Web服务器配置 web-server-configuration

更改默认错误页面。

禁用旧的SSL版本和密码：

在Apache ​上，编辑/etc/apache2/mods-available/ssl.conf。 示例如下：

• SSLProtocol all -SSLv2 -SSLv3 -TLSv1
• SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!SSLv3:!SSLv2:!TLSv1

在IIS ​上（请参阅文档），执行以下配置：

• 在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL中添加注册表子项

• 要使系统能够使用默认不会协商的协议（如TLS 1.2），请在​ Protocols ​键下的以下注册表项中将DisabledByDefault值的DWORD值数据更改为0x0：

  SCHANNEL\Protocols\TLS 1.2\客户端

  SCHANNEL\Protocols\TLS 1.2\服务器

禁用SSL x.0

SCHANNEL\Protocols\SSL 3.0\Client： DisabledByDefault： DWORD （32位）值为1

SCHANNEL\Protocols\SSL 3.0\Server：已启用： DWORD （32位）值为0

删除​ TRACE ​方法：

在Apache ​上，在/etc/apache2/conf.d/security： TraceEnable Off ​中编辑

在IIS ​上（请参阅文档），执行以下配置：

• 确保已安装​ 请求筛选 ​角色服务或功能。
• 在​ 请求筛选 ​窗格中，单击“HTTP动词”选项卡，然后单击“拒绝动词”。 在“操作”窗格中，在打开的对话框中输入TRACE。

删除横幅：

在Apache ​上，编辑/etc/apache2/conf.d/security：

• ServerSignature 关闭
• ServerTokens 产品

在IIS ​上，执行以下配置：

• 安装​ URLcan。
• 编辑​ Urlscan.ini ​文件以使​ RemoveServerHeader=1

限制查询大小以防止上载重要文件：

在Apache ​上，在/目录中添加​ LimitRequestBody ​指令（以字节为单位）。

<Directory />
    Options FollowSymLinks
    AllowOverride None
    LimitRequestBody 10485760
</Directory>

在IIS（请参阅文档）上，在内容筛选选项中设置​ maxAllowedContentLength（允许的最大内容长度）。