Configuração do servidor da web web-server-configuration

Abaixo, você encontrará algumas das principais práticas recomendadas relacionadas à configuração do servidor da Web (Apache/IIS).

  • Alterar páginas de erro padrão.

  • Desabilitar versão e cifras antigas do SSL:

    No Apache, edite /etc/apache2/mods-available/ssl.conf. Aqui está um exemplo:

    • SSLProtocol all -SSLv2 -SSLv3 -TLSv1
    • SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!SSLv3:!SSLv2:!TLSv1

    No IIS (consulte a documentação), execute a seguinte configuração:

    • Adicionar subchave de registro em HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

    • Para habilitar o sistema a usar os protocolos que não serão negociados por padrão (como o TLS 1.2), altere os dados do valor DWORD do valor DisabledByDefault para 0x0 nas seguintes chaves do Registro na chave Protocolos:

      SCHANNEL\Protocolos\TLS 1.2\Cliente

      SCHANNEL\Protocolos\TLS 1.2\Servidor

    Desabilitar SSL x.0

    SCHANNEL\Protocols\SSL 3.0\Client: DisabledByDefault: Valor DWORD (32 bits) para 1

    SCHANNEL\Protocols\SSL 3.0\Server: Habilitado: Valor DWORD (32 bits) para 0

  • Remova o método TRACE:

    No Apache, edite em /etc/apache2/conf.d/security: TraceEnable Off

    No IIS (consulte a documentação), execute a seguinte configuração:

    • Verifique se o serviço ou recurso de função Filtragem de Solicitação está instalado.
    • No painel Solicitar filtragem, clique na guia verbos de HTTP e clique em Negar verbo. No painel Ações, digite TRACE na caixa de diálogo aberta.
  • Remova o banner:

    No Apache, edite /etc/apache2/conf.d/security:

    • AssinaturaServidor Desativada
    • ServerTokens Prod

    No IIS, execute a seguinte configuração:

    • Instalar URLScan.
    • Edite o arquivo Urlscan.ini para ter RemoveServerHeader=1
  • Limite o tamanho da consulta para impedir que arquivos importantes sejam carregados:

    No Apache, adicione a diretiva LimitRequestBody (tamanho em bytes) no diretório /.

    code language-none
    <Directory />
        Options FollowSymLinks
        AllowOverride None
        LimitRequestBody 10485760
    </Directory>
    

    No IIS (consulte a documentação), defina o maxAllowedContentLength (tamanho máximo de conteúdo permitido) nas opções de filtragem de conteúdo.

Tópicos relacionados:

recommendation-more-help
601d79c3-e613-4db3-889a-ae959cd9e3e1