Je dispose actuellement d�??un HTPC sous Windows 7 home premium, et j�??envisage de le laisser tourner en permanence pour m�??en servir comme NAS et y héberger quelques serveurs (en l�??occurence un serveur Calibre).
Néanmoins, le fait de le rendre accessible depuis le net m�??inquiète un peu et je cherche à savoir ce que je peux faire pour minimiser les risques d�??intrusion. Le HTPC est déjà derrière un routeur, mais j�??aimerais m�??assurer qu�??une personne utilisant un faille du serveur ne puisse avoir accès qu�??à une partie limitée et identifiée du file system. J�??imagine que c�??est possible en faisant tourner le serveur sur une VM, ou bien éventuellement avec un user Windows dédié qui n�??aurait les droits que sur certains répertoires.
Est-ce que c�??est réaliste, efficace ? Qu�??est-ce que vous me conseillez comme solution qui ne soit pas trop compliquée à mettre en oeuvre ?
Derrière un FW/NAT si ton Windows et les services que tu utilises dessus sont à jour tu n’as ““normalement”” pas de problèmes.
Installe quand même un AV sérieux (ESET ou G-Data par exemple).
Sinon si ton routeur te le permet (ex DD-WRT), tu peux ouvrir les ports quand tu en as besoin depuis l’extérieur (c’est ce que je fais pour chez moi), afin qu’ils ne soient pas accessible 24/7.
Tu peux faire aussi une DMZ. Je suis chez Orange/France Telecom et leur Livebox permet de le faire directement dans les réglage du routeur, comment ça marche chez les autres je ne sais pas.
Parce que comme c’est expliqué la : http://en.wikipedia.org/wiki/DMZ_(computing)
Le but de la DMZ, c’est de tout rediriger vers une machine qui sera safe, et qui a priori fera un bon gros DENY.
Je suis pas expert en securité, mais l’idée, la, c’est de minimiser l’exposition, pas de la maximiser. Si ya la moindre faille dans son serveur, c’est open bar en DMZ.
DMZ = mauvaise idee. Ouvre port par port, garde ta machine a jour (et pas que Windows si tu fais tourner d’autre services exposes, les app tierces aussi) et fout un anti virus (celui de MS marche tres bien), et boum, t’auras aucun probleme.
Ouep, ouvre port par port sur des services safes. Après c’est peut être idiot, mais changer les ports par défaut des services doit pouvoir aider (genre foutre l’accès http sur un port random).
Je compte bien n’ouvrir que le port concerné par mon serveur (mais 24/24, je n’ai pas de plage horaire précise d’utilisation).
Mais je n’ai aucun moyen de savoir si le serveur que je vais installer sera robuste ou pas. Du coup je me demandais si il n’y avait pas moyen, en le lançant avec un user particulier, de ne lui autoriser que certains répertoire en écriture…
Par defaut aucun service ne tourne avec les droits systeme et tu peux configurer des droits plus granulaires avec IIS comme dit plus haut. Mais meme sans chercher trop loin SYSTEM\NETWORK_SERVICE c’est fait pour.