Iis

IIS 6.0 PCI 合規性 - “資訊洩露漏洞”

  • September 20, 2010

我們正在嘗試在我們的一些網站上通過 PCI 合規性。經過外部掃描,我們仍然有這個漏洞:

簡介: 遠端 Web 伺服器受到資訊洩露漏洞的影響。描述:遠端主機似乎正在執行一個 IIS 版本,該版本允許遠端使用者確定機密網頁需要哪些身份驗證方案。也就是說,通過故意使用無效憑據請求有效網頁,您可以確定身份驗證方案是否正在使用中。這可用於對已知 USerID 的暴力攻擊。

我們如何在 IIS 中解決這個問題?

謝謝

我們需要在站點的 IIS 屬性中取消選中“集成 Windows 身份驗證”:

  • 右鍵點擊IIS中的網站,點擊“屬性”
  • 點擊“目錄安全”選項卡
  • 在“身份驗證和訪問控制”下,點擊“編輯”
  • 在“經過身份驗證的訪問”下,取消選中“集成 Windows 身份驗證”

進行此更改後,我重新掃描,我們通過了合規性。

引用自:https://serverfault.com/questions/181892