اطمینان از اینکه passwordFormat به صورت شفاف تنظیم نشده باشد (Scored)
Profile Applicability
• Level 1 – IIS 10
Description
عنصر credentials مربوط به عنصر authentication اجازه میدهد تا تعاریف اختیاری از نام و رمز ورود برای حسابهای کاربری IIS Manager در فایلهای پیکربندی فراهم شود. Forms Based Authentication هم از این عناصر برای تعریف کردن کاربران استفاده میکنند.
کاربران IIS Manager میتوانند از Administration Interface برای اتصال به سایتها و برنامههایی که مجوز به آنها داده شده است، استفاده نمایند.
مستند امن سازی وب سرور IIS 10 – بخش سیزدهم
توجه داشته باشید که عنصر فقط درصورتی اعمال میشود که برای Provider پیش فرض ،ConfigurationAuthenticationProvider، به عنوان Authentication Provider تنظیم شود. توصیه میشود که فرمت کلمه عبور روی حالتی غیر از clear، مانند SHA1 تنظیم شود.
Rationale
از Authentication Credential ها همیشه باید محافظت کرد تا خطر به سرقت رفتن Authentication credential ها کاهش یابد.
Audit
فایل پیکربندی مربوطه را پیدا و باز کنید. تایید کنید که Credentials element در آن موجود نیست:
یا
برای تایید از طریق PowerShell دستور زیر را وارد کنید:
Remediation
Authentication Mode از طریق machine.config، root-level web.config یا application-level web.config قابل پیکربندی میباشد:
1-فایل پیکربندی که credential ها در آن ذخیره میشوند را پیدا و باز کنید.
2-عنصر credentials را در آن پیدا کنید.
3-در صورت وجود، اطمینان حاصل کنید passwordFormat روی clear تنظیم نشده باشد.
4-passwordFormat را به SHA1 تغییر دهید.
کلمات عبور clear text باید با نسخه hash شده مناسب جایگزین شوند.
یا
دستور زیر را در PowerShell برای کانفیگ وارد کنید:
Default Value
به صورت پیشفرض متد passwordFormat رویSHA1 قرار دارد.
مطالب این بخش برگرفته از مستند امن سازی وب سرور IIS مربوط به وب سایت CIS می باشد.
مطالب این بخش توسط جناب آقای نوربخش تهیه شده است.
