امن سازی IIS 10 – بخش نوزدهم

cis-IIS 10

اطمینان از غیرفعال بودن ASP.NET Stack Tracing (Scored)

Profile Applicability

• Level 2 – IIS 10

Description

عنصر trace سرویس ردیابی کد ASP.NET را پیکربندی می‌کند که چگونگی جمع آوری، ذخیره سازی و نمایش نتایج ردیابی را کنترل نماید. هنگامی که tracing فعال است، هر درخواست صفحه پیام‌های ردیابی ایجاد می‌کند که می‌توانند به خروجی صفحه اضافه شوند یا در یک اپلیکیشن trace log ذخیره شوند.

این یک توصیه دفاع در عمق است که وجود deployment retail=”true” در فایل machine.config همه تنظیمات باقیمانده که برای ASP.NET باعث tracing می‌شود را دوباره نویسی می‌کند. توصیه می‌شود مکانیزم tracing برای ASP.NET همچنان خاموش بماند.

Rationale

در یک وب سایت active، ردیابی نباید فعال باشد به دلیل اینکه می‌تواند اطلاعات حساس کانفیگی یا stack trace information ها را با جزئیات زیاد به هر کسی که صفحات سایت را مشاهده می‌کند نشان دهد.

مستند امن سازی وب سرور ویندوز IIS 10 – بخش هجدهم

در صورت لزوم، ویژگی localOnly را می‌توان به true تنظیم کرد که information trace فقط برای درخواست‌های localhost نمایش داده شود. اطمینان از غیرفعال بودن این ویژگی، به کاهش خطر یادگیری دقیق اطلاعات توسط افراد بدخواه کمک خواهد کرد.

Audit

Tracing در سطوح مختلف قابل پیکربندی است:

  1. Machine.config
  2. Root-level web.config
  3. Application-level web.config
  4. Virtual or physical directory-level web.config
  5. Individual ASP.Net page level

تأیید کنید که ردگیری ASP.NET از طریق هر صفحه در برنامه روشن نشده است.

تایید کنید ویژگی trace فعال نیست:

Trace=”true”

در فایل web.config اطمینان حاصل کنید که tracing غیر فعال باشد به صورت:

یا
برای تایید از طریق PowerShell دستور زیر را وارد کنید:

Remediation

  1. اطمینان حاصل کنید deployment retail=”true” در machine.config فعال باشد.
  2. تمامی منابع ویژگی‌های ردیابی ASP.NET را با پاک کردن ویژگی trace و trace enable حذف کنید.

در هر صفحه:

حذف هرگونه ارجاع به:

Trace=”true”

در هر اپلیکیشن:

یا
دستور زیر را در PowerShell برای پیکربندی وارد کنید:

Default Value

حالت پیش‌فرض ردیابی ASP.NET خاموش می‌باشد.

منابع:

msdn.microsoft.com/en-us/library/94c55d08%28v=vs.100%29.aspx
msdn.microsoft.com/en-us/library/0x5wc973%28v=vs.100%29.aspx

مطالب این بخش برگرفته از مستند امن سازی وب سرور IIS مربوط به وب سایت CIS می باشد.

مطالب این بخش توسط جناب آقای نوربخش تهیه شده است.

درباره نویسنده: احسان نیک آور

ممکن است دوست داشته باشید