امن سازی IIS 10 – بخش اول

اطمینان از عدم قرار گرفتن محتوای وب بر روی پارتیشن سیستمی (Scored)

اطمینان حاصل کنید که اطلاعات وب‌سایت بر روی پارتیشنی به غیر از پارتیشنی باشد که سیستم عامل روی آن نصب شده است. یعنی اگر سیستم عامل روی درایو C نصب شده، اطلاعات وب سایت را روی درایوی به غیر از درایو C قرار دهید.

Profile Applicability

• Level 1 – IIS 10

منابع وب منتشر شده از طریق IIS، از طریق دایرکتوری‌های مجازی به لوکیشن‌های فیزیکی روی دیسک اصطلاحاً مپ می‌شوند. توصیه می‌شود تمامی دایرکتوری‌های مجازی را به یک Volume (پارتیشن) ای که سیستم عامل روی آن نصب نیست، منتقل کنید.

Rationale

ایزوله کردن محتوای وب از فایل‌های سیستمی می‌تواند احتمال بروز موارد زیر را کاهش دهد:

• اپلیکیشن‌ها/وب‌سایت‌ها فشاری به دیسک‌های اصلی سرور وارد نمی‌کنند.
• فایل‌های input/outputآسیب‌پذیر در وب سایت و اپلیکیشن‌ها، توانایی تحت تاثیر قرار دادن محرمانگی و یکپارچگی فایل‌های اصلی سیستم را دارند.

Audit

از دستور زیر استفاده کنید تا مطمئن شوید هیچ دایرکتوری مجازی روی درایو‌های سیستم شما مپ نشده باشد:

از طریق APPCMD.exe دستور زیر را وارد کنید:

%systemroot%\system32\inetsrv\appcmd list vdir

یا با استفاده از Powershell دستور زیر را وارد کنید:

Get-Website | Format-List Name, PhysicalPath

Remediation

در مسیر C:\inetpub\wwwroot\ محتوای وب را جستجو کنید.

محتوای وب را به یک وب فولدر اختصاصی و ایمن، در یک درایو به غیر از درایو های اصلی سیستم مانند D:\webroot\ کپی یا کات نمایید.

تعویض مسیر همه‌ی اپلیکیشن‌ها و دایرکتوری‌های مجازی مپ شده به یک لوکیشن جدید.

برای تغییر یک اپلیکیشن مپ شده مثلا app1 که در مسیر پیش فرض وب‌سایت قرار دارد، IIS manager را باز کنید:

Server Node را باز کنید.
Sites را باز کنید.
Defaul Web Site را باز کنید.
روی app1 کلیک کنید.
در صفحه‌ی Actions، Basic Settings را انتخاب کنید.
در کادر مسیر فیزیکی، لوکیشن جدید اپلیکیشن را وارد کنید.

(برای مثال بالا: D:\wwwroot\app1)

Default Value

محل پیش فرض قرارگیری محتوای وب در %systemdrive%\inetpub\wwwroot می‌باشد.

مطالب این بخش برگرفته از مستند امن سازی وب سرور IIS مربوط به وب سایت CIS می باشد.

مطالب این بخش توسط جناب آقای نوربخش تهیه شده است.