Configurazione server web web-server-configuration

Di seguito sono riportate alcune delle best practice principali relative alla configurazione del server web (Apache/IIS).

  • Modificare le pagine di errore predefinite.

  • Disattiva la versione SSL e le crittografie precedenti:

    Su Apache, modifica /etc/apache2/mods-available/ssl.conf. Ecco un esempio:

    • SSLProtocol all -SSLv2 -SSLv3 -TLSv1
    • SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!SSLv3:!SSLv2:!TLSv1

    In IIS (vedere documentazione), esegui la seguente configurazione:

    • Aggiungi sottochiave del Registro di sistema in HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

    • Per consentire al sistema di utilizzare i protocolli che non verranno negoziati per impostazione predefinita (ad esempio TLS 1.2), modificare i dati del valore DWORD del valore DisabledByDefault su 0x0 nelle seguenti chiavi del Registro di sistema sotto Protocoli chiave:

      SCHANNEL\Protocolli\TLS 1.2\Client

      SCHANNEL\Protocolli\TLS 1.2\Server

    Disabilita SSL x.0

    SCHANNEL\Protocols\SSL 3.0\Client: DisabledByDefault: valore DWORD (32 bit) su 1

    SCHANNEL\Protocolli\SSL 3.0\Server: abilitato: valore DWORD (32 bit) su 0

  • Rimuovi il TRACE metodo:

    Su Apache, modifica in /etc/apache2/conf.d/security: TraceEnable Disattivato

    In IIS (vedere documentazione), esegui la seguente configurazione:

    • Assicurati che Filtro richieste servizio ruolo o funzionalit√† installata.
    • In Filtro richieste fare clic sulla scheda Verbi HTTP e quindi su Nega verbo. Nel riquadro Azioni, immettere TRACE nella finestra di dialogo aperta.
  • Rimuovi il banner:

    Su Apache, modifica /etc/apache2/conf.d/sicurezza:

    • FirmaServer Disattivato
    • ServerTokens Prod

    In IIS, esegui la configurazione seguente:

    • Installa URLcan.
    • Modifica il Urlscan.ini file da avere RemoveServerHeader=1
  • Limita le dimensioni delle query per impedire il caricamento di file importanti:

    Su Apache, aggiungi LimitRequestBody direttiva (dimensioni in byte) nella directory /.

    code language-none
    <Directory />
        Options FollowSymLinks
        AllowOverride None
        LimitRequestBody 10485760
    </Directory>
    

    In IIS (vedere documentazione), imposta maxAllowedContentLength (lunghezza massima consentita del contenuto) nelle opzioni di filtro del contenuto.

Argomenti correlati:

recommendation-more-help
601d79c3-e613-4db3-889a-ae959cd9e3e1