اطمینان از عدم قرار گرفتن محتوای وب بر روی پارتیشن سیستمی (Scored)
اطمینان حاصل کنید که اطلاعات وبسایت بر روی پارتیشنی به غیر از پارتیشنی باشد که سیستم عامل روی آن نصب شده است. یعنی اگر سیستم عامل روی درایو C نصب شده، اطلاعات وب سایت را روی درایوی به غیر از درایو C قرار دهید.
Profile Applicability
• Level 1 – IIS 10
منابع وب منتشر شده از طریق IIS، از طریق دایرکتوریهای مجازی به لوکیشنهای فیزیکی روی دیسک اصطلاحاً مپ میشوند. توصیه میشود تمامی دایرکتوریهای مجازی را به یک Volume (پارتیشن) ای که سیستم عامل روی آن نصب نیست، منتقل کنید.
Rationale
ایزوله کردن محتوای وب از فایلهای سیستمی میتواند احتمال بروز موارد زیر را کاهش دهد:
• اپلیکیشنها/وبسایتها فشاری به دیسکهای اصلی سرور وارد نمیکنند.
• فایلهای input/outputآسیبپذیر در وب سایت و اپلیکیشنها، توانایی تحت تاثیر قرار دادن محرمانگی و یکپارچگی فایلهای اصلی سیستم را دارند.
Audit
از دستور زیر استفاده کنید تا مطمئن شوید هیچ دایرکتوری مجازی روی درایوهای سیستم شما مپ نشده باشد:
از طریق APPCMD.exe دستور زیر را وارد کنید:
%systemroot%\system32\inetsrv\appcmd list vdir
یا با استفاده از Powershell دستور زیر را وارد کنید:
Get-Website | Format-List Name, PhysicalPath
Remediation
در مسیر C:\inetpub\wwwroot\ محتوای وب را جستجو کنید.
محتوای وب را به یک وب فولدر اختصاصی و ایمن، در یک درایو به غیر از درایو های اصلی سیستم مانند D:\webroot\ کپی یا کات نمایید.
تعویض مسیر همهی اپلیکیشنها و دایرکتوریهای مجازی مپ شده به یک لوکیشن جدید.
برای تغییر یک اپلیکیشن مپ شده مثلا app1 که در مسیر پیش فرض وبسایت قرار دارد، IIS manager را باز کنید:
Server Node را باز کنید.
Sites را باز کنید.
Defaul Web Site را باز کنید.
روی app1 کلیک کنید.
در صفحهی Actions، Basic Settings را انتخاب کنید.
در کادر مسیر فیزیکی، لوکیشن جدید اپلیکیشن را وارد کنید.
(برای مثال بالا: D:\wwwroot\app1)
Default Value
محل پیش فرض قرارگیری محتوای وب در %systemdrive%\inetpub\wwwroot میباشد.
مطالب این بخش برگرفته از مستند امن سازی وب سرور IIS مربوط به وب سایت CIS می باشد.
مطالب این بخش توسط جناب آقای نوربخش تهیه شده است.