Recentemente, um auditor de terceiros realizou um teste de penetração em nosso servidor da Web do MS 2008 que descobriu a vulnerabilidade de detecção remota do SO. Ele detectou o sistema operacional e a versão do IIS.
Os Auditores recomendaram: "se Possível, configure o servidor web para que ele não apresente informações identificáveis nos banners"
Eu fiz um pouco de pesquisa e não consegui encontrar nenhuma maneira fácil que permita bloquear rapidamente que essas informações sejam detectadas.
Alguém sabe de alguma maneira de fazer isso? Isso é algo que precisa ser configurado / negado no nível do servidor ou no nível do aplicativo da web dentro do código?
Você pode (entre outros recursos) remover o cabeçalho Server: das respostas HTTP com UrlScan . Veja a referência de configuração para opções.
Para remover o cabeçalho X-Powered-By: , no gerenciador do IIS, selecione o recurso Cabeçalho de resposta HTTP e remova a entrada do ASP.NET