【漏洞背景说明】

Internet Information Services（IIS，互联网信息服务）是由微软公司提供的基于运行Microsoft Windows的互联网基本服务。

Microsoft IIS在实现上存在文件枚举漏洞，攻击者可利用此漏洞枚举网络服务器根目录中的文件。

危害：攻击者可以利用“~”字符猜解或遍历服务器中的文件名，或对IIS服务器中的.Net Framework进行拒绝服务攻击。

IIS短文件名是操作系统设置问题，不是云星空问题，修复建议百度搜索“IIS短文件名泄露漏洞修复”关键词可以获取很多解决方案。

【场景介绍】

为了防范此类安全漏洞问题，和帮助客户现场快速配置和通过第三方安全扫描工具认证。金蝶云星空在V7.X版本后，根据用户反馈的安全漏洞问题，陆续增加站点安全配置参数，不断加强星空产品访问安全。

安全参数生效产品版本：7.6.0.202105 / PT-146876及以上版本（构建号：7.6.2171.1）

【手工处理与解决方案】

请升级金蝶云星空环境到安全参数生效产品版本，并对安全参数进行配置，重启IIS后生效。

【详细操作】

1. CMD关闭NTFS 8.3文件格式的支持

命令行：fsutil 8dot3name set 1

2. 修改注册表禁用短文件名功能

CMD输入regedit回车，在注册表中找到

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem，

将其中的 NtfsDisable8dot3NameCreation这一项的值设为 1；

（以上需要重启系统生效）

3. 修改IIS根节点的请求筛选-拒绝序列-URL，增加拒绝的url为~的请求

设置参考下图：