En effet, les sites webs étant pour la plupart publics, on doit donc autoriser l’accès anonyme aux pages. Pour cela IIS doit utilise un compte de sécurité (IUSR_serveur par défaut).

La problématique est que ce compte de sécurité se trouve dans le groupe « utilisateurs » par défaut, et est unique par serveur.

Le même compte étant par défaut utilisé pour chaque instance de site Web sur un serveur mutualisé, le contexte dans lequel s’exécute l’appel à la DLL scrrun.dll (FSO) permet a un utilisateur d’explorer les autres sites… voir même de remonter à la racine.

Supprimer les ACL sur la DLL en elle-même ne résoudrait pas le problème, au mieux permettrait d’interdire l’utilisation de FSO sur les sites webs.

Il faut alors réaliser ces étapes dans l’ordre :

- retirer IUSR_serveur et IWAM_serveur du groupe utilisateurs

- créer un IUSR_siteweb pour chaque site virtuel

- donner exclusivement les droits à cet utilisateur sur le répertoire siteweb

-dans les propriétés de sécurité d’IIS, utiliser l’impersonating anonyme adéquat pour chaque user créé et site virtuel visé.

-Vérifier les droits à la racine de chaque disque dur, ne pas autoriser le groupe  « tout le monde »

Le but étant d’enfermer chaque site dans son propre contexte de sécurité.

Ces recommandations étant effectuées, FSO reste utilisable par les clients, mais tout accès en dehors de la racine de son site ne lui renverra aucune information.