اطمینان از تنظیم application pool identity برای anonymous user identity (Scored)
Profile Applicability
• Level 1 – IIS 10
از کلیه اطلاعات ذخیره شده بر روی سیستمها file system، network share، claims، Application یا پایگاههای داده خاص بوسیله access control list محافظت کنید. این کنترلها این قاعده را اجرا میکنند که فقط افراد مجاز باید به اطلاعاتی که مورد نیازشان است بر اساس مسئولیتهایشان دسترسی داشته باشند.
اطمینان حاصل کنید که Application Pool Identity برای anonymous user identity تنظیم شده باشد.
Description
برای امن کردن و ایزوله کردن IIS، application pool ها میتوانند به صورت Identity های جداگانه اجرا شوند. IIS میتواند طوری تنظیم شود که اگر هیچ anonymous user account ای برای وب سایت نباشد، به صورت خودکار از Application Pool Identity استفاده کند.
این میتواند تعداد حسابهای کاربری مورد نیاز برای وب سایتها را تا حد زیادی کاهش دهد و مدیریت حسابهای کاربری را آسان تر کند. توصیه میشود که Application Pool Identity به عنوان Anonymous User Identity تنظیم شود.
Rationale
تنظیم کردن anonymous user identity برای استفاده از application pool identity میتواند در رابطه با ایزوله کردن سایت به ما اطمینان دهد، به شرط اینکه سایتها از آن application pool identity استفاده کنند. از آنجایی که یک بخش اصلی هر Application Pool را اجرا میکند، این اطمینان را به ما خواهد داد که این Identity کمترین سطح دسترسی را دارد. علاوه بر این ، مدیریت سایت را نیز سادهتر میکند.
Audit
فایل applicationHost.config را پیدا نموده و آن را باز کنید و اطمینان حاصل کنید که قسمت username مربوط به تگ anonymousAuthentication به یک string خالی تنظیم شده باشد:
این تنظیمات در همان فایل applicationHost.config که برای وب سایتها و application/directory ها است ذخیره میشود، در انتهای فایل با tag های location path=”path/to/resource” احاطه شدهاست.
برای استفاده از طریق PowerShell دستور زیر را وارد کنید:
Remediation
Anonymous User Identity میتواند برای Application Pool Identity به وسیله IIS Manager GUI، تنطیم شود، که این امر با استفاده از دستورات AppCmd.exe در پنجره command-line، Edit کردن فایلهای کانفیگ به طور مستقیم و یا با نوشتن WMI Scripts امکان پذیر میباشد.
امن سازی وب سرور IIS 10 – بخش پنجم
مراحل زیر را انجام دهید تا ویژگی Username را برای خط anonymousAuthentication در IIS Manager GUI تنظیم کنید:
1- IIS Manager GUI را باز کنید و به سرور، سایت یا اپلیکیشن مورد نظر خود بروید.
2- در قسمت features آیکون Authentication را پیدا و روی آن 2 بار کلیک کنید.
3- آپشن Anonymous Authentication را انتخاب و در صفحه actions گزینه Edit… را بزنید.
4- application pool identity را در پنجره انتخاب و سپس روی OK کلیک کنید.
یا
دستوری که برای استفاده از AppCmd.exe در رابطه با تنظیم anonymousAuthentication در سطح سرور استفاده میشود به شکل زیر است:
یا
دستور زیر را در PowerShell برای انجام تنظیمات وارد کنید:
Default Value
Identity پیشفرض برای anonymous User، IUSR Virtual account میباشد.
منابع:
http://learn.iis.net/page.aspx/202/application-pool-identity-as-anonymous-user/
http://learn.iis.net/page.aspx/624/application-pool-identities/
مطالب این بخش برگرفته از مستند امن سازی وب سرور IIS مربوط به وب سایت CIS می باشد.
مطالب این بخش توسط جناب آقای نوربخش تهیه شده است.