امن سازی IIS 10 – بخش سوم

cis-IIS 10

اطمینان از غیرفعال بودن قابلیت Directory Browsing در وب سرور (Scored)

Profile Applicability

• Level 1 – IIS 10

اطمینان حاصل کنید که Directory Browsing غیر فعال باشد.

Description

Directory Browsing اجازه می‌دهد تا در صورت درخواست از سمت یک وب کلاینت، محتوای یک دایرکتوری نمایش داده شود. اگر این قابلیت برای یک دایرکتوری در IIS فعال باشد کاربران هنگام مراجعه به یک دایرکتوری، لیستی از محتوای آن دایرکتوری را مشاهده خواهند نمود، البته در صورتی که 2 شرط زیر برقرار باشد:

1-هیچ فایل بخصوصی در URL درخواست نشده باشد. (تنها دایرکتوری درخواست داده شد باشد)
2- ویژگی Default Documents در IIS غیر فعال باشد، یا اگر فعال است IIS قادر به یافتن موقعیت فایلی در آن دایرکتوری مطابق با نام مشخص شده در لیست Default Document اش نباشد.

در صورت برقرار بودن شروط بالا، هنگام مراجعه به یک دایرکتوری، لیستی از محتوای داخل آن نمایش داده خواهد شد.

توصیه می‌شود که Directory Browsing غیر فعال باشد.

Rationale

اطمینان از غیر فعال کردن Directory Browsingمی‌تواند احتمال افشای محتوای حساس را که از طریق IIS به طور ناخواسته در دسترس قرار می‌گیرد را کاهش دهد.

Audit

موارد زیر را انجام دهید تا مطمئن شوید که Directory Browsing در سطح سرور غیرفعال شده است:

برای استفاده از AppCmd.exe از دستور زیر استفاده کنید:

%systemroot%\system32\inetsrv\appcmd list config /section:directoryBrowse

کتابچه کامل راهنمای امن سازی وب سرور IIS 10

اگر سرور طبق توصیه‌های گفته شده کانفیگ شده باشد اطلاعات زیر نمایش داده می‌شود:

یا
با استفاده از PowerShell دستور زیر را وارد کنید:

Get-WebConfigurationProperty -Filter system.webserver/directorybrowse -PSPath iis:\ -Name Enabled | select Value

Remediation

Directory Browsing می‌تواند با استفاده از UI، با اجرا کردن دستورات AppCmd.exe، با ویرایش نمودن مستقیم فایل‌های پیکربندی و یا با نوشتن اسکریپت‌های WMI تنظیم شود.

برای غیر فعال کردن Directory Browsing در سطح سرور از طریق AppCmd.exe از دستور زیر استفاده کنید:

دستور زیر را در AppCmd.exe وارد کنید:

%systemroot%\system32\inetsrv\appcmd set config /section:directoryBrowse /enabled:false

یا
دستور زیر را در PowerShell وارد کنید:

Set-WebConfigurationProperty -Filter system.webserver/directorybrowse -PSPath iis:\ -Name Enabled -Value False

امن سازی وب سرور IIS – بخش دوم

Default Value

Directory Browsing به صورت پیش‌فرض در IIS غیر فعال می‌باشد.

مطالب این بخش برگرفته از مستند امن سازی وب سرور IIS مربوط به وب سایت CIS می باشد.

مطالب این بخش توسط جناب آقای نوربخش تهیه شده است.

درباره نویسنده: احسان نیک آور

ممکن است دوست داشته باشید