امن سازی IIS 10 – بخش پانزدهم

cis-IIS 10

اطمینان از عدم ذخیره سازی Credential ها در فایل های پیکربندی (Scored)

Profile Applicability

• Level 2 – IIS 10

Description

عنصر credentials مربوط به عنصر authentication اجازه می‌دهد تا تعاریف اختیاری از نام و رمز ورود برای حساب‌های کاربری IIS Manager در فایل‌های پیکربندی فراهم شود.

Forms Based Authentication هم از این عناصر برای تعریف کردن کاربران استفاده می کنند. کاربران IIS Manager می‌توانند از Administration Interface برای اتصال به سایت‌ها و برنامه‌هایی که مجوز به آن‌ها داده شده است، استفاده کنند.

توجه داشته باشید که عنصر credentials فقط درصورتی اعمال می‌شود که برای Provider پیش فرض ،ConfigurationAuthenticationProvider، به عنوان Authentication Provider تنظیم شود.

توصیه می‌شود از ذخیره کلمات عبور در فایل‌های پیکربندی حتی به صورت hash جلوگیری کنید.

Rationale

از Authentication Credential ها همیشه باید محافظت کرد تا خطر به سرقت رفتن Authentication credential ها کاهش یابد. به دلایل امنیتی ، توصیه می‌شود که User Credential ها در هیچ فایل پیکربندی از IIS ذخیره نشود.

Audit

فایل پیکربندی مربوطه را پیدا و باز کنید. تایید کنید که Credentials element در آن موجود نیست:

یا
برای تایید از طریق PowerShell دستور زیر را وارد کنید:

Remediation

Authentication Mode از طریق machine.config، root-level web.config یا application-level web.config قابل پیکربندی می‌باشد:

1-فایل پیکربندی که credential ها در آن ذخیره می‌شوند را پیدا و باز کنید.
2-عنصر credentials را در آن پیدا کنید.
3- در صورت وجود، آن بخش را حذف کنید.

با این کار تمام منابع مربوط به کاربران ذخیره شده در فایل‌های پیکربندی حذف می‌شود.

مستند امن سازی وب سرور IIS – بخش چهاردهم

یا
دستور زیر را در PowerShell برای پیکربندی وارد کنید:

Default Value

به صورت پیش‌فرض متد passwordFormat روی SHA1 قرار دارد.

مطالب این بخش برگرفته از مستند امن سازی وب سرور IIS مربوط به وب سایت CIS می باشد.

مطالب این بخش توسط جناب آقای نوربخش تهیه شده است.

درباره نویسنده: احسان نیک آور

ممکن است دوست داشته باشید