Web伺服器設定 web-server-configuration

您將會找到與網頁伺服器(Apache/IIS)設定相關的一些主要最佳實務。

  • 變更預設錯誤頁面。

  • 停用舊的SSL版本和加密:

    在Apache ​上,編輯/etc/apache2/mods-available/ssl.conf。 範例如下:

    • SSLProtocol all -SSLv2 -SSLv3 -TLSv1
    • SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!SSLv3:!SSLv2:!TLSv1

    在IIS (請參閱檔案)上,執行下列設定:

    • 在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL中新增登入子機碼

    • 若要讓系統使用預設不會交涉的通訊協定(例如TLS 1.2),請在​ Protocols ​機碼下的下列登入機碼中,將DisabledByDefault值的DWORD值資料變更為0x0:

      SCHANNEL\Protocols\TLS 1.2\Client

      SCHANNEL\Protocols\TLS 1.2\Server

    停用SSL x.0

    SCHANNEL\Protocols\SSL 3.0\Client: DisabledByDefault: DWORD (32位元)值為1

    SCHANNEL\Protocols\SSL 3.0\Server:啟用: DWORD (32位元)值為0

  • 移除​ TRACE ​方法:

    在Apache ​上,在/etc/apache2/conf.d/security中編輯: TraceEnable Off

    在IIS (請參閱檔案)上,執行下列設定:

    • 請確定已安裝​ 要求篩選 ​角色服務或功能。
    • 在​ 要求篩選 ​窗格中,按一下HTTP動詞標籤,然後按一下[拒絕動詞]。 在「動作」窗格中,在開啟的對話方塊中輸入TRACE。
  • 移除橫幅:

    在Apache ​上,編輯/etc/apache2/conf.d/security:

    • ServerSignature 關閉
    • ServerToken Prod

    在IIS ​上,執行下列設定:

    • 安裝​ URLcan
    • 編輯​ Urlscan.ini ​檔案以使​ RemoveServerHeader=1
  • 限制查詢大小以防止重要檔案上傳:

    在Apache ​上,在/目錄中新增​ LimitRequestBody ​指示詞(位元組大小)。

    code language-none
    <Directory />
        Options FollowSymLinks
        AllowOverride None
        LimitRequestBody 10485760
    </Directory>
    

    在IIS (請參閱檔案)上,在內容篩選選項中設定​ maxAllowedContentLength (允許的最大內容長度)。

相關主題:

recommendation-more-help
601d79c3-e613-4db3-889a-ae959cd9e3e1