IIS服务器安全配置基线

IIS服务器安全配置基线中国移动通信管理信息系统部2012年04月版本版本控制信息|更新日期更新人审批人创建2009年1月V2.0更新2012年4月备注:1.假设此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。目录TOC\o"1-5"\h\zHYPERLINK\l"bookmark4"\o"CurrentDocument"第1章概述5目的5适用范围5适用版本5实施5例外条款5HYPERLINK\l"bookmark16"\o"CurrentDocument"第2章帐号管理、认证授权6帐号6防止帐号共享*6删除或锁定无关帐号*7口令7密码复杂度7密码生存期8密码更改9授权9用户权利指派*9HYPERLINK\l"bookmark36"\o"CurrentDocument"第3章日志要求11日志配置11启用日志功能11更改日志存放路径11 记录 混凝土 养护记录下载土方回填监理旁站记录免费下载集备记录下载集备记录下载集备记录下载 安全事件12日志访问权限13HYPERLINK\l"bookmark48"\o"CurrentDocument"第4章IP协议安全配置操作14IP协议14IP访问限制*14IP转发安全性15SSL身份认证*15HYPERLINK\l"bookmark58"\o"CurrentDocument"第5章设备其他安全功能要求17屏幕保护17屏幕保护配置17HYPERLINK\l"bookmark64"\o"CurrentDocument"文件系统及访问权限17更改IIS安装路径17删除风险文件*19HYPERLINK\l"bookmark70"\o"CurrentDocument"删除非必要脚本映射*19HYPERLINK\l"bookmark72"\o"CurrentDocument"按帐户分配日志访问权限*22补丁管理23升级补丁*23IIS服务组件24组件安装管理*24服务扩展管理*24HYPERLINK\l"bookmark84"\o"CurrentDocument"第6章评审与修订26第1章概述目的本文档规定了中国移动通信管理信息系统部门所维护管理的IIS服务器应当遵循的安全性设置 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 ，本文档旨在指导系统管理人员进行IIS服务器的安全配置。适用范围本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。本配置标准适用的范围包括：中国移动总部和各省公司信息化部门维护管理的IIS服务器系统。适用版本、7.0、2003等版本。实施本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中假设有任何疑问或建议，应及时反馈。本标准发布之日起生效。例外条款欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信管理信息系统部进行审批备案。第2章帐号管理、认证授权2.1帐号2.1.1防止帐号共享安全基线项目名称IIS帐号共享安全基线要求项安全基线编号SBL-IIS-02-01-01安全基线项说明应按照用户分配帐号。防止不冋用户间共享帐号。防止用户帐号和设备间通信使用的帐号共享〔对于IIS用户定义分为两个层次：一、IIS自身操作用户，二、IIS发布应用访问用户〕检测操作步骤1、参考配置操作进入“控制面板->管理工具->电脑管理”，在“系统工具->本地用户和组”：根据系统的要求，设定不冋的帐户和帐户组•对应设置IIS系统管理员的权限。进入IIS管理器->相应网站“属性”->“目录安全性”->“身份访问及访问控制”:其中分为“匿名访问身份”及“基本〔Basic〕验证”。“基本〔Basic〕验证”包含：“集成windows身份验证”、“Windows域服务器的摘要身份验证”、“基本身份验证”、“.NETPassport身份验证”；可依据业务应用安全特性，相应配置。基线符合性判定依据1、判定条件结合要求和实际业务情况判断符合要求，根据系统的要求，设定不冋的帐户和帐户组。2、检测操作进入“控制面板->管理工具->电脑管理”，在“系统工具->本地用户和组”：查看根据系统的要求，设定不冋的帐户和帐户组。进入IIS管理器->相应网站“属性”->“目录安全性”->“身份访问及访问控制”查看相应配置。备注手工判断2.1.2删除或锁定无关帐号安全基线项目名称IIS无关帐号安全基线要求项安全基线编号SBL-IIS-02-01-02安全基线项说明应删除或锁定与设备运行、维护等工作无关的帐号〔对于IIS用户定义分为两个层次：一、IIS自身操作用户，二、IIS发布应用访问用户；对于删除无用帐号可参考Windows操作系统无用帐号的删除〕检测操作步骤1、参考配置操作进入“控制面板->管理工具->电脑管理”，在“系统工具->本地用户和组”：删除或锁定与设备运行、维护等与工作无关的帐号。基线符合性判定依据1、判定条件结合要求和实际业务情况判断符合要求，删除或锁定与设备运行、维护等与工作无关的帐号。2、检测操作进入“控制面板->管理工具->电脑管理”，在“系统工具->本地用户和组”：查看是否删除或锁定与设备运行、维护等与工作无关的帐号。备注手工判断口令2.2.1密码复杂度安全基线项目名称IIS密码复杂度安全基线要求项安全基线编号SBL-IIS-02-02-01安全基线项说明对于米用静态口令认证技术的设备，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且5次以内不得设置相同的口令。〔IIS基于Windows系统，可通过提升Windows自身密码女全等级实现〕检测操作步骤1、参考配置操作进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”：“密码必须符合复杂性要求”选择“已启动”基线符合性判定依据1、判定条件“密码必须符合复杂性要求”选择“已启动”2、检测操作进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”：查看是否“密码必须符合复杂性要求”选择“已启动”备注222密码生存期安全基线项目名称IIS密码生存期安全基线要求项安全基线编号SBL-IIS-02-02-02安全基线项说明对于米用静态口令认证技术的设备，维护人员使用的帐户口令的生存期不长于90天〔IIS基于Windows系统，可通过提升Windows帐户策略实现〕检测操作步骤1、参考配置操作进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”：“密码最长存留期”设置为“90天”基线符合性判定依据1、判定条件“密码最长存留期”设置为“90天”2、检测操作进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”：查看是否“密码最长存留期”设置为“90天”备注223密码更改安全基线项目名称IIS密码更改安全基线要求项安全基线编号SBL-IIS-02-02-03安全基线项说明对于米用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近5次〔含5次〕内已使用的口令〔IIS基于Windows系统，可通过提升Windows帐户策略实现〕检测操作步骤1、参考配置操作进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”：“强制密码历史”设置为“记住5个密码”基线符合性判定依据1、判定条件“强制密码历史”设置为“记住5个密码”2、检测操作进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”：查看是否“强制密码历史”设置为“记住5个密码”备注2.3授权2.3.1用户权利指派安全基线项目名称IIS用户权利指派安全基线要求项安全基线编号SBL-IIS-02-03-01安全基线项说明在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限〔对于IIS用户定义分为两个层次：一、IIS自身操作用户，二、IIS发布应用访问用户；设备权限的配置基于上述两方面考虑〕检测操作步骤1、参考配置操作原理：〔1〕文件夹和文件的访问权限：安放在NTFS文件系统上的文件夹和文件，一方面要对其权限加以控制，对不冋的用户组和用户进行不冋的权限设置；另外，可利用NTFS的审核功能对某些特定用户组成员读文件的企图等方面进行审核，有效地通过监视如文件访问、用户对象的使用等发现非法用户进行非法活动的前兆，及时加以预防制止。〔2〕目录的访问权限：已经设置成Web目录的文件夹，可以通过操作Web站点属性页面实现对WWW目录访冋权限的控制，而该目录下的所有文件和子文件夹都将继承这些安全性。wwW服务除了提供NTFS文件系统提供的权限外，还提供读取权限，允许用户读取或下载WW目录中的文件；执行权限，允许用户运行WWW目录下的程序和脚本。具体操作：〔1〕启动“域用户管理器”->“规则”选单下的“审核”选项->“审核规则”〔2〕启动ISM〔Internet服务器管理器〕->启动Web属性页面并选择“目录”选项卡；->选择WWW目录；->选择“编辑属性”中的“目录属性”进行设置：“脚本资源访问”、“读取”、“写入”、“目录浏览”、“记录访问”、“索引资源”。基线符合性判定依据1、判定条件检测用户权限审核及ISM目录安全属性。2、检测操作〔1〕启动“域用户管理器”->“规则”选单下的“审核”选项->“审核规则”，检测“审核规则”配置状态。〔2〕启动ISM〔Internet服务器管理器〕->启动Web属性页面并选择“目录”选项卡；_>选择WWW目录；_>“编辑属性”中的“目录属性”，查看配置状态。备注手工判断第3章日志要求3.1日志配置3.1.1启用日志功能安全基线项目名称IIS启用日志功能安全基线要求项安全基线编号SBL-IIS-03-01-01安全基线项说明启用日志功能检测操作步骤1、参考配置操作打开IIS管理工具，右击要管理的站点，选择“属性”。在“WebSite”选择“启用日志记录”，从下拉菜单中选择“MicrosotfIIS日志文件格式”。“W3C日志格式存在日志记录时间与服务器时间不统一的问题，所以应尽量米用IIS日志格式。基线符合性判定依据1、判定条件启用日志记录，并采用IIS日志格式。2、检测操作开始->管理工具->1nternet信息服务(IIS)管理器选择相应的站点，然后右键点击“属性”检查是否“启用日志记录”并采用“MicrosotfIIS日志文件格式”。备注3.1.2更改日志存放路径安全基线项目名称IIS日志存放路径安全基线要求项安全基线编号SBL-IIS-03-01-02安全基线项说明更改IISWeb日志默认存放路径检测操作步骤1、参考配置操作将IIS的网页访问日志独立存放在一个独立的分区中，并且系统管理员要定期对该目录进行查看和维护，确保日志内容不会溢出，并可以及早的发现网络异常行为。基线符合性判定依据1、判定条件IIS的网页访冋日志独立存放在一个独立的分区中2、检测操作进入“开始->管理工具->资源管理器”，查看日志文件存放路径。备注3.1.3记录安全事件安全基线项目名称IIS记录安全事件安全基线要求项安全基线编号SBL-IIS-03-01-03安全基线项说明设备应配置日志功能，记录与设备相关的安全事件。检测操作步骤1、参考配置操作〔1〕进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中配置相应“审核对象访问”、“审核目录服务器访问”、“审核系统事件”、“审核帐号管理”、“审核过程追踪”选项。〔2〕运行IIS管理器->“Internet信息服务”->“应用相关站点”属性->“网站”->“属性”->“高级”，选择“时间”、“日期”、“扩展属性”是否选择基线符合性判定依据1、判定条件确定系统相关“审核策略”。确定IIS相关“站点属性”日志详细记录。2、检测操作进入“控制面板->管理工具->本地安全策略”，查看“本地策略->审核策略”配置“成功”、“失败”的选择记录。备注3.1.4日志访问权限安全基线项目名称IIS日志访问权限安全基线要求项安全基线编号SBL-IIS-03-01-04安全基线项说明设备应配置权限，控制对日志文件读取、修改和删除等操作。检测操作步骤1、参考配置操作进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中配置相应“审核策略更改”配置相应选项。基线符合性判定依据1、判定条件确定系统相关“审核策略”2、检测操作进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中配置相应“审核策略更改”选项选择状态。备注第4章IP协议安全配置操作IP协议IP访问限制安全基线项目名称IISip访问限制安全基线要求项安全基线编号安全基线项说明SBL-IIS-04-01-01在条件允许的条件下，对IIS访问源进行围内的主机才可以访问WW服务。IP范围限制。只有在允许的IP范检测操作步1、参考配置操作开始->管理工具->Internet信息服务(IIS)管理器选择相应的站点，然后右键点击“属性”基线符合性判定依据1、判定条件需要限制访问源的话进行ip范围限制。2、检测操作开始->管理工具->Internet信息服务(IIS)管理器选择相应的站点，然后右键点击“属性”。检查是否进行了ip的限制。备注手工判断IP转发安全性安全基线项目名称IISIP转发安全基线要求项安全基线编号SBL-IIS-04-01-02安全基线项说明IP转发的安全性检测操作步骤1、参考配置操作IIS服务可提供IP数据包转发功能，此时，充当路由器角色的IIS服务器将会把从Internet接口收到的IP数据包转发到内部网中，以此提升IIS服务安全性。IIS服务器启动“网络属性”->“协议”选项卡->在“TCP/IP属性”中去除“路由选择”选项。基线符合性判定依据1、判定条件判断IIS所属服务器“路由选择”选项状态。2、检测操作IIS服务器启动“网络属性”->“协议”选项卡->在“TCP/IP属性”查看“路由选择”选项。备注SSL身份认证安全基线项目名称IISSSL身份认证安全基线要求项安全基线编号SBL-IIS-04-01-03安全基线项说明IIS服务SSL身份访问认证检测操作步骤1、参考配置操作IIS的身份认证除了匿名访冋、基本验证和WindowsNT请求/响应方式外，还有一种女全性更咼的认证：通过SSL〔SecuritySocketLayer丨女全机制使用数字证书，以此提升IIS应用的身份访问安全性。启动“Internet信息服务”->“Web站点的属性页”->“目录安全性”选项->单击“密钥管理器”通过密钥管理器生成密钥对文件和请求文件；从身份认证权限中申请一个证书；通过密钥管理器在服务器上安装证书激活Web站点的SSL安全性。基线符合性1、判定条件判定依据登录“Internet信息服务”->“Web站点的属性页”->“目录安全性”->编辑查看SSL相应选项选择状态。2、检测操作〔1〕登录“Internet信息服务”->“Web站点的属性页”->“目录安全性”->编辑查看SSL相应选项选择状态。〔2〕配置相应SSL身份认证后，分别以普通身份及基于SSL证书方式分别登录Web应用，查看登录状态。备注手工判断第5章设备其他安全功能要求屏幕保护5.1.1屏幕保护配置安全基线项目名称IIS屏幕保护安全基线要求项安全基线编号SBL-IIS-05-01-01安全基线项说明对于具备图形界面〔含WEB界面〕的设备，应配置定时自动屏幕锁定〔参考Windows相关配置：设置带密码的屏幕保护，并将时间设疋为5分钟。〕检测操作步骤1、参考配置操作进入“控制面板＞显示＞屏幕保护程序”：启用屏幕保护程序，设置等待时间为“5分钟”，启用“在恢复时使用密码保护”基线符合性判定依据1、判定条件启用屏幕保护程序，设置等待时间为“5分钟”，启用“在恢复时使用密码保护”。2、检测操作进入“控制面板＞显示＞屏幕保护程序”：查看是否启用屏幕保护程序，设置等待时间为“5分钟”，启用“在恢复时使用密码保护”。备注5.2文件系统及访问权限5.2.1更改IIS安装路径安全基线项目名称IIS安装路径安全基线要求项安全基线编号安全基线项说明检测操作步骤SBL-IIS-05-02-01更改IIS默认安装路径。1、参考配置操作开始->管理工具->1nternet信息服务(IIS)管理器选择相应的站点，然后右键点击“属性”。基线符合性判定依据1、判定条件更改IIS默认安装路径。2、检测操作开始->管理工具->Internet信息服务(IIS)管理器选择相应的站点，然后右键点击“属性”。查看是否更改IIS默认安装路径。备注IIS安装后的默认主目录是“％system%lnetpubwwwroot"，为更好地抵抗踩点、刺探等攻击行为，应该更改主目录位置，如下列图所示：522删除风险文件安全基线项目名称IIS风险文件安全基线要求项安全基线编号SBL-IIS-05-02-02安全基线项说明文件安全配置要求：删除可能带来风险的实例文件。检测操作步骤1、参考配置操作〔仅针对IIS5.0,IIS6.0已经默认删除〕进入相应目录，删除实例文件IISc:\inetpub'iissamplesAdminScriptsc:\inetpub'scriptsAdminSamples%systemroot%\system32\inetsrv'adminsamplesIISADMPWD%systemroot%\system32\inetsrv'iisadmpwdIISADMIN%systemroot%\system32\inetsrv'iisadminDataaccessc:\ProgramFiles'CommonFiles\System\msadc\SamplesMSADCc:\programfiles\commonfiles\system\msadc基线符合性判定依据1、判定条件删除可能带来风险的实例文件。2、检测操作进入c:\inetpub；c:\ProgramFiles\CommonFiles\System\msadc\Samples查看是否删除可能带来风险的实例文件。备注手工判断523删除非必要脚本映射安全基线项目名称IIS脚本映射安全基线要求项安全基线编号SBL-IIS-05-02-03安全基线项说明检测操作步骤文件安全配置要求：删除不必要的脚本映射。1、参考配置操作开始->管理工具->1nternet信息服务（IIS）管理器选择相应的站点，然后右键点击“属性”。删除的原则：只保留需要的脚本映射。配置方法：从“Internet服务管理器”中：选择电脑名，点鼠标右键，选择属性：然后选择编辑:然后选择主目录，点击配置:选择需要删除的扩展名，点击删除：〔以下列图示仅供参考，依据实际需求操作〕基线符合性判定依据1、判定条件删除不必要的脚本映射。2、检测操作开始->管理工具->1nternet信息服务（IIS）管理器选择相应的站点，然后右键点击“属性”-〉编辑-〉根目录-〉配置：查看是否删除不必要的脚本映射。备注手工判断524按帐户分配日志访问权限安全基线项目名称IIS按帐户分配日志权限安全基线要求项安全基线编号SBL-IIS-05-02-04安全基线项说明按帐号分配日志文件读取、修改和删除权限，从而防止日志文件被篡改或非法删除。检测操作步骤1、参考配置操作通过“资源管理器”，修改文件权限，除管理员组用户外，其他用户不得修改、删除日志文件。基线符合性判定依据1、判定条件非管理员组的用户不得修改、删除日志文件。2、检测操作资源管理器->日志文件->“属性”。备注手工判断5.3补丁管理531升级补丁安全基线项目名称IIS补丁升级安全基线要求项安全基线编号SBL-IIS-05-03-01安全基线项说明如需启用IIS服务，则将IIS升级到最新补丁。检测操作步骤1、参考配置操作下载IIS补丁包:〃microsoft/Downloads/Release.asp?ReleaselD=23667IIS5.0://microsoft/Downloads/Release.asp?ReleaselD=23665基线符合性判定依据1、判定条件已安装IIS最新补丁包。2、检测操作控制面板->添加或删除程序->显示更新打钩，查看是否安装IIS补丁包。备注根据应用场景的不冋，如部署场景需开启此功能，则强制要求此项。5.4IIS服务组件5.4.1组件安装管理安全基线项目名称IIS组件安装安全基线要求项安全基线编号SBL-IIS-05-04-01安全基线项说明IIS是架设WEBFTP、SMTP服务器的一套整合软件，如果不是必须，不得安装FTPSMTP服务。检测操作步骤1、参考配置操作已经安装的上述不必服务，可以通过“控制面板”->“添加/删除程序”->“添加删除IIS组件”->“internet信息服务〔IIS〕中删除不必要的服务组件。基线符合性判定依据1、判定条件查看FTP、SMTP服务没有被安装。2、检测操作可以通过“控制面板”->“添加/删除程序”->“添加删除IIS组件”->“internet信息服务〔IIS〕”中检查是否删除不必要的服务组件。备注手工判断5.4.2服务扩展管理安全基线项目名称IIS服务扩展安全基线要求项安全基线编号SBL-IIS-05-04-02安全基线项说明对于IIS6.0对于“web服务扩展”，默认只启用了“”功能。如果业务系统不需要ASP支持，必须按照下列图的方法将相应的服务扩展禁止。检测操作步骤1、参考配置操作u审俶nEit讨jrmaJfie洁占.刃」应匪胆存油曰」网业-g球nu存j司"jti和ikJhb昂甯护局制箱■惟比5HP唱抑事®|Tat*r**i靳皿■芻（FT匍訝tfPlfRFF*宜井dt蚩fi⑹*1出口X血"血1-SJ■.0■!LJELlii；15?15亠」・■•_池、jglgg./胪菲卡勿wrfi—/飯弓和1TWAFT扩韦曹"4c117*174EF4B23II2」；JH|J'<1fP^KPf2j基线符合性1、判定条件判定依据如果业务系统不需要ASP支持，禁用“”功能。2、检测操作开始->管理工具->1nternet信息服务（IIS）管理器选择相应的站点，然后右键点击“web服务扩展”。检查是否禁用“”功能。备注手工判断第6章评审与修订本标准由中国移动通信管理信息系统部定期进行审查，根据审视结果修订标准，并颁发执行。