none
设置统一的错误处理页面 RRS feed

  • 问题

  • exchange iis网页错误页显示代码,安全漏扫工具提示需要设置统一的错误处理页面,有没有什么好的解决方案


    2021年4月9日 5:22

全部回复

  • 您好,

    为了您的安全考虑,首先请您编辑一下您提供的截图,把域名等私人信息打码以防止泄露。

    您提供的这个截图应该是安全软件的截图,请问您在使用Exchange时有遇到这个错误么,或者打开了哪个网页会遇到这个错误?

    根据我的理解,这个漏洞的意思应该是需要您手动去修改这个Web.config文件设置一个统一的错误页面,来防止攻击者将web.config文件设置为他自己的可能带有病毒的页面。

    并且请问您的这个网页:https://mail.xxxx.com.cn 是您的服务器FQDN么?也就是server.domain.com这样的。

    我在我的环境中也尝试打开了这个网页(Https://ex1.contoso.com/....),并且遇到了这个报错:

    然后根据我的研究,是因为URL路径中不允许使用*和一些特定的字符,会导致出现这个错误。

    但这个问题也不会影响Exchange的运行,如果有其他实际的错误的话,请您分享一些关于这些错误的信息。

    此致,

    Lou


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    2021年4月9日 7:42
  • 非常感谢您的提醒!

    exchange目前运行和owa访问都是正常的,mail是一个a记录,对应的是两台cas服务器,由于错误页返回了一些代码信息,安全部门觉得存在安全隐患,可能会被攻击者进一步利用攻击,安全部门建议设置统一的错误处理页面,针对这种可以通过重定向设置错误页方式实现吗

    2021年4月9日 9:05
  • 您好,

    不客气,这样的话我觉得您可以按照那个安全软件给出的方法,在Web.config里通过添加一行命令来设置这个错误处理页面,重定向应该也开始实现,但是我不确定在不知道错误网页URL的情况下重定向是否比较合适。

    您可以尝试一下截图里的那个方法,我认为是比较合理的。

    并且安全方面的话,您是否安装了微软3月份给出的针对Hafnium的安全更新?也就是KB5000871,Exchange2013的话需要安装本次的补丁,Exchange2016和2019的话您可以考虑升级到最新的CU版本。

    Released: March 2021 Exchange Server Security Updates

    希望这些能够有所帮助。

    祝您周末愉快!

    此致,

    Lou


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    • 已建议为答案 ZhengqiLou 2021年4月12日 9:12
    2021年4月9日 9:22