Déploiement sécurisé de Web Studio

Cet article met en évidence les zones de configuration qui peuvent affecter la sécurité du système lors du déploiement de Web Studio.

Remarque :

Pour sécuriser la communication entre les navigateurs Web des utilisateurs et Web Studio, reportez-vous à la section Activer TLS sur Web Studio et Director.

Configurer les paramètres IIS

En tant que bonne pratique de sécurité, configurez Web Studio avec une configuration IIS restreinte :

1. Restreindre le filtrage des demandes :

   • Si vous installez Web Studio avec Director, IIS est automatiquement configuré avec les règles de filtrage suivantes.

   • Si vous installez Web Studio en tant que composant autonome, configurez manuellement IIS comme suit :

     • Autoriser uniquement les extensions de nom de fichier suivantes :

       ., .aspx, .css, .eot, .html, .ico, .js, .png, .svc, .svg, .jpg, .gif, .json, .woff, .woff2, .ttf

       Pour plus d’informations, consultez cet article Microsoft.

     • Autoriser uniquement les verbes HTTP suivants :

       GET, POST, HEAD

       Pour plus d’informations, consultez cet article Microsoft.

2. Supprimez les mappages de gestionnaires non requis.

   Web Studio nécessite uniquement le mappage du gestionnaire StaticFile. Supprimez tous les autres. Pour plus d’informations, consultez cet article Microsoft.

3. Supprimez les filtres ISAPI inutilisés.

   Web Studio ne nécessite aucun filtre ISAPI. Vous pouvez tous les supprimer. Pour plus d’informations, consultez cet article Microsoft.

   Remarque :

   ASP.NET nécessite la fonctionnalité Windows ISAPI.

4. Supprimez les fichiers de page de destination IIS par défaut suivants de C:\inetpub\wwwroot :

   • iisstart.htm
   • welcome.png

5. Assurez-vous que Niveau de confiance .NET reste défini sur Confiance totale. Ce paramètre est configuré automatiquement lors de l’installation et est nécessaire au bon fonctionnement de Web Studio. Ne le modifiez pas.

Supprimer les droits du pool d’applications inutilisés

Lors de l’installation, le pool d’applications Web Studio bénéficie des droits d’utilisateur suivants :

• Connexion en tant que service
• Ajuster les quotas de mémoire pour un processus
• Générer des audits de sécurité
• Remplacer un jeton de niveau processus

Ces droits sont standard pour les pools d’applications IIS. Web Studio ne les utilise pas et vous pouvez les supprimer.

Déploiement d’Isolate Web Studio

Vous pouvez déployer n’importe quelle application Web dans le même domaine Web (nom de domaine et port) que Web Studio. Cependant, tout risque de sécurité dans ces applications Web peut potentiellement réduire la sécurité de votre déploiement Web Studio. Lorsqu’un degré de séparation de sécurité plus élevé est requis, nous vous recommandons de déployer Web Studio dans un domaine Web distinct de toute autre application tierce **.