[ISO 27001] 移除 IIS 不必要的回應標頭

ISO 27001 這一系列的文章,是在記錄被弱點掃描報告列出的問題修正。

    受影響的條款

    IIS 配置設定中包含了一些敏感的訊息,容易引起不必要的的攻擊,建議移除不必要的 Response Header ,範例使用 IIS 10 的版本。

    • 8.2.3 Handling of assets
    • 9.4.1 Information access restriction
    • 12.4.2 Protection of log information
    • 12.4.3 Administrator and operator logs
    • 18.1.3 Protection of records
    • 18.1.4 Privacy and protection of personallyidentifiable information


    移除 Server 回應站台資訊

    • 使用 Postman 等軟體對站台發起請求,可以看到如下圖回應 WebServer 的版本資訊。

    • 到 IIS 站台管理關閉回應,IIS -> 管理 -> 設定編輯器 -> system.webServer/security/requestFiltering -> removeServerHeader -> true -> 套用。

    • 上述步驟會產生對應的 web.config 如下。
      <?xml version="1.0" encoding="utf-8"?>
      <configuration>
          <system.webServer>
              <security>
                  <requestFiltering removeServerHeader="true" />
              </security>
          </system.webServer>
      </configuration>
      


    移除 X-Powered-By (ASP.NET) 回應

    • 使用 Postman 查看下圖的資訊。

    • IIS -> 管理 -> HTTP 回應標頭 -> X-Powered-By -> 移除。

    • 上述步驟會產生對應的 web.config 如下。
      <?xml version="1.0" encoding="utf-8"?>
      <configuration>
          <system.webServer> 
              <httpProtocol>
                  <customHeaders>
                      <remove name="X-Powered-By" />
                  </customHeaders>
              </httpProtocol>
          </system.webServer>
      </configuration>
      


    移除 X-Powered-By (ARR/3.0) 回應 

    • 請注意,如果使用 ARR 的話,會出現兩個 X-Powered-By,請務必到各內部伺服器中移除上一個項目提到的 X-Powered-By 的回應標題,再進行底下的作業。

    • 調整 ARR Server 的設定 arr_schema.xml,找到 arrResponseHeader 屬性,並將 defaultValue 調整為 false,請注意,可能有多個 arrResponseHeader,請全部都調整成 false
      C:\Windows\System32\inetsrv\Config\Schema\arr_schema.xml


    參考網站

    Remove Unwanted HTTP Response Headers

    IIS 移除Header系列

    徹底移除 IIS Response Header 版本資訊

    How to remove X-Powered-By: ARR/3.0 from IIS Web Farm?


    留言