01امنسازی سیستمعامل و مدیریت دسترسی
ایزولاسیون پردازشها (Process Isolation)
یکی از شایعترین دلایل نفوذ، اجرای وبسایت با دسترسی Administrator است. در معماری امن افتاچک، هر سایت باید در محفظه خود اجرا شود:
- Identity: تنظیم هویت AppPool روی
ApplicationPoolIdentity. - NTFS Permissions: سلب دسترسی کامل برای کاربر IIS و تخصیص فقط
Read & Execute.
02پیکربندی پیشرفته وبسرور IIS
حذف ماژولهای خطرناک
ماژولهای WebDAV و CGI را حتماً حذف کنید. این موارد ریسک افشای اطلاعات را به شدت بالا میبرند.
Request Filtering
فیلترینگ سختگیرانه روی پسوندهای حساس مثل .env و .config پیادهسازی شود.
03رمزنگاری دادهها و پروتکل TLS
# Disable Legacy Protocols
[SCHANNEL\Protocols\TLS 1.0\Server] "Enabled"=dword:00000000
[SCHANNEL\Protocols\TLS 1.0\Server] "Enabled"=dword:00000000
04هدرهای امنیتی HTTP
<customHeaders> <add name="X-Frame-Options" value="SAMEORIGIN" /> <add name="Strict-Transport-Security" value="max-age=31536000" /> <remove name="X-Powered-By" /> </customHeaders>
چکلیست نهایی استقرار امن
غیرفعالسازی کامل Debug Mode در فایل Web.config
ایزولاسیون پورتهای دیتابیس در فایروال ویندوز
حذف تمامی فایلهای PDB و فایلهای موقت از سرور
تنظیم زمان نشست (Session Timeout) روی ۲۰ دقیقه