اطمینان از تنظیم ” global authorization rule ” برای محدود کردن دسترسی (Not Scored)
Profile Applicability
• Level 1 – IIS 10
Description
IIS، Authorization rules را معرفی کرد ، که اجازه میدهد تا به جای منبع اصلی سیستم فایلها ، به عنوان روشی برای محافظت از آنها، قوانین اضافی را به URL واقعی اضافه کنید.
Authorization rules میتوانند در سطح سرور، وب سایت, فولدر (حتی دایرکتوریهای مجازی) یا فایلها تنظیم شوند. ماژول native، URL Authorization برای کلیه درخواستها اعم از .NET های مدیریت شده یا فایلهای دیگر (به عنوان مثال فایلهای Static یا ASP) اعمال میشود.
امن سازی وب سرور IIS 10 – بخش هفتم
توصیه میشود URL Authorization طوری پیکربندی شود که فقط به اصول امنیتی لازم دسترسی داشته باشد.
Rationale
تنظیم کردن یک Authorization rule در سطح کلان که برای محدودیت دسترسی میباشد باعث به ارث رسیدن تنظیمات از بالا به پایین سلسله دایرکتوریهای وب میشود، اگر این محتوا در جای دیگر کپی شود، Authorization rule ها هم با آن به جریان میافتند. این تضمین میکند که دسترسی به محتوای حال حاضر و آینده فقط تحت اصول معین شده امکان پذیر است که باعث کاهش ریسک دسترسی تصادفی با غیر مجاز به اطلاعات میشود.
Audit
یک authorization rule تعریف کنید که به تمام User ها هیچ دسترسی نمیدهد به غیر از گروه Administrators:
برای استفاده از AppCmd.exe از دستور زیر استفاده کنید:
یا
از طریق PowerShell دستور زیر را اجرا کنید:
یا
در وب سایت یا در سطح اپلیکیشن، اطمینان حاصل کنید که authorization rule ای که تنظیم شده applied شده باشد:
1- به IIS Manager متصل شوید.
2- سایت یا اپلیکیشنی را انتخاب کنید که در آن authorization تنطیم شده است.
3- Authorization Rules را انتخاب و بررسی کنید که rule های تنظیم شده اضافه شده باشند.
فایل Web.config ای را که مربوط به سایت/اپلیکیشن/محتوا میباشد را جستجو و باز کنید:
Remediation
برای کانفیگ URL Authorization در سطح سرور از طریق ابزار های command line دستور زیر را در AppCmd.exe وارد کنید:
یا
دستور زیر را در PowerShell برای تنظیم شدن وارد کنید:
یا
برای تنظیم URL Authorization در سطح سرور از طریق IIS Manager مراحل زیر را طی کنید:
1- به IIS Manager متصل شوید.
2- سرور مورد نظر را انتخاب کنید.
3- authorization rule مورد نظر را انتخاب کنید.
4- rule مربوط به Allow All Users را پاک کنید.
5- روی Add Allow Rule کلیک کنید.
6- به یوزر(ها)، گروه(ها) یا Rule های که اجازه دسترسی به تمامی وب سایتها و اپلیکیشنها دارند (مانند گروه Administrators) اجازه دسترسی بدهید.
Default Value
به صورت پیشفرض تنظیمات در سطح سرور به این صورت است که به تمامی User ها اجازه دسترسی میدهد.
منابع:
www.iis.net/learn/manage/configuring-security/understanding-iis-url-authorization
www.iis.net/learn/get-started/whats-new-in-iis-7/changes-in-security-between-iis-60-and-iis-7-and-above#Authorization
مطالب این بخش برگرفته از مستند امن سازی وب سرور IIS مربوط به وب سایت CIS می باشد.
مطالب این بخش توسط جناب آقای نوربخش تهیه شده است.