اطمینان حاصل کنید که احراز هویت Anonymous authentication در شیرپونیت Deny شده باشد.(Not Scored)
Profile Applicability
• Level 1 (L1) – Corporate/Enterprise Environment (general use)
Description
برنامههای وب شیرپوینت باید به گونه ای پیکربندی شوند که anonymous authentication مجاز نباشد، این امر به کاربران امکان تأیید اعتبار و استفاده از برنامهها را بدون تأیید هویت آنها میدهد.
Rationale
اجازه anonymous authentication به برنامههای وب شیرپوینت، اثربخشی کنترل احراز هویت را لغو میکند. بعلاوه، هر فعالیتی که در anonymous session انجام شود نیز با یک حساب خاص قابل ارتباط نیست. چنین ارتباطاتی اغلب در تحقیقات و audit های پس از حادثه بسیار مهم هستند.
Audit
- به Central Administration website بروید.
- روی Manage web applications بروید.
- روی نام وب اپلیکیشن کلیک کنید.
- روی دکمه Authentication Providers در نوار Web Applications کلیک کنید.
- روی هر Zone کلیک کنید و تایید کنید تیک Enable anonymous access زده نشده باشد.
- برای هر وب اپلیکیشن تکرار کنید.
Remediation
- به Central Administration website بروید.
- روی Manage web applications بروید.
- روی نام وب اپلیکیشن کلیک کنید.
- روی دکمه Authentication Providers در نوار Web Applications کلیک کنید.
- روی هر Zone کلیک کنید و تیک Enable anonymous access را بردارید.
- برای هر وب اپلیکیشن تکرار کنید.
مطالب این بخش توسط جناب آقای نوربخش تهیه شده است.
