Web サーバー設定

Webサーバー(Apache/IIS)の設定に関する主なベストプラクティスの一部を以下に示します。

  • デフォルトのエラーページを変更します。

  • 古い SSL のバージョンと暗号を無効にします。

    Apacheで、/etc/apache2/mods-available/ssl.confを編集します。次に例を示します。

    • SSLProtocol all -SSLv2 -SSLv3 -TLSv1
    • SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!SSLv3:!SSLv2:!TLSv1

    IIS ( ドキュメントを参照)で、次の設定を実行します。

    • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL にレジストリサブキーを追加します。

    • デフォルトでネゴシエートされないプロトコル(TLS 1.2など)を使用できるようにするには、Protocols​キーの下にある次のレジストリキーで、DisabledByDefault値のDWORD値データを0x0に変更します。

      SCHANNEL\Protocols\TLS 1.2\Client

      SCHANNEL\Protocols\TLS 1.2\Server
      SSL x.0の無効化

    SCHANNEL\Protocols\SSL 3.0\Client:DisabledByDefault:DWORD(32ビット)値を1に設定

    SCHANNEL\Protocols\SSL 3.0\Server:有効:DWORD(32ビット)値を0に設定

  • TRACE メソッドを削除します。

    Apacheで、/etc/apache2/conf.d/securityで次を編集します。TraceEnable Off

    IIS ( ドキュメントを参照)で、次の設定を実行します。

    • 要求フィルタリング​の役割サービスまたは機能がインストールされていることを確認します。
    • 要求フィルタリング​パネルで「HTTP 動詞」タブをクリックし、「動詞の拒否」をクリックします。アクションパネルで、開くダイアログに「TRACE」と入力します。
  • バナーを削除します。

    Apacheで、/etc/apache2/conf.d/securityを編集します。

    • ServerSignature Off
    • ServerTokens Prod

    IISで、次の設定を実行します。

    • URLScan をインストールします。
    • Urlscan.ini ファイルを編集して RemoveServerHeader=1 を設定します。
  • クエリのサイズを制限して、重要なファイルがアップロードされないようにします。

    ​Apache で、LimitRequestBody ディレクティブ(サイズはバイト単位で指定)を / ディレクトリに追加します。

    <Directory />
        Options FollowSymLinks
        AllowOverride None
        LimitRequestBody 10485760
    </Directory>
    

    IIS ( ドキュメントを参照)の場合は、コンテンツフィルターオプションで maxAllowedContentLength (最大許容コンテンツ長)を設定します。

関連トピック :

このページ

Adobe Maker Awards Banner

Time to shine!

Apply now for the 2021 Adobe Experience Maker Awards.

Apply now
Adobe Maker Awards Banner

Time to shine!

Apply now for the 2021 Adobe Experience Maker Awards.

Apply now