خانه CIS Microsoft IIS 10 امن سازی IIS 10 – بخش ششم

امن سازی IIS 10 – بخش ششم

آخرین به روز رسانی ژانویه 21, 2021 توسط دیدگاه ها خاموش است اشتراک گذاری
cis-IIS 10

اطمینان از تنظیم application pool identity برای anonymous user identity (Scored)

Profile Applicability

• Level 1 – IIS 10

از کلیه‌ اطلاعات ذخیره شده بر روی سیستم‌ها file system، network share، claims، Application یا پایگاه‌های داده خاص بوسیله access control list محافظت کنید. این کنترل‌ها این قاعده را اجرا می‌کنند که فقط افراد مجاز باید به اطلاعاتی که مورد نیازشان است بر اساس مسئولیت‌هایشان دسترسی داشته باشند.

اطمینان حاصل کنید که Application Pool Identity برای anonymous user identity تنظیم شده باشد.

Description

برای امن کردن و ایزوله کردن IIS، application pool ها می‌توانند به صورت Identity های جداگانه اجرا شوند. IIS می‌تواند طوری تنظیم شود که اگر هیچ anonymous user account ای برای وب سایت نباشد، به صورت خودکار از Application Pool Identity استفاده کند.

این می‌تواند تعداد حساب‌های کاربری مورد نیاز برای وب سایت‌ها را تا حد زیادی کاهش دهد و مدیریت حساب‌های کاربری را آسان تر کند. توصیه می‌شود که Application Pool Identity به عنوان Anonymous User Identity تنظیم شود.

Rationale

تنظیم کردن anonymous user identity برای استفاده از application pool identity می‌تواند در رابطه با ایزوله کردن سایت به ما اطمینان دهد، به شرط اینکه سایت‌ها از آن application pool identity استفاده کنند. از آنجایی که یک بخش اصلی هر Application Pool را اجرا می‌کند، این اطمینان را به ما خواهد داد که این Identity کمترین سطح دسترسی را دارد. علاوه بر این ، مدیریت سایت را نیز ساده‌تر می‌کند.

Audit

فایل applicationHost.config را پیدا نموده و آن را باز کنید و اطمینان حاصل کنید که قسمت username مربوط به تگ anonymousAuthentication به یک string خالی تنظیم شده باشد:

این تنظیمات در همان فایل applicationHost.config که برای وب سایت‌ها و application/directory ها است ذخیره می‌شود، در انتهای فایل با tag های location path=”path/to/resource” احاطه شده‌است.
برای استفاده از طریق PowerShell دستور زیر را وارد کنید:

Remediation

Anonymous User Identity می‌تواند برای Application Pool Identity به وسیله IIS Manager GUI، تنطیم شود، که این امر با استفاده از دستورات AppCmd.exe در پنجره command-line، Edit کردن فایل‌های کانفیگ به طور مستقیم و یا با نوشتن WMI Scripts امکان پذیر می‌باشد.

امن سازی وب سرور IIS 10 – بخش پنجم

مراحل زیر را انجام دهید تا ویژگی Username را برای خط anonymousAuthentication در IIS Manager GUI تنظیم کنید:

1- IIS Manager GUI را باز کنید و به سرور، سایت یا اپلیکیشن مورد نظر خود بروید.
2- در قسمت features آیکون Authentication را پیدا و روی آن 2 بار کلیک کنید.
3- آپشن Anonymous Authentication را انتخاب و در صفحه actions گزینه Edit… را بزنید.
4- application pool identity را در پنجره انتخاب و سپس روی OK کلیک کنید.

یا

دستوری که برای استفاده از AppCmd.exe در رابطه با تنظیم anonymousAuthentication در سطح سرور استفاده می‌شود به شکل زیر است:

یا
دستور زیر را در PowerShell برای انجام تنظیمات وارد کنید:

Default Value

Identity پیش‌فرض برای anonymous User، IUSR Virtual account می‌باشد.

منابع:

http://learn.iis.net/page.aspx/202/application-pool-identity-as-anonymous-user/
http://learn.iis.net/page.aspx/624/application-pool-identities/

مطالب این بخش برگرفته از مستند امن سازی وب سرور IIS مربوط به وب سایت CIS می باشد.

مطالب این بخش توسط جناب آقای نوربخش تهیه شده است.

درباره نویسنده: احسان نیک آور

ممکن است دوست داشته باشید

cis-IIS 10

امن سازی IIS 10 – بخش بیست و هشتم

دسامبر 20, 2022
cis-IIS 10

امن سازی IIS 10 – بخش بیست و هفتم

نوامبر 12, 2022
cis-IIS 10

امن سازی IIS 10 – بخش بیست و ششم

مارس 1, 2022
cis-IIS 10

امن سازی IIS 10 – بخش بیست و پنجم

ژانویه 29, 2022
cis-IIS 10

امن سازی IIS 10 – بخش بیست و چهارم

دسامبر 3, 2021
cis-IIS 10

امن سازی IIS 10 – بخش بیست و سوم

اکتبر 17, 2021