[ISO 27001] 移除 IIS 不必要的回應標頭
ISO 27001 這一系列的文章,是在記錄被弱點掃描報告列出的問題修正。
受影響的條款
IIS 配置設定中包含了一些敏感的訊息,容易引起不必要的的攻擊,建議移除不必要的 Response Header ,範例使用 IIS 10 的版本。
- 8.2.3 Handling of assets
- 9.4.1 Information access restriction
- 12.4.2 Protection of log information
- 12.4.3 Administrator and operator logs
- 18.1.3 Protection of records
- 18.1.4 Privacy and protection of personallyidentifiable information
移除 Server 回應站台資訊
- 使用 Postman 等軟體對站台發起請求,可以看到如下圖回應 WebServer 的版本資訊。
- 到 IIS 站台管理關閉回應,IIS -> 管理 -> 設定編輯器 -> system.webServer/security/requestFiltering -> removeServerHeader -> true -> 套用。
- 上述步驟會產生對應的 web.config 如下。
<?xml version="1.0" encoding="utf-8"?> <configuration> <system.webServer> <security> <requestFiltering removeServerHeader="true" /> </security> </system.webServer> </configuration>
移除 X-Powered-By (ASP.NET) 回應
- 使用 Postman 查看下圖的資訊。
- IIS -> 管理 -> HTTP 回應標頭 -> X-Powered-By -> 移除。
- 上述步驟會產生對應的 web.config 如下。
<?xml version="1.0" encoding="utf-8"?> <configuration> <system.webServer> <httpProtocol> <customHeaders> <remove name="X-Powered-By" /> </customHeaders> </httpProtocol> </system.webServer> </configuration>
移除 X-Powered-By (ARR/3.0) 回應
- 請注意,如果使用 ARR 的話,會出現兩個 X-Powered-By,請務必到各內部伺服器中移除上一個項目提到的 X-Powered-By 的回應標題,再進行底下的作業。
- 調整 ARR Server 的設定 arr_schema.xml,找到 arrResponseHeader 屬性,並將 defaultValue 調整為 false,請注意,可能有多個 arrResponseHeader,請全部都調整成 false。
C:\Windows\System32\inetsrv\Config\Schema\arr_schema.xml
參考網站
Remove Unwanted HTTP Response Headers
How to remove X-Powered-By: ARR/3.0 from IIS Web Farm?
留言
張貼留言
您好,我是 Lawrence,這裡是我的開發筆記的網誌,如果你對我的文章有任何疑問或者有錯誤的話,歡迎留言讓我知道。