اطمینان از غیرفعال بودن قابلیت Directory Browsing در وب سرور (Scored)
Profile Applicability
• Level 1 – IIS 10
اطمینان حاصل کنید که Directory Browsing غیر فعال باشد.
Description
Directory Browsing اجازه میدهد تا در صورت درخواست از سمت یک وب کلاینت، محتوای یک دایرکتوری نمایش داده شود. اگر این قابلیت برای یک دایرکتوری در IIS فعال باشد کاربران هنگام مراجعه به یک دایرکتوری، لیستی از محتوای آن دایرکتوری را مشاهده خواهند نمود، البته در صورتی که 2 شرط زیر برقرار باشد:
1-هیچ فایل بخصوصی در URL درخواست نشده باشد. (تنها دایرکتوری درخواست داده شد باشد)
2- ویژگی Default Documents در IIS غیر فعال باشد، یا اگر فعال است IIS قادر به یافتن موقعیت فایلی در آن دایرکتوری مطابق با نام مشخص شده در لیست Default Document اش نباشد.
در صورت برقرار بودن شروط بالا، هنگام مراجعه به یک دایرکتوری، لیستی از محتوای داخل آن نمایش داده خواهد شد.
توصیه میشود که Directory Browsing غیر فعال باشد.
Rationale
اطمینان از غیر فعال کردن Directory Browsingمیتواند احتمال افشای محتوای حساس را که از طریق IIS به طور ناخواسته در دسترس قرار میگیرد را کاهش دهد.
Audit
موارد زیر را انجام دهید تا مطمئن شوید که Directory Browsing در سطح سرور غیرفعال شده است:
برای استفاده از AppCmd.exe از دستور زیر استفاده کنید:
%systemroot%\system32\inetsrv\appcmd list config /section:directoryBrowse
کتابچه کامل راهنمای امن سازی وب سرور IIS 10
اگر سرور طبق توصیههای گفته شده کانفیگ شده باشد اطلاعات زیر نمایش داده میشود:
یا
با استفاده از PowerShell دستور زیر را وارد کنید:
Get-WebConfigurationProperty -Filter system.webserver/directorybrowse -PSPath iis:\ -Name Enabled | select Value
Remediation
Directory Browsing میتواند با استفاده از UI، با اجرا کردن دستورات AppCmd.exe، با ویرایش نمودن مستقیم فایلهای پیکربندی و یا با نوشتن اسکریپتهای WMI تنظیم شود.
برای غیر فعال کردن Directory Browsing در سطح سرور از طریق AppCmd.exe از دستور زیر استفاده کنید:
دستور زیر را در AppCmd.exe وارد کنید:
%systemroot%\system32\inetsrv\appcmd set config /section:directoryBrowse /enabled:false
یا
دستور زیر را در PowerShell وارد کنید:
Set-WebConfigurationProperty -Filter system.webserver/directorybrowse -PSPath iis:\ -Name Enabled -Value False
امن سازی وب سرور IIS – بخش دوم
Default Value
Directory Browsing به صورت پیشفرض در IIS غیر فعال میباشد.
مطالب این بخش برگرفته از مستند امن سازی وب سرور IIS مربوط به وب سایت CIS می باشد.
مطالب این بخش توسط جناب آقای نوربخش تهیه شده است.