HƯỚNG DẪN THIẾT LẬP CHÍNH SÁCH BẢO MẬT
WEB SERVER IIS 7
1/ Khắc phục lỗ hổng MS 15-034.
Vào IIS Manager Feature View Kích đúp Output Caching Actions Pane Edit feature settings Bỏ chọn Enable kernel cache.
2/ Gỡ/tắt bỏ các thành phần mặc định khi cài đặt Web Server
Gỡ/tắt bỏ các thư mục/trang không sử dụng
Trong mục Sites, chọn các site không sử dụng, Chuột phải chọn Manage Web Site/Stop.
Tắt các Module/Extension không sử dụng: Tắt các Module thừa, không cần thiết, không sử dụng, gồm:
Trong IIS Manager, chọn Modules:
Gỡ bỏ các Module không cần thiết: Chọn các module CgiModule, ServerSideIncludeModule, WebDavModule. Chọn Remove.
3/ Thay đổi các thành phần mặc định.
Thay đổi thông báo lỗi mặc định của Web Server (Thực hiện với cả IIS Manager và các site).
Trong IIS Manager, chọn Error Pages.
Chọn Edit Feature Settings/Chọn Custom error pages. Chọn OK.
Tạo file thông báo lỗi chung cho website. Ví dụ là file error.html trong thư mục C:\inetpub\wwwroot.
Chỉ cho phép thực thi các phương thức GET, POST, HEAD (Thực hiện với cả IIS Manager và các site).
Trong IIS Manager, chọn Hander Mappings:
Click chuột phải vào các dịch vụ WebDav, Traceverbhander, OptionVerbhander chọn Remove:
4/ Cấu hình giới hạn truy cập.
Không cho phép liệt kê file, thư mục (Thực hiện với cả IIS Manager và các site).
Chọn mục Directory browsing trong Features View.
Chọn Disable trong khung Action phía bên tay phải. Lưu ý: Mặc định IIS đã Disable tính năng này.
Kiểm tra lại, đảm bảo có thông báo ”Directory browsing has been disabled.”.
5/ Cấu hình phân quyền ứng dụng Web Server.
Không cho phép thực thi các file ASP, CGI, SSI: chỉ Enable những ISAPI tương ứng với phiên bản. Net Framework cần sử dụng (Giá trị thuộc tính Status là Allowed), Disable các extension không sử dụng: Active Servers Pages (không áp dụng với dịch vụ sử dụng ASP mà không phải ASP.NET), WebDAV.
Trong Feature View, chọn ISAPI and CGI Restrictions:
Chọn các ISAPI cần vô hiệu hóa (ASP, WebDav...), chọn Deny:
Trong IIS Manager, chọn Hander Mappings.
Click chuột phải vào các dịch vụ: SSINC-shtm (*.shtm), SSINC-shtml (*.shtml), SSINC-stm (*.stm), WebDav, ASPClassic (*.asp) (không áp dụng với dịch vụ sử dụng ASP mà không phải ASP.NET). Chọn Remove:
6/ Thiết lập bảo mật trên ASP.NET
Cấu hình validate dữ liệu để hạn chế tấn công XSS:
Trên file web.config cấu hình thuộc tính validateRequest = "True"
<configuration>
<system.web>
<pages validateRequest="True" />
</system.web>
</configuration>
Tắt chế độ debug:
Mục đích: Website không hiển thị chi tiết về mã nguồn khi có lỗi xảy ra.
Trên file web.config đặt thuộc tính debug=”false”
<system.web>
<compilation debug="false" >
<system.web>
Thay đổi thông báo lỗi của ứng dụng:
Thiết đặt thuộc tính “mode” trong customErrors là “on”, tạo trang web để hiển thị nội dung khi có lỗi xảy ra để cấu hình sử dụng các thuộc tính defaultRedirect hoặc redirect, bổ sung các mã lỗi: 400, 401,402, 403, 404, 500, 502, 502, 503.
<customErrors mode="On" defaultRedirect="ErrDefault.aspx">
<error statusCode="401" redirect="ErrUnauthorized.aspx" />
<error statusCode="404" redirect="ErrPageNotFound.aspx" />
<error statusCode="500" redirect="ErrServer.htm" />
</customErrors>
