linux est plus particulièrement Apache, consultez notre tutoriel dédié à cette méthode. II. Pré-requis Avant de commencer ce tutoriel, veillez à respecter les pré-requis suivants : – IIS installé (tutoriel : Installer IIS 8) – PHP intégré à IIS (tutoriel : Intégrer PHP à IIS 8) – MySQL installé – si vous souhaitez utiliser Pydio avec une base de données (téléchargement : MySQL for Windows) – Pydio téléchargé (téléchargement du .zip : Pydio Téléchargement) III. Préparation du serveur IIS Commençons par préparer notre serveur IIS afin de réaliser l’installation dans les meilleures conditions possibles. Ouvrez votre
Lire cet article
Un malware affecte Microsoft IIS
Les chercheurs de Trustwave SpiderLabs ont trouvé un malware qui collecte des données saisies dans un formulaire Web, en prétendant être un module pour Microsoft IIS. « Ce malware surnommé « ISN » n’a pas été beaucoup vu, mais, ses caractéristiques sont intéressantes », note Josh Grunzweig, un chercheur de chez Trustwave. ISN se présente sous la forme d’une DDL malicieuse, qui est installé comme un module pour IIS. On trouve 4 versions de DLL pour ISN, selon si la victime utilise du 32 bits, du 64 bits, IIS 6 ou IIS 7 et supérieur. Josh Grunzweig ajoute que : « ce module est un cas particulier qui est actuellement indétectable par presque tout les anti-virus ». Il ajoute également que « il peut être utilisé pour voler des identifiants ou d’autres informations sensibles envoyées à une instance d’IIS infectée ». Ce malware collecte les données depuis les requêtes POST effectuées dans les formulaires web lors de l’envoi des données au serveur. Ces données sont alors envoyées ailleurs
Lire cet article
Activation dynamique des sites dans IIS 8.5
I. Présentation Une des nouveautés d’IIS 8.5 présent dans Windows Server 2012 R2 est l’activation dynamique des sites. Jusqu’à Windows Server 2012, lors du démarrage du serveur IIS tous les sites configurés étaient activés automatiquement, ce qui prenait du temps et demandait beaucoup de ressources surtout lorsque l’on héberge beaucoup de sites. II. La solution dans IIS 8.5 Plutôt que d’activer tous les sites automatiquement alors qu’ils ne vont pas tous recevoir une requête aussitôt, la nouvelle fonctionnalité intégrée à IIS 8.5 et nommée « Activation dynamique des sites » activera un site uniquement lorsque celui-ci recevra sa première requête de la part d’un client. Ainsi, les sites hébergés sont démarrés petit à petit et ne surcharge pas inutilement le démarrage de IIS. L’activation des sites est effectuée de façon plus intelligente. Par défaut, vous devez disposer de 100 sites ou plus pour profiter de cette fonctionnalité car le seuil de déclenchement est égal à 100. Justement, nous allons voir comment modifier
Lire cet article
Nouveautés d’IIS 8.5
Windows Server 2012 R2 est disponible depuis peu et il intègre la dernière mouture d’IIS à savoir la 8.5. Faisons le point sur les nouveautés. On remarque deux catégories de nouveautés : les évolutions et l’amélioration de la gestion du serveur. Suivi des événements : Intégration d’ETW (Event Tracing for Windows) c’est à dire le suivi d’événements pour Windows. Plus d’informations : MSDN Amélioration de la journalisation : Il est possible de créer vos propres champs personnalisés pour journaliser les actions de votre serveur. Intéressant pour avoir des logs qui contiennent vraiment les informations qui vous intéresses. Activation dynamique des sites : Lorsque vous hébergez une centaine de sites web sur un serveur IIS, le temps de chargement d’IIS était très long puisque la configuration est conséquente. Dans cette nouvelle version, un processus plus optimisé a été implémenté pour améliorer la performance en cas de forte activité. Cette fonctionnalité apparaît sous le nom de « dynamicRegistrationThreshold » dans l’éditeur de configuration et
Lire cet article
Installer WordPress sous IIS 8
I. Présentation Lorsqu’on utilise WordPress, on a le choix de l’installer sur un serveur Web sous Linux ou sur un serveur Web sous Windows, notamment avec IIS qui est une application purement Microsoft. Dans ce cas, pas besoin de saisir des lignes de commandes mais de passer par la Web Platform Installer qui permet d’installer de nombreuses applications sur un serveur IIS, en l’occurrence sur la version 8 dans mon cas. Cette Web Platform a pour intérêt de simplifier le déploiement d’application sur un serveur IIS ou IIS Express. II. Installation Une fois que vous avez ouvert la Web Platform, trouvez WordPress dans les applications ou recherchez « wordpress » dans la zone de recherche. Cliquez sur « Ajouter » sur la droite pour indiquer que vous souhaitez installer WordPress et pour exécuter l’installation cliquez sur « Installer ». La première chose que l’on vous demande c’est le type de base de données que vous souhaitez utiliser. Si le moteur
Lire cet article
Personnaliser les pages d’erreurs – IIS 8
I. Présentation Vous avez sûrement déjà eu à faire face à une erreur HTTP, de type 404 pour une page introuvable par exemple. Sachez que les pages d’erreurs affichées dans le navigateur lorsqu’une erreur se produit, correspondent aux pages d’erreurs définies sur le serveur web. Ainsi ces pages par défaut peuvent être personnalisées afin d’inclure un lien, un logo de votre site, etc… Quelque chose qui pourrait rassurer l’utilisateur tout de même malgré l’erreur rencontrée. Comme de nombreux paramètres sous IIS, cela peut être configuré au niveau du serveur, au niveau des répertoires virtuels et des sites web. Ceux définis dans les plus hauts niveaux (serveur / répertoire virtuel) pourront être hérités par les objets enfants (répertoire virtuel / site). Nous allons voir comment personnaliser une page d’erreur sur un serveur IIS 8 dans le cadre d’un site nommé « NeoflowIIS », installé sur Windows 8 pour ma part. Nous verrons un exemple, sachant que la procédure est la même
Lire cet article
Documents par défaut – IIS 8
I. Présentation Par défaut les sites web sont configurés pour utiliser des documents par défaut qui serviront d’index c’est-à-dire de page d’accueil au cas où cette page est trouvée. Par exemple, sur un serveur web Apache, par défaut la page doit se nommer « index.html » ou « index.php » pour être choisie comme page par défaut pour le site. Sous IIS c’est pareil, sauf qu’il y a plus de noms de pages prédéfinies dans la configuration par défaut. De plus, il est possible d’en ajouter, d’en supprimer et de jouer sur les priorités, c’est ce que nous allons voir dans ce tutoriel. Ce qu’on voit dans ce tutoriel peut être configuré au niveau du serveur IIS pour que ça s’applique sur l’ensemble des sites web qu’il contient (les sites vont hériter des paramètres) mais également au cas par cas c’est-à-dire site par site. II. Configuration Accédez à la console de gestion d’IIS et positionnez sur le nom de votre
Lire cet article