اطمینان از عدم ذخیره سازی Credential ها در فایل های پیکربندی (Scored)
Profile Applicability
• Level 2 – IIS 10
Description
عنصر credentials مربوط به عنصر authentication اجازه میدهد تا تعاریف اختیاری از نام و رمز ورود برای حسابهای کاربری IIS Manager در فایلهای پیکربندی فراهم شود.
Forms Based Authentication هم از این عناصر برای تعریف کردن کاربران استفاده می کنند. کاربران IIS Manager میتوانند از Administration Interface برای اتصال به سایتها و برنامههایی که مجوز به آنها داده شده است، استفاده کنند.
توجه داشته باشید که عنصر credentials فقط درصورتی اعمال میشود که برای Provider پیش فرض ،ConfigurationAuthenticationProvider، به عنوان Authentication Provider تنظیم شود.
توصیه میشود از ذخیره کلمات عبور در فایلهای پیکربندی حتی به صورت hash جلوگیری کنید.
Rationale
از Authentication Credential ها همیشه باید محافظت کرد تا خطر به سرقت رفتن Authentication credential ها کاهش یابد. به دلایل امنیتی ، توصیه میشود که User Credential ها در هیچ فایل پیکربندی از IIS ذخیره نشود.
Audit
فایل پیکربندی مربوطه را پیدا و باز کنید. تایید کنید که Credentials element در آن موجود نیست:
یا
برای تایید از طریق PowerShell دستور زیر را وارد کنید:
Remediation
Authentication Mode از طریق machine.config، root-level web.config یا application-level web.config قابل پیکربندی میباشد:
1-فایل پیکربندی که credential ها در آن ذخیره میشوند را پیدا و باز کنید.
2-عنصر credentials را در آن پیدا کنید.
3- در صورت وجود، آن بخش را حذف کنید.
با این کار تمام منابع مربوط به کاربران ذخیره شده در فایلهای پیکربندی حذف میشود.
مستند امن سازی وب سرور IIS – بخش چهاردهم
یا
دستور زیر را در PowerShell برای پیکربندی وارد کنید:
Default Value
به صورت پیشفرض متد passwordFormat روی SHA1 قرار دارد.
مطالب این بخش برگرفته از مستند امن سازی وب سرور IIS مربوط به وب سایت CIS می باشد.
مطالب این بخش توسط جناب آقای نوربخش تهیه شده است.