[ISO 27001] 移除 IIS 不必要的回應標頭

ISO 27001 這一系列的文章，是在記錄被弱點掃描報告列出的問題修正。

受影響的條款

IIS 配置設定中包含了一些敏感的訊息，容易引起不必要的的攻擊，建議移除不必要的 Response Header ，範例使用 IIS 10 的版本。

• 8.2.3 Handling of assets
• 9.4.1 Information access restriction
• 12.4.2 Protection of log information
• 12.4.3 Administrator and operator logs
• 18.1.3 Protection of records
• 18.1.4 Privacy and protection of personallyidentifiable information

移除 Server 回應站台資訊

• 使用 Postman 等軟體對站台發起請求，可以看到如下圖回應 WebServer 的版本資訊。
  
  
  
• 到 IIS 站台管理關閉回應，IIS -> 管理 -> 設定編輯器 -> system.webServer/security/requestFiltering -> removeServerHeader -> true -> 套用。
  
  
  
• 上述步驟會產生對應的 web.config 如下。

  <?xml version="1.0" encoding="utf-8"?>
  <configuration>
      <system.webServer>
          <security>
              <requestFiltering removeServerHeader="true" />
          </security>
      </system.webServer>
  </configuration>
  

移除 X-Powered-By (ASP.NET) 回應

• 使用 Postman 查看下圖的資訊。
  
  
  
• IIS -> 管理 -> HTTP 回應標頭 -> X-Powered-By -> 移除。
  
  
  
• 上述步驟會產生對應的 web.config 如下。

  <?xml version="1.0" encoding="utf-8"?>
  <configuration>
      <system.webServer> 
          <httpProtocol>
              <customHeaders>
                  <remove name="X-Powered-By" />
              </customHeaders>
          </httpProtocol>
      </system.webServer>
  </configuration>
  

移除 X-Powered-By (ARR/3.0) 回應 

• 請注意，如果使用 ARR 的話，會出現兩個 X-Powered-By，請務必到各內部伺服器中移除上一個項目提到的 X-Powered-By 的回應標題，再進行底下的作業。
  
  
  
• 調整 ARR Server 的設定 arr_schema.xml，找到 arrResponseHeader 屬性，並將 defaultValue 調整為 false，請注意，可能有多個 arrResponseHeader，請全部都調整成 false。

  C:\Windows\System32\inetsrv\Config\Schema\arr_schema.xml

  
  
  

參考網站

Remove Unwanted HTTP Response Headers

IIS 移除Header系列

徹底移除 IIS Response Header 版本資訊

How to remove X-Powered-By: ARR/3.0 from IIS Web Farm?