IIS服务器安全配置基线培训讲学.docx

1、IIS服务器安全配置基线培训讲学IIS服务器安全配置基线IIS服务器安全配置基线中国移动通信有限公司 管理信息系统部2012年 04月版本版本控制信息更新日期更新人审批人V1.0创建2009年1月V2.0更新2012年4月备注：1. 若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。第1章 概述1.1 目的本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的IIS服务器应当遵循的安全性设置标准，本文档旨在指导系统管理人员进行IIS服务器的安全配置。1.2 适用范围本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。本配置标准适用的范围包括：中国移动

2、总部和各省公司信息化部门维护管理的IIS服务器系统。1.3 适用版本5.0、6.0、7.0、2003等版本。1.4 实施本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。本标准发布之日起生效。1.5 例外条款欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信有限公司管理信息系统部进行审批备案。第2章 帐号管理、认证授权2.1 帐号2.1.1 避免帐号共享*安全基线项目名称IIS帐号共享安全基线要求项安全基线编号SBL-IIS-02-01-01 安全基线项说明 应按照用户分配帐号。避免不同用户间共享帐号

3、。避免用户帐号和设备间通信使用的帐号共享（对于IIS用户定义分为两个层次：一、IIS自身操作用户，二、IIS发布应用访问用户）检测操作步骤1、参考配置操作进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”：根据系统的要求，设定不同的帐户和帐户组.对应设置IIS系统管理员的权限。进入IIS管理器-相应网站“属性”-“目录安全性”-“身份访问及访问控制”：其中分为“匿名访问身份”及“基本（Basic）验证”。“基本（Basic）验证”包含：“集成windows身份验证”、“Windows域服务器的摘要身份验证”、“基本身份验证”、“.NET Passport身份验证”；可依据业务

4、应用安全特性，相应配置。基线符合性判定依据1、判定条件结合要求和实际业务情况判断符合要求，根据系统的要求，设定不同的帐户和帐户组。2、检测操作进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”：查看根据系统的要求，设定不同的帐户和帐户组。进入IIS管理器-相应网站“属性”-“目录安全性”-“身份访问及访问控制”查看相应配置。备注手工判断2.1.2 删除或锁定无关帐号*安全基线项目名称IIS无关帐号安全基线要求项安全基线编号SBL-IIS-02-01-02 安全基线项说明 应删除或锁定与设备运行、维护等工作无关的帐号（对于IIS用户定义分为两个层次：一、IIS自身操作用户，二、

5、IIS发布应用访问用户；对于删除无用帐号可参考Windows操作系统无用帐号的删除）检测操作步骤1、参考配置操作进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”：删除或锁定与设备运行、维护等与工作无关的帐号。基线符合性判定依据1、判定条件结合要求和实际业务情况判断符合要求，删除或锁定与设备运行、维护等与工作无关的帐号。2、检测操作进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”：查看是否删除或锁定与设备运行、维护等与工作无关的帐号。备注手工判断2.2 口令2.2.1 密码复杂度安全基线项目名称IIS密码复杂度安全基线要求项安全基线编号SBL-IIS-02

6、-02-01 安全基线项说明 对于采用静态口令认证技术的设备，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且5次以内不得设置相同的口令。（IIS基于Windows系统，可通过提升Windows自身密码安全等级实现）检测操作步骤1、参考配置操作进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略”：“密码必须符合复杂性要求”选择“已启动”基线符合性判定依据1、判定条件“密码必须符合复杂性要求”选择“已启动”2、检测操作进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略”：查看是否“密码必须符合复杂性要求”选择“已启动”备注2.2.2 密码生

7、存期安全基线项目名称IIS密码生存期安全基线要求项安全基线编号SBL-IIS-02-02-02 安全基线项说明 对于采用静态口令认证技术的设备，维护人员使用的帐户口令的生存期不长于90天（IIS基于Windows系统，可通过提升Windows帐户策略实现）检测操作步骤1、参考配置操作进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略”：“密码最长存留期”设置为“90天”基线符合性判定依据1、判定条件“密码最长存留期”设置为“90天”2、检测操作进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略”：查看是否“密码最长存留期”设置为“90天”备注2.2.3 密码更改安全

8、基线项目名称IIS密码更改安全基线要求项安全基线编号SBL-IIS-02-02-03 安全基线项说明 对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令（IIS基于Windows系统，可通过提升Windows帐户策略实现）检测操作步骤1、参考配置操作进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略”：“强制密码历史”设置为“记住5个密码”基线符合性判定依据1、判定条件“强制密码历史”设置为“记住5个密码”2、检测操作进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略”：查看是否“强制密码历史”设置为“记住5个密码”备注2

9、.3 授权2.3.1 用户权利指派*安全基线项目名称IIS用户权利指派安全基线要求项安全基线编号SBL-IIS-02-03-01 安全基线项说明 在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限（对于IIS用户定义分为两个层次：一、IIS自身操作用户，二、IIS发布应用访问用户；设备权限的配置基于上述两方面考虑）检测操作步骤1、参考配置操作原理：（1）文件夹和文件的访问权限：安放在NTFS文件系统上的文件夹和文件，一方面要对其权限加以控制，对不同的用户组和用户进行不同的权限设置；另外，可利用NTFS的审核功能对某些特定用户组成员 读文件的企图等方面进行审核，有效地通过监视如文件访

10、问、用户对象的使用等发现非法用户进行非法活动的前兆，及时加以预防制止。（2）目录的访问权限：已经设置成Web目录的文件夹，可以通过操作Web站点属性页面实现对www目录访问权限的控制，而该目录下的所有文件和子 文件夹都将继承这些安全性。www服务除了提供NTFS文件系统提供的权限外，还提供读取权限，允许用户读取或下载WWW目录中的文件；执行权限，允许用户运行www目录下的程序和脚本。具体操作：（1）启动“域用户管理器”- “规则”选单下的“审核”选项-“审核规则”（2）启动ISM（Internet服务器管理器）-启动Web属性页面并选择“目录”选项卡；-选择www目录；-选择“编辑属性”中的“

11、目录属性”进行设置：“脚本资源访问”、“读取”、“写入”、“目录浏览”、“记录访问”、“索引资源”。基线符合性判定依据1、判定条件检测用户权限审核及ISM目录安全属性。2、检测操作（1）启动“域用户管理器”- “规则”选单下的“审核”选项-“审核规则”，检测“审核规则”配置状态。（2）启动ISM（Internet服务器管理器）-启动Web属性页面并选择“目录”选项卡；-选择www目录；- “编辑属性”中的“目录属性”，查看配置状态。备注手工判断第3章 日志要求3.1 日志配置3.1.1 启用日志功能安全基线项目名称IIS启用日志功能安全基线要求项安全基线编号SBL-IIS-03-01-01 安

12、全基线项说明 启用日志功能检测操作步骤1、参考配置操作打开IIS管理工具，右击要管理的站点，选择“属性”。在“Web Site”选择“启用日志记录”，从下拉菜单中选择“Microsotf IIS日志文件格式”。“W3C”日志格式存在日志记录时间与服务器时间不统一的问题，所以应尽量采用IIS日志格式。基线符合性判定依据1、判定条件启用日志记录，并采用IIS日志格式。2、检测操作开始-管理工具-Internet 信息服务(IIS)管理器 选择相应的站点，然后右键点击“属性”检查是否“启用日志记录”并采用“Microsotf IIS日志文件格式”。备注3.1.2 更改日志存放路径安全基线项目名称II

13、S日志存放路径安全基线要求项安全基线编号SBL-IIS-03-01-02 安全基线项说明 更改IIS Web日志默认存放路径检测操作步骤1、参考配置操作将IIS的网页访问日志独立存放在一个独立的分区中，并且系统管理员要定期对该目录进行查看和维护，确保日志内容不会溢出，并可以及早的发现网络异常行为。基线符合性判定依据1、判定条件IIS的网页访问日志独立存放在一个独立的分区中2、检测操作进入“开始-管理工具-资源管理器”，查看日志文件存放路径。 备注3.1.3 记录安全事件安全基线项目名称IIS记录安全事件安全基线要求项安全基线编号SBL-IIS-03-01-03 安全基线项说明 设备应配置日志功

14、能，记录与设备相关的安全事件。检测操作步骤1、参考配置操作（1）进入“控制面板-管理工具-本地安全策略”，在“本地策略-审核策略”中配置相应 “审核对象访问”、“审核目录服务器访问”、“审核系统事件”、“审核帐号管理”、“审核过程追踪”选项。（2）运行IIS管理器-“Internet信息服务”-“应用相关站点”属性-“网站”-“属性”-“高级”，选择“时间”、“日期”、“扩展属性”是否选择基线符合性判定依据1、判定条件确定系统相关“审核策略”。确定IIS相关“站点属性”日志详细记录。2、检测操作进入“控制面板-管理工具-本地安全策略”，查看“本地策略-审核策略”配置“成功”、“失败”的选择记录

15、。备注3.1.4 日志访问权限安全基线项目名称IIS日志访问权限安全基线要求项安全基线编号SBL-IIS-03-01-04 安全基线项说明 设备应配置权限，控制对日志文件读取、修改和删除等操作。检测操作步骤1、参考配置操作进入“控制面板-管理工具-本地安全策略”，在“本地策略-审核策略”中配置相应“审核策略更改”配置相应选项。基线符合性判定依据1、判定条件确定系统相关“审核策略”2、检测操作进入“控制面板-管理工具-本地安全策略”，在“本地策略-审核策略”中配置相应“审核策略更改”选项选择状态。备注第4章 IP协议安全配置操作4.1 IP协议4.1.1 IP访问限制*安全基线项目名称IIS I

16、P访问限制安全基线要求项安全基线编号SBL-IIS-04-01-01 安全基线项说明 在条件允许的条件下，对IIS访问源进行IP范围限制。只有在允许的IP范围内的主机才可以访问WWW服务。检测操作步骤1、 参考配置操作开始-管理工具-Internet 信息服务(IIS)管理器 选择相应的站点，然后右键点击“属性”基线符合性判定依据1、判定条件需要限制访问源的话进行ip范围限制。2、检测操作开始-管理工具-Internet 信息服务(IIS)管理器 选择相应的站点，然后右键点击“属性”。检查是否进行了ip的限制。备注手工判断4.1.2 IP转发安全性安全基线项目名称IIS IP转发安全基线要求项

17、安全基线编号SBL-IIS-04-01-02 安全基线项说明 IP转发的安全性检测操作步骤1、参考配置操作IIS服务可提供IP数据包转发功能，此时，充当路由器角色的IIS服务器将会把从Internet接口收到的IP数据包转发到内部网中，以此提升IIS服务安全性。IIS服务器启动“网络属性”- “协议”选项卡-在“TCP/IP属性”中去除 “路由选择”选项。基线符合性判定依据1、判定条件判断IIS所属服务器“路由选择”选项状态。2、检测操作IIS服务器启动“网络属性”- “协议”选项卡-在“TCP/IP属性”查看 “路由选择”选项。备注4.1.3 SSL身份认证*安全基线项目名称IIS SSL身

18、份认证安全基线要求项安全基线编号SBL-IIS-04-01-03 安全基线项说明 IIS服务SSL身份访问认证检测操作步骤1、参考配置操作IIS的身份认证除了匿名访问、基本验证和Windows NT请求/响应方式外，还有一种安全性更高的认证：通过SSL（Security Socket Layer）安全机制使用数字证书，以此提升IIS应用的身份访问安全性。启动“Internet信息服务”-“Web站点的属性页” -“目录安全性”选项-单击“密钥管理器”通过密钥管理器生成密钥对文件和请求文件；从身份认证权限中申请一个证书；通过密钥管理器在服务器上安装证书激活Web站点的SSL安全性。基线符合性判定

19、依据1、判定条件登录“Internet信息服务”-“Web站点的属性页” -“目录安全性”-“编辑”查看SSL相应选项选择状态。2、检测操作（1）登录“Internet信息服务”-“Web站点的属性页” -“目录安全性”-“编辑”查看SSL相应选项选择状态。（2）配置相应SSL身份认证后，分别以普通身份及基于SSL证书方式分别登录Web应用，查看登录状态。备注手工判断第5章 设备其他安全功能要求5.1 屏幕保护5.1.1 屏幕保护配置安全基线项目名称IIS 屏幕保护安全基线要求项安全基线编号SBL-IIS-05-01-01 安全基线项说明 对于具备图形界面（含WEB界面）的设备，应配置定时自动

20、屏幕锁定（参考Windows相关配置：设置带密码的屏幕保护，并将时间设定为5分钟。）检测操作步骤1、参考配置操作进入“控制面板显示屏幕保护程序”：启用屏幕保护程序，设置等待时间为“5分钟”，启用“在恢复时使用密码保护”基线符合性判定依据1、判定条件启用屏幕保护程序，设置等待时间为“5分钟”，启用“在恢复时使用密码保护”。2、检测操作进入“控制面板显示屏幕保护程序”：查看是否启用屏幕保护程序，设置等待时间为“5分钟”，启用“在恢复时使用密码保护”。备注5.2 文件系统及访问权限5.2.1 更改IIS安装路径安全基线项目名称IIS安装路径安全基线要求项安全基线编号SBL-IIS-05-02-01

21、安全基线项说明 更改IIS默认安装路径。检测操作步骤1、 参考配置操作开始-管理工具-Internet 信息服务(IIS)管理器 选择相应的站点，然后右键点击“属性”。IIS安装后的默认主目录是“%system%Inetpubwwwroot”，为更好地抵抗踩点、刺探等攻击行为，应该更改主目录位置，如下图所示：基线符合性判定依据1、判定条件更改IIS默认安装路径。2、检测操作开始-管理工具-Internet 信息服务(IIS)管理器 选择相应的站点，然后右键点击“属性”。查看是否更改IIS默认安装路径。备注5.2.2 删除风险文件*安全基线项目名称IIS风险文件安全基线要求项安全基线编号SBL-

22、IIS-05-02-02 安全基线项说明 文件安全配置要求：删除可能带来风险的实例文件。检测操作步骤1、参考配置操作（仅针对IIS5.0,IIS6.0已经默认删除）进入相应目录，删除实例文件IIS c:inetpubiissamplesAdmin Scripts c:inetpubscriptsAdmin Samples %systemroot%system32inetsrvadminsamplesIISADMPWD %systemroot%system32inetsrviisadmpwdIISADMIN %systemroot%system32inetsrviisadminData acce

23、ss c:Program FilesCommon FilesSystemmsadcSamplesMSADC c:program filescommon filessystemmsadc基线符合性判定依据1、判定条件删除可能带来风险的实例文件。2、检测操作进入c:inetpub；c:Program FilesCommon FilesSystemmsadcSamples 查看是否删除可能带来风险的实例文件。备注手工判断5.2.3 删除非必要脚本映射*安全基线项目名称IIS脚本映射安全基线要求项安全基线编号SBL-IIS-05-02-03 安全基线项说明 文件安全配置要求：删除不必要的脚本映射。检测

24、操作步骤1、参考配置操作开始-管理工具-Internet 信息服务(IIS)管理器 选择相应的站点，然后右键点击“属性” -编辑 -根目录 -配置，然后从列表中删除以下不必要的脚本，包括：.htr、idc、.stm、.shtm、.shtml、.printer、.htw、.ida 和.idq。删除的原则：只保留需要的脚本映射。配置方法：从“Internet 服务管理器”中：选择计算机名，点鼠标右键，选择属性：然后选择编辑：然后选择主目录，点击配置：选择需要删除的扩展名，点击删除：（以下图示仅供参考，依据实际需求操作）基线符合性判定依据1、判定条件删除不必要的脚本映射。2、检测操作开始-管理工具-

25、Internet 信息服务(IIS)管理器 选择相应的站点，然后右键点击“属性” -编辑 -根目录 -配置：查看是否删除不必要的脚本映射。备注手工判断5.2.4 按帐户分配日志访问权限*安全基线项目名称IIS按帐户分配日志权限安全基线要求项安全基线编号SBL-IIS-05-02-04 安全基线项说明 按帐号分配日志文件读取、修改和删除权限，从而防止日志文件被篡改或非法删除。检测操作步骤1、参考配置操作通过“资源管理器”，修改文件权限，除管理员组用户外，其他用户不得修改、删除日志文件。基线符合性判定依据1、判定条件非管理员组的用户不得修改、删除日志文件。2、检测操作资源管理器-日志文件-“属性”

26、。备注手工判断5.3 补丁管理5.3.1 升级补丁*安全基线项目名称IIS补丁升级安全基线要求项安全基线编号SBL-IIS-05-03-01 安全基线项说明 如需启用IIS服务，则将IIS升级到最新补丁。检测操作步骤1、参考配置操作下载IIS补丁包IIS4.0IIS5.0并安装，或升级到IIS6.0基线符合性判定依据1、判定条件已安装IIS最新 补丁包。2、检测操作控制面板-添加或删除程序-显示更新打钩，查看是否安装IIS补丁包。备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。5.4 IIS服务组件5.4.1 组件安装管理*安全基线项目名称IIS组件安装安全基线要求项安全基线编

27、号SBL-IIS-05-04-01 安全基线项说明 IIS 是架设 WEB、FTP、SMTP 服务器的一套整合软件，如果不是必须，不得安装FTP、SMTP服务。检测操作步骤1、参考配置操作已经安装的上述不必服务，可以通过“控制面板” - “添加/删除程序” -“添加删除IIS组件” -“internet信息服务（IIS）”中删除不必要的服务组件。基线符合性判定依据1、判定条件查看FTP、SMTP服务没有被安装。2、检测操作可以通过“控制面板” - “添加/删除程序” -“添加删除IIS组件” -“internet信息服务（IIS）”中检查是否删除不必要的服务组件。备注手工判断5.4.2 服务扩

28、展管理*安全基线项目名称IIS服务扩展安全基线要求项安全基线编号SBL-IIS-05-04-02 安全基线项说明 对于IIS6.0 对于“web服务扩展”，默认只启用了“”功能。如果业务系统不需要ASP支持，必须按照下图的方法将相应的服务扩展禁止。检测操作步骤1、参考配置操作基线符合性判定依据1、判定条件如果业务系统不需要ASP支持，禁用“”功能。2、检测操作开始-管理工具-Internet 信息服务(IIS)管理器 选择相应的站点，然后右键点击“web服务扩展”。检查是否禁用“”功能。备注手工判断第6章 评审与修订本标准由中国移动通信有限公司管理信息系统部定期进行审查，根据审视结果修订标准，并颁发执行。