IIS服务器安全配置基线.docx
《IIS服务器安全配置基线.docx》由会员分享,可在线阅读,更多相关《IIS服务器安全配置基线.docx(25页珍藏版)》请在冰豆网上搜索。
IIS服务器安全配置基线
IIS服务器安全配置基线
中国移动通信有限公司管理信息系统部
2012年04月
版本
版本控制信息
更新日期
更新人
审批人
V1.0
创建
2009年1月
V2.0
更新
2012年4月
备注:
1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
2.
第1章概述
第2章
2.1目的
2.2
本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的IIS服务器应当遵循的安全性设置标准,本文档旨在指导系统管理人员进行IIS服务器的安全配置。
2.3适用范围
2.4
本配置标准的使用者包括:
服务器系统管理员、应用管理员、网络安全管理员。
本配置标准适用的范围包括:
中国移动总部和各省公司信息化部门维护管理的IIS服务器系统。
2.5适用版本
2.6
5.0、6.0、7.0、2003等版本。
2.7实施
2.8
本标准的解释权和修改权属于中国移动集团管理信息系统部,在本标准的执行过程中若有任何疑问或建议,应及时反馈。
本标准发布之日起生效。
2.9例外条款
2.10
欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交中国移动通信有限公司管理信息系统部进行审批备案。
第3章帐号管理、认证授权
第4章
4.1帐号
4.2
4.2.1避免帐号共享*
安全基线项目名称
IIS帐号共享安全基线要求项
安全基线编号
SBL-IIS-02-01-01
安全基线项说明
应按照用户分配帐号。
避免不同用户间共享帐号。
避免用户帐号和设备间通信使用的帐号共享(对于IIS用户定义分为两个层次:
一、IIS自身操作用户,二、IIS发布应用访问用户)
检测操作步骤
1、参考配置操作
进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”:
根据系统的要求,设定不同的帐户和帐户组.对应设置IIS系统管理员的权限。
进入IIS管理器->相应网站“属性”->“目录安全性”->“身份访问及访问控制”:
其中分为“匿名访问身份”及“基本(Basic)验证”。
“基本(Basic)验证”包含:
“集成windows身份验证”、“Windows域服务器的摘要身份验证”、“基本身份验证”、“.NETPassport身份验证”;可依据业务应用安全特性,相应配置。
基线符合性判定依据
1、判定条件
结合要求和实际业务情况判断符合要求,根据系统的要求,设定不同的帐户和帐户组。
2、检测操作
进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”:
查看根据系统的要求,设定不同的帐户和帐户组。
进入IIS管理器->相应网站“属性”->“目录安全性”->“身份访问及访问控制”查看相应配置。
备注
手工判断
4.2.2删除或锁定无关帐号*
安全基线项目名称
IIS无关帐号安全基线要求项
安全基线编号
SBL-IIS-02-01-02
安全基线项说明
应删除或锁定与设备运行、维护等工作无关的帐号(对于IIS用户定义分为两个层次:
一、IIS自身操作用户,二、IIS发布应用访问用户;对于删除无用帐号可参考Windows操作系统无用帐号的删除)
检测操作步骤
1、参考配置操作
进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”:
删除或锁定与设备运行、维护等与工作无关的帐号。
基线符合性判定依据
1、判定条件
结合要求和实际业务情况判断符合要求,删除或锁定与设备运行、维护等与工作无关的帐号。
2、检测操作
进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”:
查看是否删除或锁定与设备运行、维护等与工作无关的帐号。
备注
手工判断
4.3口令
4.4
4.4.1密码复杂度
安全基线项目名称
IIS密码复杂度安全基线要求项
安全基线编号
SBL-IIS-02-02-01
安全基线项说明
对于采用静态口令认证技术的设备,口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号四类中至少两类。
且5次以内不得设置相同的口令。
(IIS基于Windows系统,可通过提升Windows自身密码安全等级实现)
检测操作步骤
1、参考配置操作
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”:
“密码必须符合复杂性要求”选择“已启动”
基线符合性判定依据
1、判定条件
“密码必须符合复杂性要求”选择“已启动”
2、检测操作
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”:
查看是否“密码必须符合复杂性要求”选择“已启动”
备注
4.4.2密码生存期
安全基线项目名称
IIS密码生存期安全基线要求项
安全基线编号
SBL-IIS-02-02-02
安全基线项说明
对于采用静态口令认证技术的设备,维护人员使用的帐户口令的生存期不长于90天(IIS基于Windows系统,可通过提升Windows帐户策略实现)
检测操作步骤
1、参考配置操作
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”:
“密码最长存留期”设置为“90天”
基线符合性判定依据
1、判定条件
“密码最长存留期”设置为“90天”
2、检测操作
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”:
查看是否“密码最长存留期”设置为“90天”
备注
4.4.3密码更改
安全基线项目名称
IIS密码更改安全基线要求项
安全基线编号
SBL-IIS-02-02-03
安全基线项说明
对于采用静态口令认证技术的设备,应配置设备,使用户不能重复使用最近5次(含5次)内已使用的口令(IIS基于Windows系统,可通过提升Windows帐户策略实现)
检测操作步骤
1、参考配置操作
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”:
“强制密码历史”设置为“记住5个密码”
基线符合性判定依据
1、判定条件
“强制密码历史”设置为“记住5个密码”
2、检测操作
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”:
查看是否“强制密码历史”设置为“记住5个密码”
备注
4.5授权
4.6
4.6.1用户权利指派*
安全基线项目名称
IIS用户权利指派安全基线要求项
安全基线编号
SBL-IIS-02-03-01
安全基线项说明
在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权限(对于IIS用户定义分为两个层次:
一、IIS自身操作用户,二、IIS发布应用访问用户;设备权限的配置基于上述两方面考虑)
检测操作步骤
1、参考配置操作
原理:
(1)文件夹和文件的访问权限:
安放在NTFS文件系统上的文件夹和文件,一方面要对其权限加以控制,对不同的用户组和用户进行不同的权限设置;另外,可利用NTFS的审核功能对某些特定用户组成员读文件的企图等方面进行审核,有效地通过监视如文件访问、用户对象的使用等发现非法用户进行非法活动的前兆,及时加以预防制止。
(2)目录的访问权限:
已经设置成Web目录的文件夹,可以通过操作Web站点属性页面实现对www目录访问权限的控制,而该目录下的所有文件和子文件夹都将继承这些安全性。
www服务除了提供NTFS文件系统提供的权限外,还提供读取权限,允许用户读取或下载WWW目录中的文件;执行权限,允许用户运行www目录下的程序和脚本。
具体操作:
(1)启动“域用户管理器”-> “规则”选单下的“审核”选项-> “审核规则”
(2)启动ISM(Internet服务器管理器)-> 启动Web属性页面并选择“目录”选项卡;-> 选择www目录;-> 选择“编辑属性”中的“目录属性”进行设置:
“脚本资源访问”、“读取”、“写入”、“目录浏览”、“记录访问”、“索引资源”。
基线符合性判定依据
1、判定条件
检测用户权限审核及ISM目录安全属性。
2、检测操作
(1)启动“域用户管理器”-> “规则”选单下的“审核”选项-> “审核规则”,检测 “审核规则”配置状态。
(2)启动ISM(Internet服务器管理器)-> 启动Web属性页面并选择“目录”选项卡;-> 选择www目录;-> “编辑属性”中的“目录属性”,查看配置状态。
备注
手工判断
第5章日志要求
第6章
6.1日志配置
6.2
6.2.1启用日志功能
安全基线项目名称
IIS启用日志功能安全基线要求项
安全基线编号
SBL-IIS-03-01-01
安全基线项说明
启用日志功能
检测操作步骤
1、参考配置操作
打开IIS管理工具,右击要管理的站点,选择“属性”。
在“WebSite”选择“启用日志记录”,从下拉菜单中选择“MicrosotfIIS日志文件格式”。
“W3C”日志格式存在日志记录时间与服务器时间不统一的问题,所以应尽量采用IIS日志格式。
基线符合性判定依据
1、判定条件
启用日志记录,并采用IIS日志格式。
2、检测操作
开始->管理工具->Internet信息服务(IIS)管理器选择相应的站点,然后右键点击“属性”检查是否“启用日志记录”并采用“MicrosotfIIS日志文件格式”。
备注
6.2.2更改日志存放路径
安全基线项目名称
IIS日志存放路径安全基线要求项
安全基线编号
SBL-IIS-03-01-02
安全基线项说明
更改IISWeb日志默认存放路径
检测操作步骤
1、参考配置操作
将IIS的网页访问日志独立存放在一个独立的分区中,并且系统管理员要定期对该目录进行查看和维护,确保日志内容不会溢出,并可以及早的发现网络异常行为。
基线符合性判定依据
1、判定条件
IIS的网页访问日志独立存放在一个独立的分区中
2、检测操作
进入“开始->管理工具->资源管理器”,查看日志文件存放路径。
备注
6.2.3记录安全事件
安全基线项目名称
IIS记录安全事件安全基线要求项
安全基线编号
SBL-IIS-03-01-03
安全基线项说明
设备应配置日志功能,记录与设备相关的安全事件。
检测操作步骤
1、参考配置操作
(1)进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中配置相应“审核对象访问”、“审核目录服务器访问”、“审核系统事件”、“审核帐号管理”、“审核过程追踪”选项。
(2)运行IIS管理器->“Internet信息服务”->“应用相关站点”属性->“网站”->“属性”->“高级”,选择“时间”、“日期”、“扩展属性”是否选择
基线符合性判定依据
1、判定条件
确定系统相关“审核策略”。
确定IIS相关“站点属性”日志详细记录。
2、检测操作
进入“控制面板->管理工具->本地安全策略”,查看“本地策略->审核策略”配置“成功”、“失败”的选择记录。
备注
6.2.4日志访问权限
安全基线项目名称
IIS日志访问权限安全基线要求项
安全基线编号
SBL-IIS-03-01-04
安全基线项说明
设备应配置权限,控制对日志文件读取、修改和删除等操作。
检测操作步骤
1、参考配置操作
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中配置相应“审核策略更改”配置相应选项。
基线符合性判定依据
1、判定条件
确定系统相关“审核策略”
2、检测操作
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中配置相应“审核策略更改”选项选择状态。
备注
第7章IP协议安全配置操作
第8章
8.1IP协议
8.2
8.2.1IP访问限制*
安全基线项目名称
IISIP访问限制安全基线要求项
安全基线编号
SBL-IIS-04-01-01
安全基线项说明
在条件允许的条件下,对IIS访问源进行IP范围限制。
只有在允许的IP范围内的主机才可以访问WWW服务。
检测操作步骤
1、参考配置操作
2、
开始->管理工具->Internet信息服务(IIS)管理器选择相应的站点,然后右键点击“属性”
基线符合性判定依据
1、判定条件
需要限制访问源的话进行ip范围限制。
2、检测操作
开始->管理工具->Internet信息服务(IIS)管理器选择相应的站点,然后右键点击“属性”。
检查是否进行了ip的限制。
备注
手工判断
8.2.2IP转发安全性
安全基线项目名称
IISIP转发安全基线要求项
安全基线编号
SBL-IIS-04-01-02
安全基线项说明
IP转发的安全性
检测操作步骤
1、参考配置操作
IIS服务可提供IP数据包转发功能,此时,充当路由器角色的IIS服务器将会把从Internet接口收到的IP数据包转发到内部网中,以此提升IIS服务安全性。
IIS服务器启动“网络属性”->“协议”选项卡->在“TCP/IP属性”中去除“路由选择”选项。
基线符合性判定依据
1、判定条件
判断IIS所属服务器“路由选择”选项状态。
2、检测操作
IIS服务器启动“网络属性”->“协议”选项卡->在“TCP/IP属性”查看“路由选择”选项。
备注
8.2.3SSL身份认证*
安全基线项目名称
IISSSL身份认证安全基线要求项
安全基线编号
SBL-IIS-04-01-03
安全基线项说明
IIS服务SSL身份访问认证
检测操作步骤
1、参考配置操作
IIS的身份认证除了匿名访问、基本验证和WindowsNT请求/响应方式外,还有一种安全性更高的认证:
通过SSL(SecuritySocketLayer)安全机制使用数字证书,以此提升IIS应用的身份访问安全性。
启动“Internet信息服务”->“Web站点的属性页”->“目录安全性”选项->单击“密钥管理器”通过密钥管理器生成密钥对文件和请求文件;从身份认证权限中申请一个证书; 通过密钥管理器在服务器上安装证书激活Web站点的SSL安全性。
基线符合性判定依据
1、判定条件
登录“Internet信息服务”->“Web站点的属性页”->“目录安全性”->“编辑”查看SSL相应选项选择状态。
2、检测操作
(1)登录“Internet信息服务”->“Web站点的属性页”->“目录安全性”->“编辑”查看SSL相应选项选择状态。
(2)配置相应SSL身份认证后,分别以普通身份及基于SSL证书方式分别登录Web应用,查看登录状态。
备注
手工判断
第9章设备其他安全功能要求
第10章
10.1屏幕保护
10.2
10.2.1屏幕保护配置
安全基线项目名称
IIS屏幕保护安全基线要求项
安全基线编号
SBL-IIS-05-01-01
安全基线项说明
对于具备图形界面(含WEB界面)的设备,应配置定时自动屏幕锁定(参考Windows相关配置:
设置带密码的屏幕保护,并将时间设定为5分钟。
)
检测操作步骤
1、参考配置操作
进入“控制面板->显示->屏幕保护程序”:
启用屏幕保护程序,设置等待时间为“5分钟”,启用“在恢复时使用密码保护”
基线符合性判定依据
1、判定条件
启用屏幕保护程序,设置等待时间为“5分钟”,启用“在恢复时使用密码保护”。
2、检测操作
进入“控制面板->显示->屏幕保护程序”:
查看是否启用屏幕保护程序,设置等待时间为“5分钟”,启用“在恢复时使用密码保护”。
备注
10.3文件系统及访问权限
10.4
10.4.1更改IIS安装路径
安全基线项目名称
IIS安装路径安全基线要求项
安全基线编号
SBL-IIS-05-02-01
安全基线项说明
更改IIS默认安装路径。
检测操作步骤
1、参考配置操作
2、
开始->管理工具->Internet信息服务(IIS)管理器选择相应的站点,然后右键点击“属性”。
IIS安装后的默认主目录是“%system%Inetpubwwwroot”,为更好地抵抗踩点、刺探等攻击行为,应该更改主目录位置,如下图所示:
基线符合性判定依据
1、判定条件
更改IIS默认安装路径。
2、检测操作
开始->管理工具->Internet信息服务(IIS)管理器选择相应的站点,然后右键点击“属性”。
查看是否更改IIS默认安装路径。
备注
10.4.2删除风险文件*
安全基线项目名称
IIS风险文件安全基线要求项
安全基线编号
SBL-IIS-05-02-02
安全基线项说明
文件安全配置要求:
删除可能带来风险的实例文件。
检测操作步骤
1、参考配置操作(仅针对IIS5.0,IIS6.0已经默认删除)
进入相应目录,删除实例文件
IISc:
\inetpub\iissamples
AdminScriptsc:
\inetpub\scripts
AdminSamples%systemroot%\system32\inetsrv\adminsamples
IISADMPWD%systemroot%\system32\inetsrv\iisadmpwd
IISADMIN%systemroot%\system32\inetsrv\iisadmin
Dataaccessc:
\ProgramFiles\CommonFiles\System\msadc\Samples
MSADCc:
\programfiles\commonfiles\system\msadc
基线符合性判定依据
1、判定条件
删除可能带来风险的实例文件。
2、检测操作
进入c:
\inetpub;c:
\ProgramFiles\CommonFiles\System\msadc\Samples查看是否删除可能带来风险的实例文件。
备注
手工判断
10.4.3删除非必要脚本映射*
安全基线项目名称
IIS脚本映射安全基线要求项
安全基线编号
SBL-IIS-05-02-03
安全基线项说明
文件安全配置要求:
删除不必要的脚本映射。
检测操作步骤
1、参考配置操作
开始->管理工具->Internet信息服务(IIS)管理器选择相应的站点,然后右键点击“属性”-〉编辑-〉根目录-〉配置,然后从列表中删除以下不必要的脚本,包括:
.htr、idc、.stm、.shtm、.shtml、.printer、.htw、.ida和.idq。
删除的原则:
只保留需要的脚本映射。
配置方法:
从“Internet服务管理器”中:
选择计算机名,点鼠标右键,选择属性:
然后选择编辑:
然后选择主目录,点击配置:
选择需要删除的扩展名,点击删除:
(以下图示仅供参考,依据实际需求操作)
基线符合性判定依据
1、判定条件
删除不必要的脚本映射。
2、检测操作
开始->管理工具->Internet信息服务(IIS)管理器选择相应的站点,然后右键点击“属性”-〉编辑-〉根目录-〉配置:
查看是否删除不必要的脚本映射。
备注
手工判断
10.4.4按帐户分配日志访问权限*
安全基线项目名称
IIS按帐户分配日志权限安全基线要求项
安全基线编号
SBL-IIS-05-02-04
安全基线项说明
按帐号分配日志文件读取、修改和删除权限,从而防止日志文件被篡改或非法删除。
检测操作步骤
1、参考配置操作
通过“资源管理器”,修改文件权限,除管理员组用户外,其他用户不得修改、删除日志文件。
基线符合性判定依据
1、判定条件
非管理员组的用户不得修改、删除日志文件。
2、检测操作
资源管理器->日志文件->“属性”。
备注
手工判断
10.5补丁管理
10.6
10.6.1升级补丁*
安全基线项目名称
IIS补丁升级安全基线要求项
安全基线编号
SBL-IIS-05-03-01
安全基线项说明
如需启用IIS服务,则将IIS升级到最新补丁。
检测操作步骤
1、参考配置操作
下载IIS补丁包
IIS4.0
IIS5.0
并安装,或升级到IIS6.0
基线符合性判定依据
1、判定条件
已安装IIS最新补丁包。
2、检测操作
控制面板->添加或删除程序->显示更新打钩,查看是否安装IIS补丁包。
备注
根据应用场景的不同,如部署场景需开启此功能,则强制要求此项。
10.7IIS服务组件
10.8
10.8.1组件安装管理*
安全基线项目名称
IIS组件安装安全基线要求项
安全基线编号
SBL-IIS-05-04-01
安全基线项说明
IIS是架设WEB、FTP、SMTP服务器的一套整合软件,如果不是必须,不得安装FTP、SMTP服务。
检测操作步骤
1、参考配置操作
已经安装的上述不必服务,可以通过“控制面板”->“添加/删除程序”->“添加删除IIS组件”->“internet信息服务(IIS)”中删除不必要的服务组件。
基线符合性判定依据
1、判定条件
查看FTP、SMTP服务没有被安装。
2、检测操作
可以通过“控制面板”->“添加/删除程序”->“添加删除IIS组件”->“internet信息服务(IIS)”中检查是否删除不必要的服务组件。
备注
手工判断
10.8.2服务扩展管理*
安全基线项目名称
IIS服务扩展安全基线要求项
安全基线编号
SBL-IIS-05-04-02
安全基线项说明
对于IIS6.0对于“web服务扩展”,默认只启用了“”功能。
如果业务系统不需要ASP支持,必须按照下图的方法将相应的服务扩展禁止。
检测操作步骤
1、参考配置操作
基线符合性判定依据
1、判定条件
如果业务系统不需要ASP支持,禁用“”功能。
2、检测操作
开始->管理工具->Internet信息服务(IIS)管理器选择相应的站点,然后右键点击“web服务扩展”。
检查是否禁用“”功能。
备注
手工判断
第11章评审与修订
第12章
本标准由中国移动通信有限公司管理信息系统部定期进行审查,根据审视结果修订标准,并颁发执行。
升级会员 