正如您从标签中看到的那样，我知道默默无闻的安全并不是真正的安全。

因此，请考虑仅在电信提供商的拨号范围内的固定 IP 地址的端口 443 (SSL) 上可用于 Internet 的服务器。当 https'ed 时，它会显示一个IIS 8欢迎页面。只能通过 IP 地址访问服务器，没有 DNS 条目（ip-<ip>.customers.provider.com为提供商范围内的每个 IP 地址设置的常规条目除外）。IP 地址存储在 Windows Phone、iOS 和 Android 设备的邮件帐户中，并从具有 Google、Bing和 Yahoo 自动搜索功能的浏览器输入，因此在技术上为 Google、Apple、Yahoo 和 Microsoft 以及可能的其他第三方所知方应用程序供应商，如果他们可以从他们的应用程序访问邮件帐户设置。

而且它是用来浏览互联网和写电子邮件的，并且存储在许多服务器日志中等等，尤其是在需要登录的站点上，例如Stack Exchange，你可以很容易地看到它是一个固定 IP 地址，因为过去两年 IP 地址一直与同一个用户名绑定。

在该 IIS 服务器上，OWA 和ActiveSync正在运行。两者都需要从任何地方访问邮件。这些是我希望在 IIS 服务器上使用的应用程序，当我看到 IIS 欢迎页面时首先尝试。

除了定期进行 Windows/Exchange 更新、使用硬密码、向所有员工介绍网络钓鱼和社会工程的概念，并希望我们的电子邮件不够有趣，不足以证明针对我们的全面攻击是合理的之外，是否有意义通过将“裸”HTTPS 请求返回的页面更改为与“它可以工作！”无法区分的页面（包括所有标头）来“保护”服务器。阿帕奇页面？

我可以使用一些很好的论点，让最初提出这个想法的 CEO 可以理解。

编辑：不，我不需要获得最高管理层对安全性的支持。CEO 似乎已经很在意安全了，否则他不会想出这样的“改进”想法。我不是一个有证书的安全人员，只是一个关心的公民，主要是开发人员，兼职服务器管理员。我们公司没有真正的保安人员；我们现在是四个人。

由于我兼职做服务器管理，我被要求更换服务器。但在我深入了解如何更改 IIS 中的默认标头的信息之前，我想质疑整个“项目”......