امن سازی IIS 10 – بخش هفدهم

cis-IIS 10

اطمینان از اینکه پیام های خطای سفارشی خاموش نباشد (Scored)

Profile Applicability

• Level 2 – IIS 10

Description

هنگامی که یک برنامه ASP.NET خراب شود و خطای سرور داخلی HTTP / 1.x 500 را ایجاد کند، یا پیکربندی یک ویژگی (مانند درخواست فیلتر) مانع از نمایش صفحه شود، یک پیام خطا ایجاد می‌شود.

Administrator‌ها می‌توانند انتخاب کنند که آیا اپلیکیشن باید یک پیام دوستانه به client، detailed error message به client یا detailed error message را فقط به localhost نشان دهد یا خیر. به همین دلیل تگ customErrors در web.config دارای سه حالت است:

On: مشخص می‌کند که custom Error ها فعال هستند. اگر هیچ ویژگی defaultRedirect ای مشخص نشده باشد، کاربران خطای عمومی را مشاهده می‌کنند. Custom Error ها برای remote client ها و local host نمایش داده می‌شوند.

Off: مشخص می‌کند که custom Error ها غیر فعال هستند. Error‌های ASP.NET با جزئیات برای remote client ها و local host نمایش داده می‌شوند.

RemoteOnly: مشخص می‌کند که custom error ها فقط به remote client ها نشان داده شده و خطاهای ASP.NET به local host نشان داده می‌شود.

مستند امن سازی وب سرور IIS 10 – بخش شانزدهم

این یک توصیه دفاع در عمق است که deployment retail=”true” در فایل پیکربندی machine.config هرگونه تنظیمات مربوط به customError ها به Off تغییر می‌دهد. توصیه می‌شود که customError ها همچنان به On یا remoteOnly تغییر یابند.

Rationale

CustomError ها می‌توانند روی On یا remoteOnly تنظیم شوند، بدون اینکه هیچ اطلاعاتی از اپلیکیشن به client داده شود. اطمینان از اینکه customError ها روی Off تنظیم نشده باشند به کاهش خطر جمع‌آوری اطلاعات توسط نفوذگران، کسب اطلاعات از طریق ارور اپلیکیشن‌ها و اطلاعات کانفیگ سرور، کمک می‌کند.

Audit

فایل web.config مربوط به اپلیکیشن یا سایت را جستجو و باز کنید و تایید کنید هر یک از تگ‌های customErrors mode=”RemoteOnly” یا customErrors mode=”On” در آن تعریف شده است.

یا

برای تایید با استفاده از PowerShell دستور زیر را وارد کنید:

Remediation

customError ها می‌توانند برای یک سرور، سایت، اپلیکیشن با استفاده از IIS Manager GUI، با استفاده از دستورات AppCmd.exe در پنجره command-line، با edit کردن مستقیم فایل‌های پیکربندی یا با نوشتن اسکریپت‌های WMI تنظیم شوند.

مراحل زیر را برای تنظیم کردن customErrors به remoteOnly یا On برای یک وب سایت از طریق IIS Manager GUI انجام دهید:

1- IIS Manager GUI را باز کنید و به Site برای پیکربندی بروید.
2- در Features View آیکون .Net Error Pages را پیدا و روی آن دو بار کلیک کنید.
3- در صفحه Actions روی Edit Features Settings کلیک کنید.
4- در اینجا برای تنظیمات Mode، On یا remoteOnly را انتخاب کنید.

در انتها بر روی OK کلیک کنید.
یا
دستور زیر را در PowerShell برای پیکربندی وارد کنید:

Default Value

به صورت پیش‌فرض customErrors mode= “RemoteOnly” می‌باشد.

منابع:

technet.microsoft.com/en-us/library/dd569096%28WS.10%29.aspx

مطالب این بخش برگرفته از مستند امن سازی وب سرور IIS مربوط به وب سایت CIS می باشد.

مطالب این بخش توسط جناب آقای نوربخش تهیه شده است.

درباره نویسنده: احسان نیک آور

ممکن است دوست داشته باشید