
اطمینان از تنظیم cookie protection modes برای Forms Authentication (Scored)
Profile Applicability
• Level 1 – IIS 10
Description
حالت محافظت از کوکی ، حفاظت از Forms Authentication را تعریف میکند ، کوکیها در یک اپلیکیشن پیکربندی شده ارائه میشوند.
چهار حالت محافظت از کوکی که قابل تعریف است:
• Encryption and validation: مشخص میکند که اپلیکیشن هم از اعتبارسنجی دادهها و هم از رمزگذاری استفاده میکند تا به محافظت از کوکی کمک کند؛ این گزینه در صورت وجود و اگر طول کلید به اندازه کافی باشد (48 بایت یا بیشتر) از الگوریتم data validation پیکربندی شده (بر پایه ی machine key) و triple-DES (3DES) برای رمزگذاری استفاده میکند.
• None: مشخص میکند که رمزگذاری و اعتبار سنجی هر دو برای سایتهایی که از کوکیها فقط برای شخصی سازی استفاده میکنند و الزامات امنیتی ضعیف تری دارند غیرفعال شده اند.
• Encryption: مشخص میکند که کوکی با استفاده از Triple-DES یا DES رمزگذاری میشود ، اما اعتبارسنجی دادهها روی کوکی انجام نمیشود. کوکیهای مورد استفاده در این روش ممکن است مورد plain text attack قرار بگیرند.
• Validation: مشخص میکند که یک validation scheme تأیید میکند که محتوای یک کوکی رمزگذاری شده در حمل و نقل تغییر نکرده است.
توصیه میشود که همیشه حالت محافظت از کوکی های Forms Authentication را رمزگذاری و تأیید کنید.
Rationale
با رمزگذاری و تأیید اعتبارسنجی کوکی، از محرمانه بودن و صحت اطلاعات در داخل کوکی اطمینان حاصل میشود. این کمک میکند تا خطر حملاتی مانند Session Hi-Jacking و جعل هویت را کاهش دهید.
مستند امن سازی IIS – بخش یازدهم
Audit
Web.config مربوط به اپلیکیشن مورد نظر را پیدا و باز کنید. وجود forms protection=”All” را در آن تایید کنید.

protection=”All” فقط در زمانی نشان داده میشود که حالت محافظت از کوکی برای چیزی متفاوت set شده باشد و سپس به رمز گذاری و اعتبار سنجی تغییر داده شده باشد. برای اینکه protection=”All در web.config را به درستی verify کنید، میتوانید protection mode را تغییر داده و سپس دوباره با حالت قبل برگردانید. میتوانید خط protection=”All” را به صورت دستی و manually به web.config اضافه نمایید.
یا
برای تایید از طریق PowerShell دستور زیر را وارد کنید:

Remediation
حالت محافظت از کوکی میتواند با استفاده از User Interface(UI)، با استفاده از اجرا کردن دستورات AppCmd.exe در یک پنجره Command-line، با Edit کردن فایلهای پیکربندی به طور مستقیم، یا با نوشتن اسکریپتهای WMI هم پیکربندی شود.
برای استفاده از IIS Manager:
- IIS Manager را باز کنید و به سطحی بروید که Forms Authentication فعال شده است.
- در Features View روی Authentication دوبار کلیک کنید.
- در صفحه Authentication، Forms Authentication را انتخاب کنید.
- در صفحه Actions روی Edit کلیک کنید.
- در بخش تنظیمات کوکی تایید کنید Protection Mode برای Encryption and Validation تنظیم شده باشد.
یا
دستور زیر را در PowerShell برای پیکربندی وارد کنید:

Default Value
هنگامی که کوکیها برای Forms Authentication استفاده میشوند ، حالت پیش فرض محافظت از کوکی روی All است، به این معنی که اپلیکیشن کوکی را رمزگذاری و اعتبار می کند.
منابع:
technet.microsoft.com/en-us/library/cc731804%28WS.10%29.aspx
مطالب این بخش برگرفته از مستند امن سازی وب سرور IIS مربوط به وب سایت CIS می باشد.
مطالب این بخش توسط جناب آقای نوربخش تهیه شده است.