اطمینان از تنظیم unique application pools برای سایتها (Scored)
Profile Applicability
• Level 1 – IIS 10
Description
IIS یک ویژگی امنیتی جدید به نام Application Pool Identities را معرفی نموده است که به Application Pool ها اجازه میدهد تحت نظر یک حساب کاربری منحصر به فرد بدون نیاز به ایجاد و مدیریت اکانت های local ای یا domain ای اجرا گردند. توصیه میشود که تمامی سایتها تحت Application Pools اختصاصی و منحصر به فرد اجرا شوند.
Rationale
با تنظیم اینکه سایتها تحت Application Pools منحصر به فرد یا unique application pools اجرا شوند اپلیکیشنهای resource-intensive میتوانند به Application Pool های خودشان assign شوند که میتواند باعث بهبود عملکرد سرور و اپلیکیشنها شود.
علاوه بر این میتواند به حفظ availability اپلیکیشن کمک کند. اگر یک اپلیکیشن در یک Pool دچار مشکلی گردد، اپلیکیشنهایی که در Pool های دیگر قرار دارند تحت تاثیر قرار نمی گیرند.
کتابچه کامل راهنمای امن سازی وب سرور IIS 10
گذشته از این، جدا سازی برنامهها به کاهش خطر احتمالی دسترسی یک برنامه به منابع برنامه دیگر کمک میکند. همچنین توصیه میشود که تمامی Application Pool هایی که استفاده نمیشوند یا در زمان نصب یک برنامه مثل .Net 4.0 ایجاد شدهاند را Stop نمایید.
Audit
دستور AppCmd.exe زیر تمامی اپلیکیشنهای تنظیم شده را لیست میکند. اینکه چه سایتهایی درون آن بوده، کدام Application Pool به آنها سرویس میدهد و تحت کدام Application Pool Identity اجرا شدهاند:
%systemroot%\system32\inetsrv\appcmd list app
خروجی این دستور همانند زیر میباشد:
APP “Default Web Site/” (applicationPool:DefaultAppPool)
دستور مذکور را اجرا کنید و اطمینان حاصل کنید که برای هر سایت لیست شده یک Application Pool اختصاصی assign شده است.
امن سازی وب سرور IIS 10 – بخش سوم
یا
برای استفاده از طریق PowerShell دستور زیر را وارد نمایید:
Get-Website | Select-Object Name, applicationPool
Remediation
دستور AppCmd.exe زیر، برای یک اپلیکیشن داده شده، Application Pool ای را تنظیم مینماید:
خروجی دستور داده شده مشابه زیر میباشد:
APP object “Default Web Site/” changed (applicationPool:DefaultAppPool)
دستور فوق را اجرا کنید و اطمینان حاصل کنید که برای هر سایت لیست شده یک Application Pool اختصاصی assign شده است.
یا
برای استفاده از طریق PowerShell دستور زیر را وارد کنید:
یا
1-IIS Manager را باز کنید.
2-قسمت sites را که زیر قسمت machine قرار دارد را باز کنید.
3-site را برای اعمال تغییرات انتخاب کنید.
4-در صفحه Actions گزینه Basic Settings را انتخاب کنید.
5-روی Select… که در کنار Application Pool Text قرار دارد کلیک کنید.
6-Application Pool دلخواه را انتخاب نمایید.
7-پس از انتخاب روی OK کلیک کنید.
Default Value
به صورت پیشفرض تمامی سایتهایی که ایجاد میشوند از Application Pool پیشفرض استفاده می کنند.
منابع:
http://technet.microsoft.com/en-us/library/cc753449%28WS.10%29.aspx
http://blogs.iis.net/tomwoolums/archive/2008/12/17/iis-7-0-application-pools.aspx
http://learn.iis.net/page.aspx/624/application-pool-identities/
مطالب این بخش برگرفته از مستند امن سازی وب سرور IIS مربوط به وب سایت CIS می باشد.
مطالب این بخش توسط جناب آقای نوربخش تهیه شده است.