Web服务器配置 web-server-configuration

您将在下面找到与Web服务器(Apache/IIS)配置相关的一些主要最佳实践。

  • 更改默认错误页面。

  • 禁用旧的SSL版本和密码:

    在Apache ​上,编辑/etc/apache2/mods-available/ssl.conf。 示例如下:

    • SSLProtocol all -SSLv2 -SSLv3 -TLSv1
    • SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!SSLv3:!SSLv2:!TLSv1

    在IIS ​上(请参阅文档),执行以下配置:

    • 在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL中添加注册表子项

    • 要使系统能够使用默认不会协商的协议(如TLS 1.2),请在​ Protocols ​键下的以下注册表项中将DisabledByDefault值的DWORD值数据更改为0x0:

      SCHANNEL\Protocols\TLS 1.2\客户端

      SCHANNEL\Protocols\TLS 1.2\服务器

    禁用SSL x.0

    SCHANNEL\Protocols\SSL 3.0\Client: DisabledByDefault: DWORD (32位)值为1

    SCHANNEL\Protocols\SSL 3.0\Server:已启用: DWORD (32位)值为0

  • 删除​ TRACE ​方法:

    在Apache ​上,在/etc/apache2/conf.d/security: TraceEnable Off ​中编辑

    在IIS ​上(请参阅文档),执行以下配置:

    • 确保已安装​ 请求筛选 ​角色服务或功能。
    • 在​ 请求筛选 ​窗格中,单击“HTTP动词”选项卡,然后单击“拒绝动词”。 在“操作”窗格中,在打开的对话框中输入TRACE。
  • 删除横幅:

    在Apache ​上,编辑/etc/apache2/conf.d/security:

    • ServerSignature 关闭
    • ServerTokens 产品

    在IIS ​上,执行以下配置:

    • 安装​ URLcan
    • 编辑​ Urlscan.ini ​文件以使​ RemoveServerHeader=1
  • 限制查询大小以防止上载重要文件:

    在Apache ​上,在/目录中添加​ LimitRequestBody ​指令(以字节为单位)。

    code language-none
    <Directory />
        Options FollowSymLinks
        AllowOverride None
        LimitRequestBody 10485760
    </Directory>
    

    在IIS(请参阅文档)上,在内容筛选选项中设置​ maxAllowedContentLength(允许的最大内容长度)。

相关主题:

recommendation-more-help
601d79c3-e613-4db3-889a-ae959cd9e3e1