我们正在尝试让一些网站通过 PCI 合规性认证。经过外部扫描后,我们仍存在以下漏洞:
摘要:远程 Web 服务器受到信息泄露漏洞的影响。说明:远程主机似乎正在运行 IIS 的一个版本,该版本允许远程用户确定机密网页需要哪些身份验证方案。也就是说,通过使用故意无效的凭据请求有效的网页,您可以确定是否正在使用身份验证方案。这可用于对已知用户 ID 进行暴力攻击。
我们如何在 IIS 中解决这个问题?
谢谢
答案1
我们需要在站点的 IIS 属性中取消选中“集成 Windows 身份验证”:
- 在 IIS 中右键单击该网站,单击“属性”
- 点击“目录安全”选项卡
- 在“身份验证和访问控制”下,单击“编辑”
- 在“经过身份验证的访问”下,取消选中“集成 Windows 身份验证”
做出此更改后,我重新进行了扫描,并且我们通过了合规检查。