[研究]IIS 10.0 GCB，實測 Web.Config 多甚麼 - HMACSHA256

[研究]IIS 10.0 GCB，實測 Web.Config 多甚麼 - HMACSHA256

2025-01-16

IIS 10.0 套用 GCB 後，有些會變更現有 Web.Config 設定，要回頭改 Source Code，否則下次 Deploy 後，GCB 設定會被覆蓋消失。

環境：Visual Studio 2022 + ASP.NET + WebForm + Web Application + C# + SQL Server 2019 + SQL Server Management Studio (SSMS) 20.2

【Web.Config 多了 <machineKey validation="HMACSHA256" />】

<configuration> <system.web> <compilation targetFramework="4.8" /> <httpRuntime targetFramework="4.8" /> <machineKey validation="HMACSHA256" /> </system.web> </configuration>

********************************************************************************

政府組態基準(Government Configuration Baseline，簡稱GCB)

TWGCB-04-014_Microsoft IIS 10政府組態基準說明文件v1.1_1141002

https://www.nics.nat.gov.tw/core_business/cybersecurity_defense/GCB/GCB_Documentation/

https://download.nics.nat.gov.tw/api/v4/file-service/UploadFile/attachfilegcb/TWGCB-04-014_Microsoft%20IIS%2010%E6%94%BF%E5%BA%9C%E7%B5%84%E6%85%8B%E5%9F%BA%E6%BA%96%E8%AA%AA%E6%98%8E%E6%96%87%E4%BB%B6v1.1_1141002.pdf

https://download.nics.nat.gov.tw/api/v4/file-service/UploadFile/attachfilegcb/TWGCB-04-014_Microsoft%20IIS%2010%E6%94%BF%E5%BA%9C%E7%B5%84%E6%85%8B%E5%9F%BA%E6%BA%96%E8%AA%AA%E6%98%8E%E6%96%87%E4%BB%B6v1.1_1141002.docx

項次	TWGCB-ID	類別	原則設定名稱	說明	設定位置	設定路徑	GCB設定值
21	TWGCB-04-014-0021	ASP.NET設定建議	電腦金鑰(ASP.NET 4.5)	▪這項原則設定決定ASP.NET 4.5環境之電腦金鑰使用何種驗證方式 ▪使用電腦金鑰，可設定加密及解密金鑰，用以協助保護表單驗證之Cookie資料與網頁層級的檢視狀態資料。電腦金鑰也可用來驗證跨處理序工作階段狀態識別 ▪系統採用ASP.NET 4.5版本時，支援下列驗證方法： (1)AES(金鑰長度可為128, 192或256位元) (2)MD5 (3)SHA1 (4)TripleDES(金鑰長度為192位元) (5)HMACSHA256 (6)HMACSHA384 (7)HMACSHA512 ▪ASP.NET 4.5環境預設電腦金鑰驗證方法為SHA256 ▪在變更.NET Framework版本設定中，分別有v2.0.x與v4.0.x兩種選項，「v4.0.x」表示.NET Framework版本包含4.5，則適用此項原則設定 ▪確認版本方式：IIS管理員\伺服器\動作\變更.NET Framework版本，開啟確認版本	站台	IIS管理員\伺服器\站台\網站\管理\設定編輯器\動作\開啟功能\區段\system.web\machineKey\validation	HMACSHA256、HMACSHA384或HMACSHA512

(完)

相關