امن سازی IIS 10 – بخش دوازدهم

اطمینان از تنظیم cookie protection modes برای Forms Authentication (Scored)

Profile Applicability

• Level 1 – IIS 10

Description

حالت محافظت از کوکی ، حفاظت از Forms Authentication را تعریف می‌کند ، کوکی‌ها در یک اپلیکیشن پیکربندی شده ارائه می‌شوند.

چهار حالت محافظت از کوکی که قابل تعریف است:

• Encryption and validation: مشخص می‌کند که اپلیکیشن هم از اعتبارسنجی داده‌ها و هم از رمزگذاری استفاده می‌کند تا به محافظت از کوکی کمک کند؛ این گزینه در صورت وجود و اگر طول کلید به اندازه کافی باشد (48 بایت یا بیشتر) از الگوریتم data validation پیکربندی شده (بر پایه ی machine key) و triple-DES (3DES) برای رمزگذاری استفاده می‌کند.

• None: مشخص می‌کند که رمزگذاری و اعتبار سنجی هر دو برای سایت‌هایی که از کوکی‌ها فقط برای شخصی سازی استفاده می‌کنند و الزامات امنیتی ضعیف تری دارند غیرفعال شده اند.

• Encryption: مشخص می‌کند که کوکی با استفاده از Triple-DES یا DES رمزگذاری می‌شود ، اما اعتبارسنجی داده‌ها روی کوکی انجام نمی‌شود. کوکی‌های مورد استفاده در این روش ممکن است مورد plain text attack قرار بگیرند.

• Validation: مشخص می‌کند که یک validation scheme تأیید می‌کند که محتوای یک کوکی رمزگذاری شده در حمل و نقل تغییر نکرده است.

توصیه می‌شود که همیشه حالت محافظت از کوکی های Forms Authentication را رمزگذاری و تأیید کنید.

Rationale

با رمزگذاری و تأیید اعتبارسنجی کوکی، از محرمانه بودن و صحت اطلاعات در داخل کوکی اطمینان حاصل می‌شود. این کمک می‌کند تا خطر حملاتی مانند Session Hi-Jacking و جعل هویت را کاهش دهید.

مستند امن سازی IIS – بخش یازدهم

Audit

Web.config مربوط به اپلیکیشن مورد نظر را پیدا و باز کنید. وجود forms protection=”All” را در آن تایید کنید.

protection=”All” فقط در زمانی نشان داده می‌شود که حالت محافظت از کوکی برای چیزی متفاوت set شده باشد و سپس به رمز گذاری و اعتبار سنجی تغییر داده شده باشد. برای اینکه protection=”All در web.config را به درستی verify کنید، می‌توانید protection mode را تغییر داده و سپس دوباره با حالت قبل برگردانید. می‌توانید خط protection=”All” را به صورت دستی و manually به web.config اضافه نمایید.
یا
برای تایید از طریق PowerShell دستور زیر را وارد کنید:

Remediation

حالت محافظت از کوکی می‌تواند با استفاده از User Interface(UI)، با استفاده از اجرا کردن دستورات AppCmd.exe در یک پنجره Command-line، با Edit کردن فایل‌های پیکربندی به طور مستقیم، یا با نوشتن اسکریپت‌های WMI هم پیکربندی شود.
برای استفاده از IIS Manager:

1. IIS Manager را باز کنید و به سطحی بروید که Forms Authentication فعال شده است.
2. در Features View روی Authentication دوبار کلیک کنید.
3. در صفحه Authentication، Forms Authentication را انتخاب کنید.
4. در صفحه Actions روی Edit کلیک کنید.
5. در بخش تنظیمات کوکی تایید کنید Protection Mode برای Encryption and Validation تنظیم شده باشد.

یا
دستور زیر را در PowerShell برای پیکربندی وارد کنید:

Default Value

هنگامی که کوکی‌ها برای Forms Authentication استفاده می‌شوند ، حالت پیش فرض محافظت از کوکی روی All است، به این معنی که اپلیکیشن کوکی را رمزگذاری و اعتبار می کند.

منابع:

technet.microsoft.com/en-us/library/cc731804%28WS.10%29.aspx

مطالب این بخش برگرفته از مستند امن سازی وب سرور IIS مربوط به وب سایت CIS می باشد.

مطالب این بخش توسط جناب آقای نوربخش تهیه شده است.