Hardening IIS Web Server Part 1

0
895
@mvpskill.com
@mvpskill.com

Removed Default Error Page that Show IIS (Custom Error Page)

Default Error คือการแสดงผลจากหน้า Website เพื่อบอกว่ามีการใช้งาน Web Server รุ่นอะไรอยู่ Admin ควรจะต้องปิดเพื่อไม่ให้ Hacker เห็นจะได้โจมตียากขึ้น จากรูปที่แสดงด้านล่างเป็น Default Config ของ IIS ทำให้เห็นว่าใช้ IIS Version อะไร และติดตั้งอยู่ที่ Path ไหน

Hardening IIS Web Server, IIS Remove Server Banner, IIS Hiden Signature

 

วิธีปิดแก้ได้ 2 ที่คือ สร้างไฟล์ Error พิเศษขึ้นมาเพื่อให้แสดงผลน้อยลง

1. แก้ไขที่ไฟล์ Web.config ให้แสดงผล Error ไปยังไฟล์อื่น

ตัวอย่าง

<configuration>

<system.web>

<customErrors mode=”On” defaultRedirect=”apperror.aspx”>

<error statusCode=”404″ redirect=”404.aspx” />

<error statusCode=”500″ redirect=”500.aspx” />

</customErrors>

</system.web>

</configuration>

2. ให้ชี้ Error ไปที่ File อื่นแทน

Hardening IIS Web Server, IIS Remove Server Banner, IIS Hiden Signature

Hardening IIS Web Server, IIS Remove Server Banner, IIS Hiden Signature

ผมสร้างไฟล์ 404.htm แล้วเขียน Custom error ว่าแค่ 404 ครับ จะได้ไม่เห็นข้อมูลอะไรบน Server มาก

เวลาที่ Server Error ก็จะ Reply Information แค่นี้

Hardening IIS Web Server, IIS Remove Server Banner, IIS Hiden Signature

การปรับแต่งเพื่อ ซ่อน IIS Signature หรือ Banner

วิธีลบ Remove X-Powered By ASP.NET Http Header

ที่ HTTP Response Headers จะต้องไม่มี X-Powered By ASP.NET ถ้ามีให้กด Remove ออกได้เลย

Hardening IIS Web Server, IIS Remove Server Banner, IIS Hiden Signature

หรือจะใส่ค่าหลอกให้เป็นอย่างอื่นก็ได้เช่น

Hardening IIS Web Server, IIS Remove Server Banner, IIS Hiden Signature

อันนี้ลองแกล้งเปลี่ยนเป็น Apache Web Server ดูครับ

Hardening IIS Web Server, IIS Remove Server Banner, IIS Hiden Signature

ลองตรวจสอบด้วยโปรแกรม Google Chrome ที่ติดตั้ง Plugin HTTP Headers จะพบแบบนี้ครับ

Hardening IIS Web Server, IIS Remove Server Banner, IIS Hiden Signature