IIS服務(wù)器安全配置基線

IIS服務(wù)器安全配置基線IIS服務(wù)器安全配置基線中國移動(dòng)通信有限公司管理信息系統(tǒng)部2012年04月版本版本控制信息更新日期更新人審批人V1.0創(chuàng)建2009年1月

V2.0更新2012年4月

備注：1.若此文檔需要日后更新，請(qǐng)創(chuàng)建人填寫版本控制表格，否則刪除版本控制表格。目

錄第1章

概述

51.1

目的

51.2

適用范圍

51.3

適用版本

51.4

實(shí)施

5IIS服務(wù)器安全配置基線全文共11頁，當(dāng)前為第1頁。1.5

例外條款

5IIS服務(wù)器安全配置基線全文共11頁，當(dāng)前為第1頁。第2章

帳號(hào)管理、認(rèn)證授權(quán)

62.1

帳號(hào)

62.1.1

避免帳號(hào)共享*

62.1.2

刪除或鎖定無關(guān)帳號(hào)*

72.2

口令

72.2.1

密碼復(fù)雜度

72.2.2

密碼生存期

82.2.3

密碼更改

92.3

授權(quán)

92.3.1

用戶權(quán)利指派*

9第3章

日志要求

113.1

日志配置

113.1.1

啟用日志功能

113.1.2

更改日志存放路徑

113.1.3

記錄安全事件

123.1.4

日志訪問權(quán)限

13IIS服務(wù)器安全配置基線全文共11頁，當(dāng)前為第2頁。第4章

IP協(xié)議安全配置操作

14IIS服務(wù)器安全配置基線全文共11頁，當(dāng)前為第2頁。4.1

IP協(xié)議

144.1.1

IP訪問限制*

144.1.2

IP轉(zhuǎn)發(fā)安全性

154.1.3

SSL身份認(rèn)證*

15第5章

設(shè)備其他安全功能要求

175.1

屏幕保護(hù)

175.1.1

屏幕保護(hù)配置

175.2

文件系統(tǒng)及訪問權(quán)限

175.2.1

更改IIS安裝路徑

175.2.2

刪除風(fēng)險(xiǎn)文件*

195.2.3

刪除非必要腳本映射*

195.2.4

按帳戶分配日志訪問權(quán)限*

225.3

補(bǔ)丁管理

235.3.1

升級(jí)補(bǔ)丁*

235.4

IIS服務(wù)組件

245.4.1

組件安裝管理*

24IIS服務(wù)器安全配置基線全文共11頁，當(dāng)前為第3頁。5.4.2

服務(wù)擴(kuò)展管理*

24IIS服務(wù)器安全配置基線全文共11頁，當(dāng)前為第3頁。第6章

評(píng)審與修訂

26第1章概述1.1目的本文檔規(guī)定了中國移動(dòng)通信有限公司管理信息系統(tǒng)部門所維護(hù)管理的IIS服務(wù)器應(yīng)當(dāng)遵循的安全性設(shè)置標(biāo)準(zhǔn)，本文檔旨在指導(dǎo)系統(tǒng)管理人員進(jìn)行IIS服務(wù)器的安全配置。1.2適用范圍本配置標(biāo)準(zhǔn)的使用者包括：服務(wù)器系統(tǒng)管理員、應(yīng)用管理員、網(wǎng)絡(luò)安全管理員。本配置標(biāo)準(zhǔn)適用的范圍包括：中國移動(dòng)總部和各省公司信息化部門維護(hù)管理的IIS服務(wù)器系統(tǒng)。1.3適用版本5.0、6.0、7.0、2003等版本。1.4實(shí)施本標(biāo)準(zhǔn)的解釋權(quán)和修改權(quán)屬于中國移動(dòng)集團(tuán)管理信息系統(tǒng)部，在本標(biāo)準(zhǔn)的執(zhí)行過程中若有任何疑問或建議，應(yīng)及時(shí)反饋。本標(biāo)準(zhǔn)發(fā)布之日起生效。IIS服務(wù)器安全配置基線全文共11頁，當(dāng)前為第4頁。IIS服務(wù)器安全配置基線全文共11頁，當(dāng)前為第4頁。1.5例外條款欲申請(qǐng)本標(biāo)準(zhǔn)的例外條款，申請(qǐng)人必須準(zhǔn)備書面申請(qǐng)文件，說明業(yè)務(wù)需求和原因，送交中國移動(dòng)通信有限公司管理信息系統(tǒng)部進(jìn)行審批備案。第2章帳號(hào)管理、認(rèn)證授權(quán)2.1帳號(hào)2.1.1避免帳號(hào)共享*IIS服務(wù)器安全配置基線全文共11頁，當(dāng)前為第5頁。IIS服務(wù)器安全配置基線全文共11頁，當(dāng)前為第5頁。安全基線項(xiàng)目名稱IIS帳號(hào)共享安全基線要求項(xiàng)安全基線編號(hào)SBL-IIS-02-01-01安全基線項(xiàng)說明應(yīng)按照用戶分配帳號(hào)。避免不同用戶間共享帳號(hào)。避免用戶帳號(hào)和設(shè)備間通信使用的帳號(hào)共享（對(duì)于IIS用戶定義分為兩個(gè)層次：一、IIS自身操作用戶，二、IIS發(fā)布應(yīng)用訪問用戶）檢測操作步驟1、參考配置操作進(jìn)入“控制面板->管理工具->計(jì)算機(jī)管理”，在“系統(tǒng)工具->本地用戶和組”：根據(jù)系統(tǒng)的要求，設(shè)定不同的帳戶和帳戶組.對(duì)應(yīng)設(shè)置IIS系統(tǒng)管理員的權(quán)限。進(jìn)入IIS管理器->相應(yīng)網(wǎng)站“屬性”->“目錄安全性”->“身份訪問及訪問控制”：其中分為“匿名訪問身份”及“基本（Basic）驗(yàn)證”?！盎荆˙asic）驗(yàn)證”包含：“集成windows身份驗(yàn)證”、“Windows域服務(wù)器的摘要身份驗(yàn)證”、“基本身份驗(yàn)證”、“.NETPassport身份驗(yàn)證”；可依據(jù)業(yè)務(wù)應(yīng)用安全特性，相應(yīng)配置。基線符合性判定依據(jù)1、判定條件結(jié)合要求和實(shí)際業(yè)務(wù)情況判斷符合要求，根據(jù)系統(tǒng)的要求，設(shè)定不同的帳戶和帳戶組。2、檢測操作進(jìn)入“控制面板->管理工具->計(jì)算機(jī)管理”，在“系統(tǒng)工具->本地用戶和組”：查看根據(jù)系統(tǒng)的要求，設(shè)定不同的帳戶和帳戶組。進(jìn)入IIS管理器->相應(yīng)網(wǎng)站“屬性”->“目錄安全性”->“身份訪問及訪問控制”查看相應(yīng)配置。備注手工判斷

2.1.2刪除或鎖定無關(guān)帳號(hào)*IIS服務(wù)器安全配置基線全文共11頁，當(dāng)前為第6頁。IIS服務(wù)器安全配置基線全文共11頁，當(dāng)前為第6頁。安全基線項(xiàng)目名稱IIS無關(guān)帳號(hào)安全基線要求項(xiàng)安全基線編號(hào)SBL-IIS-02-01-02安全基線項(xiàng)說明應(yīng)刪除或鎖定與設(shè)備運(yùn)行、維護(hù)等工作無關(guān)的帳號(hào)（對(duì)于IIS用戶定義分為兩個(gè)層次：一、IIS自身操作用戶，二、IIS發(fā)布應(yīng)用訪問用戶；對(duì)于刪除無用帳號(hào)可參考Windows操作系統(tǒng)無用帳號(hào)的刪除）檢測操作步驟1、參考配置操作進(jìn)入“控制面板->管理工具->計(jì)算機(jī)管理”，在“系統(tǒng)工具->本地用戶和組”：刪除或鎖定與設(shè)備運(yùn)行、維護(hù)等與工作無關(guān)的帳號(hào)?；€符合性判定依據(jù)1、判定條件結(jié)合要求和實(shí)際業(yè)務(wù)情況判斷符合要求，刪除或鎖定與設(shè)備運(yùn)行、維護(hù)等與工作無關(guān)的帳號(hào)。2、檢測操作進(jìn)入“控制面板->管理工具->計(jì)算機(jī)管理”，在“系統(tǒng)工具->本地用戶和組”：查看是否刪除或鎖定與設(shè)備運(yùn)行、維護(hù)等與工作無關(guān)的帳號(hào)。備注手工判斷

2.2口令2.2.1密碼復(fù)雜度IIS服務(wù)器安全配置基線全文共11頁，當(dāng)前為第7頁。IIS服務(wù)器安全配置基線全文共11頁，當(dāng)前為第7頁。安全基線項(xiàng)目名稱IIS密碼復(fù)雜度安全基線要求項(xiàng)安全基線編號(hào)SBL-IIS-02-02-01安全基線項(xiàng)說明對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，口令長度至少8位，并包括數(shù)字、小寫字母、大寫字母和特殊符號(hào)四類中至少兩類。且5次以內(nèi)不得設(shè)置相同的口令。（IIS基于Windows系統(tǒng)，可通過提升Windows自身密碼安全等級(jí)實(shí)現(xiàn)）檢測操作步驟1、參考配置操作進(jìn)入“控制面板->管理工具->本地安全策略”，在“帳戶策略->密碼策略”：“密碼必須符合復(fù)雜性要求”選擇“已啟動(dòng)”基線符合性判定依據(jù)1、判定條件“密碼必須符合復(fù)雜性要求”選擇“已啟動(dòng)”2、檢測操作進(jìn)入“控制面板->管理工具->本地安全策略”，在“帳戶策略->密碼策略”：查看是否“密碼必須符合復(fù)雜性要求”選擇“已啟動(dòng)”備注

2.2.2密碼生存期安全基線項(xiàng)目名稱IIS密碼生存期安全基線要求項(xiàng)安全基線編號(hào)SBL-IIS-02-02-02安全基線項(xiàng)說明對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，維護(hù)人員使用的帳戶口令的生存期不長于90天（IIS基于Windows系統(tǒng)，可通過提升Windows帳戶策略實(shí)現(xiàn)）檢測操作步驟1、參考配置操作進(jìn)入“控制面板->管理工具->本地安全策略”，在“帳戶策略->密碼策略”：“密碼最長存留期”設(shè)置為“90天”基線符合性判定依據(jù)1、判定條件“密碼最長存留期”設(shè)置為“90天”2、檢測操作進(jìn)入“控制面板->管理工具->本地安全策略”，在“帳戶策略->密碼策略”：查看是否“密碼最長存留期”設(shè)置為“90天”備注

2.2.3密碼更改IIS服務(wù)器安全配置基線全文共11頁，當(dāng)前為第8頁。IIS服務(wù)器安全配置基線全文共11頁，當(dāng)前為第8頁。安全基線項(xiàng)目名稱IIS密碼更改安全基線要求項(xiàng)安全基線編號(hào)SBL-IIS-02-02-03安全基線項(xiàng)說明對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，應(yīng)配置設(shè)備，使用戶不能重復(fù)使用最近5次（含5次）內(nèi)已使用的口令（IIS基于Windows系統(tǒng)，可通過提升Windows帳戶策略實(shí)現(xiàn)）檢測操作步驟1、參考配置操作進(jìn)入“控制面板->管理工具->本地安全策略”，在“帳戶策略->密碼策略”：“強(qiáng)制密碼歷史”設(shè)置為“記住5個(gè)密碼”基線符合性判定依據(jù)1、判定條件“強(qiáng)制密碼歷史”設(shè)置為“記住5個(gè)密碼”2、檢測操作進(jìn)入“控制面板->管理工具->本地安全策略”，在“帳戶策略->密碼策略”：查看是否“強(qiáng)制密碼歷史”設(shè)置為“記住5個(gè)密碼”備注

2.3授權(quán)2.3.1用戶權(quán)利指派*IIS服務(wù)器安全配置基線全文共11頁，當(dāng)前為第9頁。IIS服務(wù)器安全配置基線全文共11頁，當(dāng)前為第9頁。安全基線項(xiàng)目名稱IIS用戶權(quán)利指派安全基線要求項(xiàng)安全基線編號(hào)SBL-IIS-02-03-01安全基線項(xiàng)說明在設(shè)備權(quán)限配置能力內(nèi)，根據(jù)用戶的業(yè)務(wù)需要，配置其所需的最小權(quán)限（對(duì)于IIS用戶定義分為兩個(gè)層次：一、IIS自身操作用戶，二、IIS發(fā)布應(yīng)用訪問用戶；設(shè)備權(quán)限的配置基于上述兩方面考慮）檢測操作步驟1、參考配置操作原理：（1）文件夾和文件的訪問權(quán)限：安放在NTFS文件系統(tǒng)上的文件夾和文件，一方面要對(duì)其權(quán)限加以控制，對(duì)不同的用戶組和用戶進(jìn)行不同的權(quán)限設(shè)置；另外，可利用NTFS的審核功能對(duì)某些特定用戶組成員讀文件的企圖等方面進(jìn)行審核，有效地通過監(jiān)視如文件訪問、用戶對(duì)象的使用等發(fā)現(xiàn)非法用戶進(jìn)行非法活動(dòng)的前兆，及時(shí)加以預(yù)防制止。（2）目錄的訪問權(quán)限：已經(jīng)設(shè)置成Web目錄的文件夾，可以通過操作Web站點(diǎn)屬性頁面實(shí)現(xiàn)對(duì)www目錄訪問權(quán)限的控制，而該目錄下的所有文件和子文件夾都將繼承這些安全性。www服務(wù)除了提供NTFS文件系統(tǒng)提供的權(quán)限外，還提供讀取權(quán)限，允許用戶讀取或下載WWW目錄中的文件；執(zhí)行權(quán)限，允許用戶運(yùn)行www目錄下的程序和腳本。具體操作：（1）啟動(dòng)“域用戶管理器”->“規(guī)則”選單下的“審核”選項(xiàng)->“審核規(guī)則”（2）啟動(dòng)ISM（Internet服務(wù)器管理器）->啟動(dòng)Web屬性頁面并選擇“目錄”選項(xiàng)卡；->選擇www目錄；->選擇“編輯屬性”中的“目錄屬性”進(jìn)行設(shè)置：“腳本資源訪問”、“讀取”、“寫入”、“目錄瀏覽”、“記錄訪問”、“索引資源”?；€符合性判定依據(jù)1、判定條件檢測用戶權(quán)限審核及ISM目錄安全屬性。2、檢測操作（1）啟動(dòng)“域用戶管理器”->“規(guī)則”