浮雲雅築: [研究]IIS 10.0 GCB，實測 Web.Config 多甚麼

2026年1月16日星期五

[研究]IIS 10.0 GCB，實測 Web.Config 多甚麼 - requireSSL="true"

2025-01-16

IIS 10.0 套用 GCB 後，有些會變更現有 Web.Config 設定，要回頭改 Source Code，否則下次 Deploy 後，GCB 設定會被覆蓋消失。

環境：Visual Studio 2022 + ASP.NET + WebForm + Web Application + C# + SQL Server 2019 + SQL Server Management Studio (SSMS) 20.2

********************************************************************************

Web.Config 多了 requireSSL="true"

<authentication mode="Windows">
            <forms cookieless="UseCookies" requireSSL="true" />
        </authentication>

這應該是 No.8 的

********************************************************************************

Windows Server 從Windows Server 2016開始，IIS為10.0版，後續 Windows Server 2019, Windows Server 2022, Windows Server 2025 也都是 10.0版，大版本號碼相同，小版本可能不同，畫面幾乎相同。

政府組態基準(Government Configuration Baseline，簡稱GCB)

TWGCB-04-014_Microsoft IIS 10政府組態基準說明文件v1.1_1141002

項次	TWGCB-ID	類別	原則設定名稱	說明	設定位置	設定路徑	GCB設定值
8	TWGCB-04-014-0008	設定驗證與授權	表單驗證需要 SSL	這項原則設定決定使用表單驗證時，是否須以 SSL 方式進行資料傳輸表單驗證會將使用者帳號與密碼以純文字格式傳送到伺服器，將可能導致使用者登入帳密資訊外洩，改採 SSL 連線方式保護登入資訊，有助於減少使用者資訊遭竊取之風險	站台	IIS 管理員\伺服器\站台\網站\管理\設定編輯器\動作\開啟功能\區段\system.web\authentication\forms\requireSSL	True