IIS 6.0 PCI 合规性 - “信息泄露漏洞”

IIS 6.0 PCI 合规性 - “信息泄露漏洞”

我们正在尝试让一些网站通过 PCI 合规性认证。经过外部扫描后,我们仍存在以下漏洞:

摘要:远程 Web 服务器受到信息泄露漏洞的影响。说明:远程主机似乎正在运行 IIS 的一个版本,该版本允许远程用户确定机密网页需要哪些身份验证方案。也就是说,通过使用故意无效的凭据请求有效的网页,您可以确定是否正在使用身份验证方案。这可用于对已知用户 ID 进行暴力攻击。

我们如何在 IIS 中解决这个问题?

谢谢

答案1

我们需要在站点的 IIS 属性中取消选中“集成 Windows 身份验证”:

  • 在 IIS 中右键单击该网站,单击“属性”
  • 点击“目录安全”选项卡
  • 在“身份验证和访问控制”下,单击“编辑”
  • 在“经过身份验证的访问”下,取消选中“集成 Windows 身份验证”

做出此更改后,我重新进行了扫描,并且我们通过了合规检查。

相关内容