セキュリティリスク？Microsoft-HTTPAPI / 2.0

セキュリティが私たちのマシンを調査している間に、1つのホストがポート80を介してインターネットにMicrosoft-HTTPAPI / 2.0サービスを公開していることがわかりました。

私はこれに精通していませんが、グーグル検索した後、SQL Server 2008がデフォルトでポート80でSQL Server Reporting Servicesを公開し、自身をHTTPAPI / 2.0として識別していることがわかりました。ホストはIIS7も実行しています。

これはおそらく世界に公開するべきものではないと思います。このサービスを公開することのセキュリティリスクに関する情報やアドバイスを誰かに教えてもらえますか？

Response Headers - http://#.#.#.#/
Content-Type: text/html; charset=us-ascii
Server: Microsoft-HTTPAPI/2.0
Date: Mon, 10 Aug 2009 10:44:25 GMT
Connection: close
Content-Length: 315

404 Not Found

公開する正当な理由がない場合は、公開しないでください。ちなみに、この記事に興味を持って公開するかどうかを決めることができます

このためのエクスプロイトデータベースで脆弱性を探してみてください

応答のサーバーヘッダーが「Microsoft-HttpApi / 2.0」を返す場合、HTTP.sysがIISの代わりに呼び出されていることを意味します。エクスプロイトおよびポートスキャンでは、これをIISサーバーのフィンガープリントの手段として使用します（サーバーヘッダーを非表示にしている場合でも）。

これをテストするには、CURLを使用してエラーをスローします。

curl -v http://www.yourdomain.com/ -H "Range: bytes=00-18446744073709551615"

サーバーがヘッダーを送信している場合は、次のようになります。

HTTP/1.1 400 Bad Request
Content-Type: text/html; charset=us-ascii
Server: Microsoft-HTTPAPI/2.0
Date: Thu, 19 Dec 2019 00:45:40 GMT
Connection: close
Content-Length: 339

レジストリ値を追加して、HTTP.sysにヘッダーが含まれないようにすることができます。

• Regeditを開く
• 次の場所に移動します：Computer \ HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ HTTP \ Parameters
• DisableServerHeaderが存在しない場合は、作成して（DWORD 32ビット）、値を2にします。存在していて、値が2でない場合は、2に設定します。
• サーバーを再起動するか、「net stop http」、次に「net start http」を呼び出してHTTPサービスを再起動します

参照：WS / WCF：サーバーヘッダーの削除

レジストリキーを追加すると、応答は次のようになります。

HTTP/1.1 400 Bad Request
Content-Type: text/html; charset=us-ascii
Date: Thu, 19 Dec 2019 00:45:40 GMT
Connection: close
Content-Length: 339

これを必要とする人が見つけられるようにここに投稿します。（ありがとう、オラム！）

このサーバー応答ヘッダーの最も一般的な原因は、IISが提供するWebサイトを決定できない場合です。

次の両方に該当する場合、IISはこのServerヘッダーで応答します

• リクエストに認識できないホストヘッダーが含まれています
• デフォルトのウェブサイトは設定されていません

または、IISが配信しようとしているWebサイトの構成が誤っている場合、その構成は無視され、存在しないと見なされ、同じ効果があります。