：如何隱藏IIS Web服務回應標頭中的IIS Server版本資訊

背景資訊

Windows Server上的IIS Web服務預設會在響應體中包含IIS版本資訊，這可能帶來安全隱患，攻擊者可能利用已知漏洞攻擊您的服務。您可以通過修改IIS預設配置隱藏版本資訊。

操作步驟

以下樣本以IIS 10.0版本為例，為您介紹如何通過URL Rewrite組件隱藏IISWeb服務回應標頭中的IIS服務版本資訊。

1. 查看是否安裝URL Rewrite組件。

   1. 在您的Windows Server執行個體中，開啟伺服器管理員，單擊左側的IIS菜單。

   2. 在右側伺服器地區，按右鍵相應的伺服器名稱，然後在彈出的菜單中單擊Internet Information Services（IIS）管理器。

      

   3. 在開啟的Internet Information Services（IIS）管理器頁面左側，單擊您想要管理的伺服器名稱。如果在右側IIS頁簽中找到URL Rewrite組件，則表明已安裝URL Rewrite組件。如未找到，請參閱微軟官方文檔安裝URL Rewrite組件，具體操作，請參見URL Rewrite : The Official Microsoft IIS Site。

2. 修改IIS設定檔以隱藏回應標頭中的IIS版本資訊。

   1. 在Internet Information Services（IIS）管理器頁面的左側依次單擊伺服器名稱、網站、並最終選中您的網站，然後在右側點擊瀏覽以開啟網站根目錄。

      

   2. 在網站根目錄中建立或開啟web.config設定檔。

      1. 建立設定檔：請在設定檔中添加如下內容。

      2. 開啟已有設定檔：請根據現有內容新增下述XML配置項，並確保修改後的設定檔符合XML格式要求。

         <?xml version="1.0" encoding="utf-8"?>
         <configuration>
            <location path="." inheritInChildApplications="false">
                <system.webServer>
                    <rewrite>
                        <outboundRules>
                            <rule name="REMOVE_RESPONSE_SERVER">
                                <match serverVariable="RESPONSE_SERVER" pattern=".*" />
                                <action type="Rewrite" />
                            </rule>
                        </outboundRules>
                    </rewrite>
                </system.webServer>
            </location>
         </configuration>

3. 驗證配置是否生效。

   通過瀏覽器訪問網站頁面，並使用開發人員工具查看回應標頭中的IIS SERVER版本資訊是否為空白。如下圖所示，表明配置生效。

   

相關文檔

• 您可以參見如下文檔，以瞭解如何為IIS服務配置多網站。

• 如果您在使用IIS服務的過程中遇到問題，可以參考IIS Web網站訪問故障。