最新IIS服务器安全配置基线Word下载.docx
《最新IIS服务器安全配置基线Word下载.docx》由会员分享,可在线阅读,更多相关《最新IIS服务器安全配置基线Word下载.docx(20页珍藏版)》请在冰豆网上搜索。
2.7实施
2.8
本标准的解释权和修改权属于中国移动集团管理信息系统部,在本标准的执行过程中若有任何疑问或建议,应及时反馈。
本标准发布之日起生效。
2.9例外条款
2.10
欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交中国移动通信有限公司管理信息系统部进行审批备案。
第3章帐号管理、认证授权
第4章
4.1帐号
4.2
4.2.1避免帐号共享*
安全基线项目名称
IIS帐号共享安全基线要求项
安全基线编号
SBL-IIS-02-01-01
安全基线项说明
应按照用户分配帐号。
避免不同用户间共享帐号。
避免用户帐号和设备间通信使用的帐号共享(对于IIS用户定义分为两个层次:
一、IIS自身操作用户,二、IIS发布应用访问用户)
检测操作步骤
1、参考配置操作
进入“控制面板->
管理工具->
计算机管理”,在“系统工具->
本地用户和组”:
根据系统的要求,设定不同的帐户和帐户组.对应设置IIS系统管理员的权限。
进入IIS管理器->
相应网站“属性”->
“目录安全性”->
“身份访问及访问控制”:
其中分为“匿名访问身份”及“基本(Basic)验证”。
“基本(Basic)验证”包含:
“集成windows身份验证”、“Windows域服务器的摘要身份验证”、“基本身份验证”、“.NETPassport身份验证”;
可依据业务应用安全特性,相应配置。
基线符合性判定依据
1、判定条件
结合要求和实际业务情况判断符合要求,根据系统的要求,设定不同的帐户和帐户组。
2、检测操作
查看根据系统的要求,设定不同的帐户和帐户组。
“身份访问及访问控制”查看相应配置。
备注
手工判断
4.2.2删除或锁定无关帐号*
IIS无关帐号安全基线要求项
SBL-IIS-02-01-02
应删除或锁定与设备运行、维护等工作无关的帐号(对于IIS用户定义分为两个层次:
一、IIS自身操作用户,二、IIS发布应用访问用户;
对于删除无用帐号可参考Windows操作系统无用帐号的删除)
删除或锁定与设备运行、维护等与工作无关的帐号。
结合要求和实际业务情况判断符合要求,删除或锁定与设备运行、维护等与工作无关的帐号。
查看是否删除或锁定与设备运行、维护等与工作无关的帐号。
4.3口令
4.4
4.4.1密码复杂度
IIS密码复杂度安全基线要求项
SBL-IIS-02-02-01
对于采用静态口令认证技术的设备,口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号四类中至少两类。
且5次以内不得设置相同的口令。
(IIS基于Windows系统,可通过提升Windows自身密码安全等级实现)
本地安全策略”,在“帐户策略->
密码策略”:
“密码必须符合复杂性要求”选择“已启动”
查看是否“密码必须符合复杂性要求”选择“已启动”
4.4.2密码生存期
IIS密码生存期安全基线要求项
SBL-IIS-02-02-02
对于采用静态口令认证技术的设备,维护人员使用的帐户口令的生存期不长于90天(IIS基于Windows系统,可通过提升Windows帐户策略实现)
“密码最长存留期”设置为“90天”
查看是否“密码最长存留期”设置为“90天”
4.4.3密码更改
IIS密码更改安全基线要求项
SBL-IIS-02-02-03
对于采用静态口令认证技术的设备,应配置设备,使用户不能重复使用最近5次(含5次)内已使用的口令(IIS基于Windows系统,可通过提升Windows帐户策略实现)
“强制密码历史”设置为“记住5个密码”
查看是否“强制密码历史”设置为“记住5个密码”
4.5授权
4.6
4.6.1用户权利指派*
IIS用户权利指派安全基线要求项
SBL-IIS-02-03-01
在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权限(对于IIS用户定义分为两个层次:
设备权限的配置基于上述两方面考虑)
原理:
(1)文件夹和文件的访问权限:
安放在NTFS文件系统上的文件夹和文件,一方面要对其权限加以控制,对不同的用户组和用户进行不同的权限设置;
另外,可利用NTFS的审核功能对某些特定用户组成员读文件的企图等方面进行审核,有效地通过监视如文件访问、用户对象的使用等发现非法用户进行非法活动的前兆,及时加以预防制止。
(2)目录的访问权限:
已经设置成Web目录的文件夹,可以通过操作Web站点属性页面实现对www目录访问权限的控制,而该目录下的所有文件和子文件夹都将继承这些安全性。
www服务除了提供NTFS文件系统提供的权限外,还提供读取权限,允许用户读取或下载WWW目录中的文件;
执行权限,允许用户运行www目录下的程序和脚本。
具体操作:
(1)启动“域用户管理器”->
“规则”选单下的“审核”选项->
“审核规则”
(2)启动ISM(Internet服务器管理器)->
启动Web属性页面并选择“目录”选项卡;
->
选择www目录;
选择“编辑属性”中的“目录属性”进行设置:
“脚本资源访问”、“读取”、“写入”、“目录浏览”、“记录访问”、“索引资源”。
检测用户权限审核及ISM目录安全属性。
“审核规则”,检测
“审核规则”配置状态。
“编辑属性”中的“目录属性”,查看配置状态。
第5章日志要求
第6章
6.1日志配置
6.2
6.2.1启用日志功能
IIS启用日志功能安全基线要求项
SBL-IIS-03-01-01
启用日志功能
打开IIS管理工具,右击要管理的站点,选择“属性”。
在“WebSite”选择“启用日志记录”,从下拉菜单中选择“MicrosotfIIS日志文件格式”。
“W3C”日志格式存在日志记录时间与服务器时间不统一的问题,所以应尽量采用IIS日志格式。
启用日志记录,并采用IIS日志格式。
开始->
Internet信息服务(IIS)管理器选择相应的站点,然后右键点击“属性”检查是否“启用日志记录”并采用“MicrosotfIIS日志文件格式”。
6.2.2更改日志存放路径
IIS日志存放路径安全基线要求项
SBL-IIS-03-01-02
更改IISWeb日志默认存放路径
将IIS的网页访问日志独立存放在一个独立的分区中,并且系统管理员要定期对该目录进行查看和维护,确保日志内容不会溢出,并可以及早的发现网络异常行为。
IIS的网页访问日志独立存放在一个独立的分区中
进入“开始->
资源管理器”,查看日志文件存放路径。
6.2.3记录安全事件
IIS记录安全事件安全基线要求项
SBL-IIS-03-01-03
设备应配置日志功能,记录与设备相关的安全事件。
(1)进入“控制面板->
本地安全策略”,在“本地策略->
审核策略”中配置相应“审核对象访问”、“审核目录服务器访问”、“审核系统事件”、“审核帐号管理”、“审核过程追踪”选项。
(2)运行IIS管理器->
“Internet信息服务”->
“应用相关站点”属性->
“网站”->
“属性”->
“高级”,选择“时间”、“日期”、“扩展属性”是否选择
确定系统相关“审核策略”。
确定IIS相关“站点属性”日志详细记录。
本地安全策略”,查看“本地策略->
审核策略”配置“成功”、“失败”的选择记录。
6.2.4日志访问权限
IIS日志访问权限安全基线要求项
SBL-IIS-03-01-04
设备应配置权限,控制对日志文件读取、修改和删除等操作。
审核策略”中配置相应“审核策略更改”配置相应选项。
确定系统相关“审核策略”
审核策略”中配置相应“审核策略更改”选项选择状态。
第7章IP协议安全配置操作
第8章
8.1IP协议
8.2
8.2.1IP访问限制*
IISIP访问限制安全基线要求项
SBL-IIS-04-01-01
在条件允许的条件下,对IIS访问源进行IP范围限制。
只有在允许的IP范围内的主机才可以访问WWW服务。
2、
Internet信息服务(IIS)管理器选择相应的站点,然后右键点击“属性”
需要限制访问源的话进行ip范围限制。
Internet信息服务(IIS)管理器选择相应的站点,然后右键点击“属性”。
检查是否进行了ip的限制。
8.2.2IP转发安全性
IISIP转发安全基线要求项
SBL-IIS-04-01-02
IP转发的安全性
IIS服务可提供IP数据包转发功能,此时,充当路由器角色的IIS服务器将会把从Internet接口收到的IP数据包转发到内部网中,以此提升IIS服务安全性。
IIS服务器启动“网络属性”->
“协议”选项卡->
在“TCP/IP属性”中去除“路由选择”选项。
判断IIS所属服务器“路由选择”选项状态。
在“TCP/IP属性”查看“路由选择”选项。
8.2.3SSL身份认证*
IISSSL身份认证安全基线要求项
SBL-IIS-04-01-03
IIS服务SSL身份访问认证
IIS的身份认证除了匿名访问、基本验证和WindowsNT请求/响应方式外,还有一种安全性更高的认证:
通过SSL(SecuritySocketLayer)安全机制使用数字证书,以此提升IIS应用的身份访问安全性。
启动“Internet信息服务”->
“Web站点的属性页”->
“目录安全性”选项->
单击“密钥管理器”通过密钥管理器生成密钥对文件和请求文件;
从身份认证权限中申请一个证书;
通过密钥管理器在服务器上安装证书激活Web站点的SSL安全性。
登录“Internet信息服务”->
“编辑”查看SSL相应选项选择状态。
(1)登录“Internet信息服务”->
(2)配置相应SSL身份认证后,分别以普通身份及基于SSL证书方式分别登录Web应用,查看登录状态。
第9章设备其他安全功能要求
第10章
10.1屏幕保护
10.2
10.2.1屏幕保护配置
IIS屏幕保护安全基线要求项
SBL-IIS-05-01-01
对于具备图形界面(含WEB界面)的设备,应配置定时自动屏幕锁定(参考Windows相关配置:
设置带密码的屏幕保护,并将时间设定为5分钟。
)
进入“控制面板->
显示->
屏幕保护程序”:
启用屏幕保护程序,设置等待时间为“5分钟”,启用“在恢复时使用密码保护”
启用屏幕保护程序,设置等待时间为“5分钟”,启用“在恢复时使用密码保护”。
查看是否启用屏幕保护程序,设置等待时间为“5分钟”,启用“在恢复时使用密码保护”。
10.3文件系统及访问权限
10.4
10.4.1更改IIS安装路径
IIS安装路径安全基线要求项
SBL-IIS-05-02-01
更改IIS默认安装路径。
IIS安装后的默认主目录是“%system%Inetpubwwwroot”,为更好地抵抗踩点、刺探等攻击行为,应该更改主目录位置,如下图所示:
查看是否更改IIS默认安装路径。
10.4.2删除风险文件*
IIS风险文件安全基线要求项
SBL-IIS-05-02-02
文件安全配置要求:
删除可能带来风险的实例文件。
1、参考配置操作(仅针对IIS5.0,IIS6.0已经默认删除)
进入相应目录,删除实例文件
IISc:
\inetpub\iissamples
AdminScriptsc:
\inetpub\scripts
AdminSamples%systemroot%\system32\inetsrv\adminsamples
IISADMPWD%systemroot%\system32\inetsrv\iisadmpwd
IISADMIN%systemroot%\system32\inetsrv\iisadmin
Dataaccessc:
\ProgramFiles\CommonFiles\System\msadc\Samples
MSADCc:
\programfiles\commonfiles\system\msadc
进入c:
\inetpub;
c:
\ProgramFiles\CommonFiles\System\msadc\Samples查看是否删除可能带来风险的实例文件。
10.4.3删除非必要脚本映射*
IIS脚本映射安全基线要求项
SBL-IIS-05-02-03
删除不必要的脚本映射。
Internet信息服务(IIS)管理器选择相应的站点,然后右键点击“属性”-〉编辑-〉根目录-〉配置,然后从列表中删除以下不必要的脚本,包括:
.htr、idc、.stm、.shtm、.shtml、.printer、.htw、.ida和.idq。
删除的原则:
只保留需要的脚本映射。
配置方法:
从“Internet服务管理器”中:
选择计算机名,点鼠标右键,选择属性:
然后选择编辑:
然后选择主目录,点击配置:
选择需要删除的扩展名,点击删除:
(以下图示仅供参考,依据实际需求操作)
Internet信息服务(IIS)管理器选择相应的站点,然后右键点击“属性”-〉编辑-〉根目录-〉配置:
查看是否删除不必要的脚本映射。
10.4.4按帐户分配日志访问权限*
IIS按帐户分配日志权限安全基线要求项
SBL-IIS-05-02-04
按帐号分配日志文件读取、修改和删除权限,从而防止日志文件被篡改或非法删除。
通过“资源管理器”,修改文件权限,除管理员组用户外,其他用户不得修改、删除日志文件。
非管理员组的用户不得修改、删除日志文件。
资源管理器->
日志文件->
“属性”。
10.5补丁管理
10.6
10.6.1升级补丁*
IIS补丁升级安全基线要求项
SBL-IIS-05-03-01
如需启用IIS服务,则将IIS升级到最新补丁。
下载IIS补丁包
IIS4.0
/Release.asp?
ReleaseID=23667
IIS5.0
ReleaseID=23665
并安装,或升级到IIS6.0
已安装IIS最新补丁包。
控制面板->
添加或删除程序->
显示更新打钩,查看是否安装IIS补丁包。
根据应用场景的不同,如部署场景需开启此功能,则强制要求此项。
10.7IIS服务组件
10.8
10.8.1组件安装管理*
IIS组件安装安全基线要求项
SBL-IIS-05-04-01
IIS是架设WEB、FTP、SMTP服务器的一套整合软件,如果不是必须,不得安装FTP、SMTP服务。
已经安装的上述不必服务,可以通过“控制面板”->
“添加/删除程序”->
“添加删除IIS组件”->
“internet信息服务(IIS)”中删除不必要的服务组件。
查看FTP、SMTP服务没有被安装。
可以通过“控制面板”->
“internet信息服务(IIS)”中检查是否删除不必要的服务组件。
10.8.2服务扩展管理*
IIS服务扩展安全基线要求项
SBL-IIS-05-04-02
对于IIS6.0对于“web服务扩展”,默认只启用了“”功能。
如果业务系统不需要ASP支持,必须按照下图的方法将相应的服务扩展禁止。
如果业务系统不需要ASP支持,禁用“”功能。
Internet信息服务(IIS)管理器选择相应的站点,然后右键点击“web服务扩展”。
检查是否禁用“”功能。
第11章评审与修订
第12章
本标准由中国移动通信有限公司管理信息系统部定期进行审查,根据审视结果修订标准,并颁发执行。
升级会员 