Web サーバー (Apache/IIS) の設定に関する主なベストプラクティスを以下にいくつか示します。
デフォルトのエラーページを変更します。
古い SSL のバージョンと暗号を無効にします。
Apache 上、/etc/apache2/mods-available/ssl.confを編集します。 次に例を示します。
IIS の場合 ( ドキュメント) で、次の設定を実行します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL にレジストリサブキーを追加します。
デフォルトでネゴシエートされないプロトコル(TLS 1.2 など)をシステムが使用できるようにするには、次のレジストリキーで、DisabledByDefault 値の DWORD 値データを 0x0 に変更します。 プロトコル キー:
SCHANNEL\Protocols\TLS 1.2\Client
SCHANNEL\Protocols\TLS 1.2\Server
SSL x.0 を無効にします。
SCHANNEL\Protocols\SSL 3.0\Client:DisabledByDefault:DWORD(32 ビット)値を 1 に設定
SCHANNEL\Protocols\SSL 3.0\Server:有効:DWORD(32 ビット)値を 0 に設定
TRACE メソッドを削除します。
Apache 上、 /etc/apache2/conf.d/security で編集します。TraceEnable オフ
IIS の場合 ( ドキュメント) で、次の設定を実行します。
バナーを削除します。
Apache 上、 /etc/apache2/conf.d/security を編集します。
IIS の場合、次の設定を実行します。
クエリのサイズを制限して、重要なファイルがアップロードされないようにします。
Apache で、LimitRequestBody ディレクティブ(サイズはバイト単位で指定)を / ディレクトリに追加します。
<Directory />
Options FollowSymLinks
AllowOverride None
LimitRequestBody 10485760
</Directory>
IIS の場合 ( ドキュメント)、 maxAllowedContentLength (許可されるコンテンツの最大長)を使用できます。
関連トピック :