インターネットインフォメーションサービス ( IIS ) は、Windows オペレーティングシステム用に Microsoft が提供する Web サービスコンポーネントです。 IIS は、Web サイトや FTP サービスなど、Windows オペレーティングシステムで Web サービスを構築するための一連の機能を提供します。このトピックでは、IIS Web サービスのレスポンスヘッダーでサーバーのバージョンを非表示にする方法について説明します。
背景情報
デフォルトでは、Windows Server オペレーティングシステムの IIS Web サービスのレスポンスヘッダーには、サーバーのバージョンが含まれています。攻撃者は、既知の脆弱性を悪用して、サーバーのバージョンに基づいてサービスを攻撃する可能性があります。デフォルトの IIS 構成を変更することで、サーバーのバージョンを非表示にすることができます。
手順
インスタンスの構成を変更する前に、構成ファイルをバックアップするか、スナップショットを作成してデータのセキュリティを確保してください。
次のセクションでは、URL Rewrite コンポーネントを使用して、IIS Web サービスのレスポンスヘッダーで IIS サーバーのバージョンを非表示にする方法について説明します。この例では、IIS 10.0 を使用しています。
URL Rewriteコンポーネントがインストールされているかどうかを確認します。Windows Server インスタンスで、[サーバー マネージャー] を開き、左側のナビゲーションウィンドウで [IIS] をクリックします。
[サーバー] セクションで、サーバー名を右クリックし、[インターネットインフォメーションサービス ( IIS ) マネージャー] を選択します。
[インターネットインフォメーションサービス ( IIS ) マネージャー] ウィンドウの左側のナビゲーションウィンドウで、管理するサーバーの名前をクリックします。右側の [ IIS ] タブに [URL Rewrite] コンポーネントが表示されている場合は、URL Rewrite コンポーネントがインストールされています。[URL Rewrite] コンポーネントが表示されない場合は、コンポーネントをインストールします。詳細については、「URL Rewrite: The Official Microsoft IIS Site」をご参照ください。
レスポンスヘッダーで
IISサーバーのバージョンを非表示にするように IIS 構成ファイルを変更します。[インターネットインフォメーションサービス ( IIS ) マネージャー] ウィンドウで、サーバー名をクリックし、[サイト] をクリックし、Web サイトを選択して、右側の [参照] をクリックして Web サイトのルートディレクトリを開きます。
ルートディレクトリに新しい
web.config構成ファイルを作成するか、既存のファイルを開きます。web.config 構成ファイルを作成し、次のコードを追加します。
既存の web.config 構成ファイルを開き、既存のコンテンツに基づいて次の XML 構成を追加します。変更後の構成ファイルが XML 形式の要件を満たしていることを確認してください。
<?xml version="1.0" encoding="utf-8"?> <configuration> <location path="." inheritInChildApplications="false"> <system.webServer> <rewrite> <outboundRules> <rule name="REMOVE_RESPONSE_SERVER">
変更が有効になっているかどうかを確認します。
ブラウザを使用して Web サイトにアクセスし、開発者ツールを使用して、レスポンスヘッダーの
IIS serverバージョンが空であるかどうかを確認します。次の図のレスポンスヘッダーは、IIS サーバーのバージョンが非表示になっていることを示しています。