Konfiguration des Webservers web-server-configuration
Unten finden Sie einige der wichtigsten Best Practices in Bezug auf die Konfiguration von Webservern (Apache/IIS).
-
Ändern Sie Standard-Fehlerseiten.
-
Alte SSL-Version und -Ziffern deaktivieren:
Auf Apache, bearbeiten Sie /etc/apache2/mods-available/ssl.conf. Hier ein Beispiel:
SSLProtocol all -SSLv2 -SSLv3 -TLSv1
SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!SSLv3:!SSLv2:!TLSv1
In IIS (siehe Dokumentation) führen Sie die folgende Konfiguration durch:
-
Fügen Sie einen Registrierungs-Unterschlüssel in HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL hinzu.
-
Damit das System die Protokolle verwenden kann, die nicht standardmäßig ausgehandelt werden (z. B. TLS 1.2), ändern Sie die DWORD-Wertdaten des DisabledByDefault-Werts in den folgenden Registrierungsschlüsseln unter dem Schlüssel Protokolle in 0x0:
SCHANNEL\Protocols\TLS 1.2\Client
SCHANNEL\Protocols\TLS 1.2\Server
SSL x.0 deaktivieren
SCHANNEL\Protocols\SSL 3.0\Client: DisabledByDefault: DWORD (32-Bit) Wert zu 1
SCHANNEL\Protocols\SSL 3.0\Server: Enabled: DWORD (32-Bit) Wert zu 0
-
Entfernen Sie die TRACE-Methode:
Auf Apache, Bearbeiten in /etc/apache2/conf.d/security: TraceEnable Off
In IIS (siehe Dokumentation) führen Sie die folgende Konfiguration durch:
- Achten Sie darauf, dass der Request-Filtering-Rollendienst oder die entsprechende Funktion installiert ist.
- Klicken Sie im Bereich Anforderungsfilterung auf die Registerkarte HTTP-Verben und dann auf Verb ablehnen . Geben Sie im Bereich Aktionen im Dialogfeld Öffnen TRACE ein.
-
Entfernen Sie das Banner:
Auf Apache bearbeiten Sie /etc/apache2/conf.d/security:
- ServerSignature auf Off
- ServerTokens auf Prod
In IIS führen Sie die folgende Konfiguration durch:
- Installieren Sie URLScan.
- Ändern Sie die Datei Urlscan.ini in RemoveServerHeader=1.
-
Begrenzen Sie die Größe der Abfrage, um zu verhindern, dass wichtige Dateien hochgeladen werden.
Fügen Sie Apache die Direktive LimitRequestBody (Größe in Byte) im Verzeichnis / hinzu.
code language-none <Directory /> Options FollowSymLinks AllowOverride None LimitRequestBody 10485760 </Directory>
In IIS (siehe Dokumentation) legen Sie die maxAllowedContentLength (maximal zulässige Inhaltslänge) in den Inhaltsfilteroptionen fest.
Verwandte Themen: