Web伺服器配置

您將在以下找到與Web-Server(Apache/IIS)配置相關的一些主要最佳實踐。

  • 變更預設錯誤頁面。

  • 停用舊版SSL和密碼:

    在Apache上,編輯/etc/apache2/mods-available/ssl.conf。以下是範例:

    • SSLProtocol all -SSLv2 -SSLv3 -TLSv1
    • SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!SSLv3:!SSLv2:!TLSv1

    在IIS (請參 閱說明檔案)上,執行下列設定:

    • 在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL中添加註冊表子項

    • 要使系統使用預設情況下不會協商的協定(如TLS 1.2),請在​Protocols​鍵下的以下註冊表鍵中,將DisabledByDefault值的DWORD值資料更改為0x0:

      SCHANNEL\Protocols\TLS 1.2\Client

      SCHANNEL\Protocols\TLS 1.2\Server
      停用SSL x.0

    SCHANNEL\Protocols\SSL 3.0\Client:DisabledByDefault:DWORD(32位元)值至1

    SCHANNEL\Protocols\SSL 3.0\Server:啟用:DWORD(32位元)值至0

  • 刪除​TRACE​方法:

    在Apache上,在/etc/apache2/conf.d/security中編輯:TraceEnable Off

    在IIS (請參 閱說明檔案)上,執行下列設定:

    • 請確定已安裝​請求篩選​角色服務或功能。
    • 在​請求篩選​窗格中,按一下HTTP動詞標籤,然後按一下拒絕動詞。 在「操作」窗格中,在開啟的對話框中輸入TRACE。
  • 移除橫幅:

    在Apache上,編輯/etc/apache2/conf.d/安全性:

    • ServerSignature Off
    • ServerToken Prod

    在IIS上,執行下列設定:

    • 安裝​URLScan
    • 編輯​Urlscan.ini​檔案,使其具有​RemoveServerHeader=1
  • 限制查詢大小以防止上傳重要檔案:

    在Apache上,將 ​LimitRequestBody指令(以位元組為單位)新增至/目錄中。

    <Directory />
        Options FollowSymLinks
        AllowOverride None
        LimitRequestBody 10485760
    </Directory>
    

    在IIS (請參 閱說明檔案)上,在內容篩選選項中設定 maxAllowedContentLength (最大允許的內容長度)。

相關主題:

本頁內容