Fonctionnalité

Description

Verrouillage du serveur

Afin de réduire la surface d’attaque de votre serveur Web, IIS 6.0 ne diffuse que du contenu statique après une installation par défaut. Grâce au nœud Extensions du service Web du Gestionnaire IIS, l’administrateur d’un site Web peut activer ou désactiver les fonctionnalités IIS selon les besoins spécifiques de son entreprise. Il ne doit pas oublier qu’IIS est fourni dans un état verrouillé, c'est-à-dire qu'il sert uniquement du contenu statique (.htm, .jpg, .bmp, etc.). D’autres fonctionnalités, telles qu’ASP (Active Server Pages) ou les extensions serveur Front Page, devront être activées pour offrir les fonctions escomptées.

Identité des processus de travail configurable

De plus en plus de clients exécutent plusieurs applications ou sites sur un même serveur Web. Cela implique certaines exigences pour le serveur Web. Si un fournisseur de services Internet héberge deux sociétés ou même des concurrents sur le même serveur, il doit apporter la garantie que ces deux applications seront véritablement isolées l’une de l’autre. Plus important encore : il doit avoir la certitude que l’administrateur d’une application ne pourra pas accéder, par pure malveillance, aux données de l’autre application. L’isolation complète est plus qu’indispensable. IIS 6.0 peut offrir ce niveau d’isolation en permettant de configurer les identités des processus de travail. Associé à d’autres fonctions d’isolation, dont la régulation de la bande passante ou du processeur ou encore le recyclage mémoire, IIS 6.0 fournit un environnement propre à héberger même les plus féroces concurrents sur le même serveur Web.

IIS s’exécute par défaut comme compte doté de peu de privilèges

Le processus de travail s’exécute en tant que NetworkService ; c’est un nouveau compte intégré doté d’un nombre restreint de privilèges. L’exécution de ce type de compte est l’un des principes essentiels de la sécurité. L’impact d’une éventuelle vulnérabilité au niveau de la sécurité peut être considérablement limité si le processus de travail a très peu de droits sur le système sous-jacent.

SSL optimisée

Performances. IIS 5.0 offre déjà l’implémentation logicielle SSL la plus rapide du marché. Ainsi, 50 % de tous les sites Web SSL s’exécutent sur IIS. IIS 6.0 sera encore plus rapide. Nous avons perfectionné et rationalisé l’implémentation SSL sous-jacente pour offrir des performances et une évolutivité encore meilleures.

Objet de certification gérables à distance. Dans IIS 5.0, il n’est pas possible de gérer les certificats SSL à distance parce que la banque de certificats CAPI ne peut pas se trouver à distance. Étant donné que nos clients gèrent des centaines, voire des milliers, de serveurs IIS avec des certificats SSL, ils doivent pouvoir gérer ces certificats à distance. Ils disposent désormais de l'objet CertObject pour le faire.

Possibilité de sélectionner le fournisseur de service de cryptage. Si SSL est activé, les performances peuvent chuter, parce que le processeur doit effectuer un cryptage intensif. Il existe des cartes d'accélération matérielles qui permettent de basculer ces calculs de cryptage sur le matériel. Elles introduisent leur propre fournisseur d’API de cryptage dans le système. IIS 6.0 facilite la sélection de ces fournisseurs externes.

Intégration de Passport

Windows .NET intègre Passport comme mécanisme d’authentification pour IIS 6.0. Cette intégration offre l’authentification .NET Passport sur le serveur Web principal et utilise les interfaces de .NET Passport version 2 fournies par les composants standards .NET Passport. De cette façon, les utilisateurs peuvent tirer parti de l’immense base de clients Passport (plus de 150 000 000) sans avoir à se préoccuper des problèmes de gestion des comptes comme l’expiration ou l'attribution de mots de passe.

Autorisation URL

IIS 6.0 étend l'utilisation d’une nouvelle structure Autorisation fournie avec les serveurs Windows .NET en fournissant l’autorisation d’opérateur de contrôle d’appels à des URL spécifiques. De plus, des applications Web peuvent utiliser l’autorisation URL d’IIS 6.0 conjointement avec le Gestionnaire d’autorisations pour contrôler l’accès aux URL susceptibles de perturber l’application Web, et les tâches et opérations spécifiques à l’application, depuis le même espace de stockage de stratégies (« policy store »). Le fait de garder la stratégie toujours dans le même espace de stockage permet aux administrateurs de gérer l’accès aux URL et aux fonctionnalités de l’application à partir d’un point d’administration unique, tout en exploitant les groupes d’applications au niveau du magasin et les procédures métier programmables par l’utilisateur.