IIS服務(wù)安全配置風(fēng)險(xiǎn)評(píng)估檢查表.doc

IISIIS 服務(wù)安全配置基線服務(wù)安全配置基線 目目 錄錄 第第 1 章章概述概述 1 1 1目的 1 1 2適用范圍 1 1 3適用版本 1 第第 2 章章賬號(hào)管理 認(rèn)證授權(quán)賬號(hào)管理 認(rèn)證授權(quán) 2 2 1賬號(hào) 2 2 1 1避免帳號(hào)共享 2 2 1 2刪除或鎖定無(wú)關(guān)帳號(hào) 3 2 2口令 3 2 2 1密碼復(fù)雜度 3 2 2 2密碼歷史 4 2 2 3密碼更改 5 2 2 4認(rèn)證失敗 5 2 3授權(quán) 6 2 3 1用戶(hù)權(quán)利指派 6 第第 3 章章日志要求日志要求 8 3 1日志配置 8 3 1 1啟用日志功能 8 3 1 2更改日志存放路徑 8 3 1 3記錄安全事件 9 3 1 4日志訪問(wèn)權(quán)限 10 第第 4 章章IP 協(xié)議安全配置操作協(xié)議安全配置操作 11 4 1IP 協(xié)議 11 4 1 1IP訪問(wèn)限制 11 4 1 2IP轉(zhuǎn)發(fā)安全性 12 4 1 3SSL身份認(rèn)證 12 第第 5 章章設(shè)備其他安全功能要求設(shè)備其他安全功能要求 14 5 1屏幕保護(hù) 14 5 1 1屏幕保護(hù)配置 14 5 2文件系統(tǒng)及訪問(wèn)權(quán)限 14 5 2 1更改IIS安裝路徑 14 5 2 2刪除風(fēng)險(xiǎn)文件 16 5 2 3刪除非必要腳本影射 16 5 2 4按帳戶(hù)分配日志訪問(wèn)權(quán)限 19 5 3補(bǔ)丁管理 20 5 3 1升級(jí)補(bǔ)丁 20 5 4IIS 服務(wù)組件 21 5 4 1組件安裝管理 21 5 4 2服務(wù)擴(kuò)展管理 21 第第 1 章章概述概述 1 11 1目的目的 本文檔規(guī)定了 IIS 服務(wù)器應(yīng)當(dāng)遵循的安全性設(shè)置標(biāo)準(zhǔn) 本文檔旨在指導(dǎo)系統(tǒng)管理人員 進(jìn)行 IIS 服務(wù)器的安全配置 1 21 2適用范圍適用范圍 本配置標(biāo)準(zhǔn)的使用者包括 服務(wù)器系統(tǒng)管理員 應(yīng)用管理員 網(wǎng)絡(luò)安全管理員 1 31 3 適用版本適用版本 5 0 6 0 7 0 2003 等版本 第第 2 章章賬號(hào)管理 認(rèn)證授權(quán)賬號(hào)管理 認(rèn)證授權(quán) 2 12 1 賬號(hào)賬號(hào) 2 1 1 避免帳號(hào)共享避免帳號(hào)共享 安全基線項(xiàng)安全基線項(xiàng) 目名稱(chēng)目名稱(chēng) IIS 帳號(hào)共享安全基線要求項(xiàng) 安全基線編安全基線編 號(hào)號(hào) QB IIS 02 01 01 安全基線項(xiàng)安全基線項(xiàng) 說(shuō)明說(shuō)明 應(yīng)按照用戶(hù)分配賬號(hào) 避免不同用戶(hù)間共享賬號(hào) 避免用戶(hù)賬號(hào)和設(shè)備間通 信使用的賬號(hào)共享 對(duì)于 IIS 用戶(hù)定義分為兩個(gè)層次 一 IIS 自身操作用 戶(hù) 二 IIS 發(fā)布應(yīng)用訪問(wèn)用戶(hù) 檢測(cè)操作步檢測(cè)操作步 驟驟 1 1 參考配置操作 參考配置操作 進(jìn)入 控制面板 管理工具 計(jì)算機(jī)管理 在 系統(tǒng)工具 本地用戶(hù)和組 根據(jù)系統(tǒng)的要求 設(shè)定不同的賬戶(hù)和賬戶(hù)組 對(duì)應(yīng)設(shè)置 IIS 系統(tǒng)管理員的 權(quán)限 進(jìn)入 IIS 管理器 相應(yīng)網(wǎng)站 屬性 目錄安全性 身份訪問(wèn)及訪問(wèn) 控制 其中分為 匿名訪問(wèn)身份 及 基本 Basic 驗(yàn)證 基本 Basic 驗(yàn)證 包含 集成 windows 身份驗(yàn)證 Windows 域服務(wù)器的 摘要身份驗(yàn)證 基本身份驗(yàn)證 NET Passport 身份驗(yàn)證 可依據(jù)業(yè) 務(wù)應(yīng)用安全特性 相應(yīng)配置 基線符合性基線符合性 判定依據(jù)判定依據(jù) 1 1 判定條件 判定條件 結(jié)合要求和實(shí)際業(yè)務(wù)情況判斷符合要求 根據(jù)系統(tǒng)的要求 設(shè)定不同的賬戶(hù) 和賬戶(hù)組 2 2 檢測(cè)操作 檢測(cè)操作 進(jìn)入 控制面板 管理工具 計(jì)算機(jī)管理 在 系統(tǒng)工具 本地用戶(hù)和組 查看根據(jù)系統(tǒng)的要求 設(shè)定不同的賬戶(hù)和賬戶(hù)組 進(jìn)入 IIS 管理器 相應(yīng)網(wǎng)站 屬性 目錄安全性 身份訪問(wèn)及訪問(wèn) 控制 查看相應(yīng)配置 備注備注 2 1 2 刪除或鎖定無(wú)關(guān)帳號(hào)刪除或鎖定無(wú)關(guān)帳號(hào) 安全基線項(xiàng)安全基線項(xiàng) 目名稱(chēng)目名稱(chēng) IIS 無(wú)關(guān)帳號(hào)安全基線要求項(xiàng) 安全基線編安全基線編 號(hào)號(hào) QB IIS 02 01 02 安全基線項(xiàng)安全基線項(xiàng) 說(shuō)明說(shuō)明 應(yīng)刪除或鎖定與設(shè)備運(yùn)行 維護(hù)等工作無(wú)關(guān)的賬號(hào) 對(duì)于 IIS 用戶(hù)定義分為 兩個(gè)層次 一 IIS 自身操作用戶(hù) 二 IIS 發(fā)布應(yīng)用訪問(wèn)用戶(hù) 對(duì)于刪除 無(wú)用帳號(hào)可參考 Windows 操作系統(tǒng)無(wú)用帳號(hào)的刪除 檢測(cè)操作步檢測(cè)操作步 驟驟 1 1 參考配置操作 參考配置操作 進(jìn)入 控制面板 管理工具 計(jì)算機(jī)管理 在 系統(tǒng)工具 本地用戶(hù)和組 刪除或鎖定與設(shè)備運(yùn)行 維護(hù)等與工作無(wú)關(guān)的賬號(hào) 基線符合性基線符合性 判定依據(jù)判定依據(jù) 1 1 判定條件 判定條件 結(jié)合要求和實(shí)際業(yè)務(wù)情況判斷符合要求 刪除或鎖定與設(shè)備運(yùn)行 維護(hù)等與 工作無(wú)關(guān)的賬號(hào) 2 2 檢測(cè)操作 檢測(cè)操作 進(jìn)入 控制面板 管理工具 計(jì)算機(jī)管理 在 系統(tǒng)工具 本地用戶(hù)和組 查看是否刪除或鎖定與設(shè)備運(yùn)行 維護(hù)等與工作無(wú)關(guān)的賬號(hào) 備注備注 2 22 2 口令口令 2 2 1 密碼復(fù)雜度密碼復(fù)雜度 安全基線項(xiàng)安全基線項(xiàng) 目名稱(chēng)目名稱(chēng) IIS 密碼復(fù)雜度安全基線要求項(xiàng) 安全基線編安全基線編 號(hào)號(hào) QB IIS 02 02 01 安全基線項(xiàng)安全基線項(xiàng) 說(shuō)明說(shuō)明 對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備 口令長(zhǎng)度至少 8 位 并包括數(shù)字 小寫(xiě) 字母 大寫(xiě)字母和特殊符號(hào) 4 類(lèi)中至少 2 類(lèi) IIS 基于 Windows 系統(tǒng) 可通 過(guò)提升 Windows 自身密碼安全等級(jí)實(shí)現(xiàn) 檢測(cè)操作步檢測(cè)操作步 驟驟 1 1 參考配置操作 參考配置操作 進(jìn)入 控制面板 管理工具 本地安全策略 在 帳戶(hù)策略 密碼策略 密碼必須符合復(fù)雜性要求 選擇 已啟動(dòng) 基線符合性基線符合性 判定依據(jù)判定依據(jù) 1 1 判定條件 判定條件 密碼必須符合復(fù)雜性要求 選擇 已啟動(dòng) 2 2 檢測(cè)操作 檢測(cè)操作 進(jìn)入 控制面板 管理工具 本地安全策略 在 帳戶(hù)策略 密碼策略 查看是否 密碼必須符合復(fù)雜性要求 選擇 已啟動(dòng) 備注備注 2 2 2 密碼歷史密碼歷史 安全基線項(xiàng)安全基線項(xiàng) 目名稱(chēng)目名稱(chēng) IIS 密碼歷史安全基線要求項(xiàng) 安全基線編安全基線編 號(hào)號(hào) QB IIS 02 02 02 安全基線項(xiàng)安全基線項(xiàng) 說(shuō)明說(shuō)明 對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備 維護(hù)人員使用的賬戶(hù)口令的生存期不長(zhǎng) 于 90 天 IIS 基于 Windows 系統(tǒng) 可通過(guò)提升 Windows 帳戶(hù)策略實(shí)現(xiàn) 檢測(cè)操作步檢測(cè)操作步 驟驟 1 1 參考配置操作 參考配置操作 進(jìn)入 控制面板 管理工具 本地安全策略 在 帳戶(hù)策略 密碼策略 密碼最長(zhǎng)存留期 設(shè)置為 90 天 基線符合性基線符合性 判定依據(jù)判定依據(jù) 1 1 判定條件 判定條件 密碼最長(zhǎng)存留期 設(shè)置為 90 天 2 2 檢測(cè)操作 檢測(cè)操作 進(jìn)入 控制面板 管理工具 本地安全策略 在 帳戶(hù)策略 密碼策略 查看是否 密碼最長(zhǎng)存留期 設(shè)置為 90 天 備注備注 2 2 3 密碼更改密碼更改 安全基線項(xiàng)安全基線項(xiàng) 目名稱(chēng)目名稱(chēng) IIS 密碼更改安全基線要求項(xiàng) 安全基線編安全基線編 號(hào)號(hào) QB IIS 02 02 03 安全基線項(xiàng)安全基線項(xiàng) 說(shuō)明說(shuō)明 對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備 應(yīng)配置設(shè)備 使用戶(hù)不能重復(fù)使用最近 5 次 含 5 次 內(nèi)已使用的口令 IIS 基于 Windows 系統(tǒng) 可通過(guò)提升 Windows 帳戶(hù)策略實(shí)現(xiàn) 檢測(cè)操作步檢測(cè)操作步 驟驟 1 1 參考配置操作 參考配置操作 進(jìn)入 控制面板 管理工具 本地安全策略 在 帳戶(hù)策略 密碼策略 強(qiáng)制密碼歷史 設(shè)置為 記住 5 個(gè)密碼 基線符合性基線符合性 判定依據(jù)判定依據(jù) 1 1 判定條件 判定條件 強(qiáng)制密碼歷史 設(shè)置為 記住 5 個(gè)密碼 2 2 檢測(cè)操作 檢測(cè)操作 進(jìn)入 控制面板 管理工具 本地安全策略 在 帳戶(hù)策略 密碼策略 查看是否 強(qiáng)制密碼歷史 設(shè)置為 記住 5 個(gè)密碼 備注備注 2 2 4 認(rèn)證失敗認(rèn)證失敗 安全基線項(xiàng)安全基線項(xiàng) 目名稱(chēng)目名稱(chēng) IIS 認(rèn)證失敗安全基線要求項(xiàng) 安全基線編安全基線編 號(hào)號(hào) QB IIS 02 02 04 安全基線項(xiàng)安全基線項(xiàng) 說(shuō)明說(shuō)明 對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備 應(yīng)配置當(dāng)用戶(hù)連續(xù)認(rèn)證失敗次數(shù)超過(guò) 6 次 不含 6 次 鎖定該用戶(hù)使用的賬號(hào) IIS 基于 Windows 系統(tǒng) 可通過(guò) 提升 Windows 帳戶(hù)策略實(shí)現(xiàn) 檢測(cè)操作步檢測(cè)操作步 驟驟 1 1 參考配置操作 參考配置操作 進(jìn)入 控制面板 管理工具 本地安全策略 在 帳戶(hù)策略 帳戶(hù)鎖定策 略 賬戶(hù)鎖定閥值 設(shè)置為 6 次 基線符合性基線符合性 1 1 判定條件 判定條件 判定依據(jù)判定依據(jù) 賬戶(hù)鎖定閥值 設(shè)置為小于或等于 6 次 2 2 檢測(cè)操作 檢測(cè)操作 進(jìn)入 控制面板 管理工具 本地安全策略 在 帳戶(hù)策略 帳戶(hù)鎖定策 略 查看是否 賬戶(hù)鎖定閥值 設(shè)置為小于等于 6 次 備注備注 2 32 3 授權(quán)授權(quán) 2 3 1 用戶(hù)權(quán)利指派用戶(hù)權(quán)利指派 安全基線項(xiàng)安全基線項(xiàng) 目名稱(chēng)目名稱(chēng) IIS 用戶(hù)權(quán)利指派安全基線要求項(xiàng) 安全基線編安全基線編 號(hào)號(hào) QB IIS 02 03 01 安全基線項(xiàng)安全基線項(xiàng) 說(shuō)明說(shuō)明 在設(shè)備權(quán)限配置能力內(nèi) 根據(jù)用戶(hù)的業(yè)務(wù)需要 配置其所需的最小權(quán)限 對(duì) 于 IIS 用戶(hù)定義分為兩個(gè)層次 一 IIS 自身操作用戶(hù) 二 IIS 發(fā)布應(yīng)用 訪問(wèn)用戶(hù) 設(shè)備權(quán)限的配置基于上述兩方面考慮 檢測(cè)操作步檢測(cè)操作步 驟驟 1 1 參考配置操作 參考配置操作 原理 原理 1 文件夾和文件的訪問(wèn)權(quán)限 安放在 NTFS 文件系統(tǒng)上的文件夾和文件 一方面要對(duì)其權(quán)限加以控制 對(duì)不同的用戶(hù)組和用戶(hù)進(jìn)行不同的權(quán)限設(shè)置 另外 可利用 NTFS 的審核功能對(duì)某些特定用戶(hù)組成員 讀文件的企圖等方面 進(jìn)行審核 有效地通過(guò)監(jiān)視如文件訪問(wèn) 用戶(hù)對(duì)象的使用等發(fā)現(xiàn)非法用戶(hù)進(jìn) 行非法活動(dòng)的前兆 及時(shí)加以預(yù)防制止 2 目錄的訪問(wèn)權(quán)限 已經(jīng)設(shè)置成 Web 目錄的文件夾 可以通過(guò)操作 Web 站點(diǎn)屬性頁(yè)面實(shí)現(xiàn)對(duì) www 目錄訪問(wèn)權(quán)限的控制 而該目錄下的所有文件和子 文件夾都將繼承這些安全性 www 服務(wù)除了提供 NTFS 文件系統(tǒng)提供的權(quán)限 外 還提供讀取權(quán)限 允許用戶(hù)讀取或下載 WWW 目錄中的文件 執(zhí)行權(quán)限 允許用戶(hù)運(yùn)行 www 目錄下的程序和腳本 具體操作 具體操作 1 啟動(dòng) 域用戶(hù)管理器 規(guī)則 選單下的 審核 選項(xiàng) 審 核規(guī)則 2 啟動(dòng) ISM Internet 服務(wù)器管理器 啟動(dòng) Web 屬性頁(yè)面并選擇 目錄 選項(xiàng)卡 選擇 www 目錄 選擇 編輯屬性 中的 目錄屬 性 進(jìn)行設(shè)置 腳本資源訪問(wèn) 讀取 寫(xiě)入 目錄瀏覽 記錄訪 問(wèn) 索引資源 基線符合性基線符合性 判定依據(jù)判定依據(jù) 1 1 判定條件 判定條件 檢測(cè)用戶(hù)權(quán)限審核及 ISM 目錄安全屬性 2 2 檢測(cè)操作 檢測(cè)操作 1 啟動(dòng) 域用戶(hù)管理器 規(guī)則 選單下的 審核 選項(xiàng) 審 核規(guī)則 檢測(cè) 審核規(guī)則 配置狀態(tài) 2 啟動(dòng) ISM Internet 服務(wù)器管理器 啟動(dòng) Web 屬性頁(yè)面并選擇 目錄 選項(xiàng)卡 選擇 www 目錄 編輯屬性 中的 目錄屬性 查看配置狀態(tài) 備注備注 第第 3 章章日志要求日志要求 3 13 1 日志配置日志配置 3 1 1 啟用日志功能啟用日志功能 安全基線項(xiàng)安全基線項(xiàng) 目名稱(chēng)目名稱(chēng) IIS 啟用日志功能安全基線要求項(xiàng) 安全基線編安全基線編 號(hào)號(hào) QB IIS 03 03 01 安全基線項(xiàng)安全基線項(xiàng) 說(shuō)明說(shuō)明 啟用日志功能啟用日志功能 檢測(cè)操作步檢測(cè)操作步 驟驟 1 1 參考配置操作 參考配置操作 打開(kāi) IIS 管理工具 右擊要管理的站點(diǎn) 選擇 屬性 在 Web Site 選 擇 啟用日志記錄 從下拉菜單中選擇 Microsotf IIS 日志文件格式 W3C 日志格式存在日志記錄時(shí)間與服務(wù)器時(shí)間不統(tǒng)一的問(wèn)題 所以應(yīng)盡 量采用 IIS 日志格式 基線符合性基線符合性 判定依據(jù)判定依據(jù) 1 1 判定條件 判定條件 啟用日志記錄 并采用 IIS 日志格式 2 2 檢測(cè)操作 檢測(cè)操作 開(kāi)始 管理工具 Internet 信息服務(wù) IIS 管理器 選擇相應(yīng)的站點(diǎn) 然后 右鍵點(diǎn)擊 屬性 檢查是否 啟用日志記錄 并采用 Microsotf IIS 日志 文件格式 備注備注 3 1 2 更改日志存放路徑更改日志存放路徑 安全基線項(xiàng)安全基線項(xiàng) 目名稱(chēng)目名稱(chēng) IIS 日志存放路徑安全基線要求項(xiàng) 安全基線編安全基線編 號(hào)號(hào) QB IIS 03 01 02 安全基線項(xiàng)安全基線項(xiàng) 說(shuō)明說(shuō)明 更改更改 IISIIS WebWeb 日志默認(rèn)存放路徑日志默認(rèn)存放路徑 檢測(cè)操作步檢測(cè)操作步 驟驟 1 1 參考配置操作 參考配置操作 將 IIS 的網(wǎng)頁(yè)訪問(wèn)日志獨(dú)立存放在一個(gè)獨(dú)立的分區(qū)中 并且系統(tǒng)管理員要定 期對(duì)該目錄進(jìn)行查看和維護(hù) 確保日志內(nèi)容不會(huì)溢出 并可以及早的發(fā)現(xiàn)網(wǎng) 絡(luò)異常行為 基線符合性基線符合性 判定依據(jù)判定依據(jù) 1 1 判定條件 判定條件 IIS 的網(wǎng)頁(yè)訪問(wèn)日志獨(dú)立存放在一個(gè)獨(dú)立的分區(qū)中 2 2 檢測(cè)操作 檢測(cè)操作 進(jìn)入 開(kāi)始 管理工具 資源管理器 查看日志文件存放路徑 備注備注 3 1 3 記錄安全事件記錄安全事件 安全基線項(xiàng)安全基線項(xiàng) 目名稱(chēng)目名稱(chēng) IIS 記錄安全事件安全基線要求項(xiàng) 安全基線編安全基線編 號(hào)號(hào) QB IIS 03 01 03 安全基線項(xiàng)安全基線項(xiàng) 說(shuō)明說(shuō)明 設(shè)備應(yīng)配置日志功能 記錄與設(shè)備相關(guān)的安全事件 檢測(cè)操作步檢測(cè)操作步 驟驟 1 1 參考配置操作 參考配置操作 1 進(jìn)入 控制面板 管理工具 本地安全策略 在 本地策略 審核策 略 中配置相應(yīng) 審核對(duì)象訪問(wèn) 審核目錄服務(wù)器訪問(wèn) 審核系統(tǒng)事 件 審核帳號(hào)管理 審核過(guò)程追蹤 選項(xiàng) 2 運(yùn)行 IIS 管理器 Internet 信息服務(wù) 應(yīng)用相關(guān)站點(diǎn) 屬性 網(wǎng)站 屬性 高級(jí) 選擇 時(shí)間 日期 擴(kuò)展屬性 是否 選擇 基線符合性基線符合性 判定依據(jù)判定依據(jù) 1 1 判定條件 判定條件 確定系統(tǒng)相關(guān) 審核策略 確定 IIS 相關(guān) 站點(diǎn)屬性 日志詳細(xì)記錄 2 2 檢測(cè)操作 檢測(cè)操作 進(jìn)入 控制面板 管理工具 本地安全策略 查看 本地策略 審核策略 配置 成功 失敗 的選擇記錄 備注備注 3 1 4 日志訪問(wèn)權(quán)限日志訪問(wèn)權(quán)限 安全基線項(xiàng)安全基線項(xiàng) 目名稱(chēng)目名稱(chēng) IIS 日志訪問(wèn)權(quán)限安全基線要求項(xiàng) 安全基線編安全基線編 號(hào)號(hào) QB IIS 03 01 04 安全基線項(xiàng)安全基線項(xiàng) 說(shuō)明說(shuō)明 設(shè)備應(yīng)配置權(quán)限 控制對(duì)日志文件讀取 修改和刪除等操作 檢測(cè)操作步檢測(cè)操作步 驟驟 1 1 參考配置操作 參考配置操作 進(jìn)入 控制面板 管理工具 本地安全策略 在 本地策略 審核策略 中配置相應(yīng) 審核策略更改 配置相應(yīng)選項(xiàng) 基線符合性基線符合性 判定依據(jù)判定依據(jù) 1 1 判定條件 判定條件 確定系統(tǒng)相關(guān) 審核策略 2 2 檢測(cè)操作 檢測(cè)操作 進(jìn)入 控制面板 管理工具 本地安全策略 在 本地策略 審核策略 中配置相應(yīng) 審核策略更改 選項(xiàng)選擇狀態(tài) 備注備注 第第 4 章章IPIP 協(xié)議安全配置操作協(xié)議安全配置操作 4 14 1 IPIP 協(xié)議協(xié)議 4 1 1 IP 訪問(wèn)限制訪問(wèn)限制 安全基線項(xiàng)安全基線項(xiàng) 目名稱(chēng)目名稱(chēng) IIS IP 訪問(wèn)限制安全基線要求項(xiàng) 安全基線編安全基線編 號(hào)號(hào) QB IIS 04 01 01 安全基線項(xiàng)安全基線項(xiàng) 說(shuō)明說(shuō)明 在條件允許的條件下 對(duì) IIS 訪問(wèn)源進(jìn)行 IP 范圍限制 只有在允許的 IP 范 圍內(nèi)的主機(jī)才可以訪問(wèn) WWW 服務(wù) 檢測(cè)操作步檢測(cè)操作步 驟驟 1 1 參考配置操作參考配置操作 開(kāi)始 管理工具 Internet 信息服務(wù) IIS 管理器 選擇相應(yīng)的站點(diǎn) 然后 右鍵點(diǎn)擊 屬性 基線符合性基線符合性 判定依據(jù)判定依據(jù) 1 1 判定條件 判定條件 需要限制訪問(wèn)源的話(huà)進(jìn)行 ip 范圍限制 2 2 檢測(cè)操作 檢測(cè)操作 開(kāi)始 管理工具 Internet 信息服務(wù) IIS 管理器 選擇相應(yīng)的站點(diǎn) 然后 右鍵點(diǎn)擊 屬性 檢查是否進(jìn)行了 ip 的限制 備注備注 4 1 2 IP 轉(zhuǎn)發(fā)安全性轉(zhuǎn)發(fā)安全性 安全基線項(xiàng)安全基線項(xiàng) 目名稱(chēng)目名稱(chēng) IIS IP 轉(zhuǎn)發(fā)安全基線要求項(xiàng) 安全基線編安全基線編 號(hào)號(hào) QB IIS 04 01 02 安全基線項(xiàng)安全基線項(xiàng) 說(shuō)明說(shuō)明 IP 轉(zhuǎn)發(fā)的安全性 檢測(cè)操作步檢測(cè)操作步 驟驟 1 1 參考配置操作 參考配置操作 IIS 服務(wù)可提供 IP 數(shù)據(jù)包轉(zhuǎn)發(fā)功能 此時(shí) 充當(dāng)路由器角色的 IIS 服務(wù)器 將會(huì)把從 Internet 接口收到的 IP 數(shù)據(jù)包轉(zhuǎn)發(fā)到內(nèi)部網(wǎng)中 以此提升 IIS 服 務(wù)安全性 IIS 服務(wù)器啟動(dòng) 網(wǎng)絡(luò)屬性 協(xié)議 選項(xiàng)卡 在 TCP IP 屬性 中去 除 路由選擇 選項(xiàng) 基線符合性基線符合性 判定依據(jù)判定依據(jù) 1 1 判定條件 判定條件 判斷 IIS 所屬服務(wù)器 路由選擇 選項(xiàng)狀態(tài) 2 2 檢測(cè)操作 檢測(cè)操作 IIS 服務(wù)器啟動(dòng) 網(wǎng)絡(luò)屬性 協(xié)議 選項(xiàng)卡 在 TCP IP 屬性 查看 路由選擇 選項(xiàng) 備注備注 4 1 3 SSL 身份認(rèn)證身份認(rèn)證 安全基線項(xiàng)安全基線項(xiàng) 目名稱(chēng)目名稱(chēng) IIS SSL 身份認(rèn)證安全基線要求項(xiàng) 安全基線編安全基線編 號(hào)號(hào) QB IIS 04 01 03 安全基線項(xiàng)安全基線項(xiàng) 說(shuō)明說(shuō)明 IIS 服務(wù) SSL 身份訪問(wèn)認(rèn)證 檢測(cè)操作步檢測(cè)操作步 驟驟 1 1 參考配置操作 參考配置操作 IIS 的身份認(rèn)證除了匿名訪問(wèn) 基本驗(yàn)證和 Windows NT 請(qǐng)求 響應(yīng)方式外 還有一種安全性更高的認(rèn)證 通過(guò) SSL Security Socket Layer 安全機(jī) 制使用數(shù)字證書(shū) 以此提升 IIS 應(yīng)用的身份訪問(wèn)安全性 啟動(dòng) Internet 信息服務(wù) Web 站點(diǎn)的屬性頁(yè) 目錄安全性 選 項(xiàng) 單擊 密鑰管理器 通過(guò)密鑰管理器生成密鑰對(duì)文件和請(qǐng)求文件 從身 份認(rèn)證權(quán)限中申請(qǐng)一個(gè)證書(shū) 通過(guò)密鑰管理器在服務(wù)器上安裝證書(shū)激活 Web 站點(diǎn)的 SSL 安全性 基線符合性基線符合性 判定依據(jù)判定依據(jù) 1 1 判定條件 判定條件 登錄 Internet 信息服務(wù) Web 站點(diǎn)的屬性頁(yè) 目錄安全性 編輯 查看 SSL 相應(yīng)選項(xiàng)選擇狀態(tài) 2 2 檢測(cè)操作 檢測(cè)操作 1 登錄 Internet 信息服務(wù) Web 站點(diǎn)的屬性頁(yè) 目錄安全性 編輯 查看 SSL 相應(yīng)選項(xiàng)選擇狀態(tài) 2 配置相應(yīng) SSL 身份認(rèn)證后 分別以普通身份及基于 SSL 證書(shū)方式分別 登錄 Web 應(yīng)用 查看登錄狀態(tài) 備注備注 第第 5 章章設(shè)備其他安全設(shè)備其他安全功能要求功能要求 5 15 1 屏幕保護(hù)屏幕保護(hù) 5 1 1 屏幕保護(hù)配置屏幕保護(hù)配置 安全基線項(xiàng)安全基線項(xiàng) 目名稱(chēng)目名稱(chēng) IIS 屏幕保護(hù)安全基線要求項(xiàng) 安全基線編安全基線編 號(hào)號(hào) QB IIS 05 01 01 安全基線項(xiàng)安全基線項(xiàng) 說(shuō)明說(shuō)明 對(duì)于具備圖形界面 含 WEB 界面 的設(shè)備 應(yīng)配置定時(shí)自動(dòng)屏幕鎖定 參考 Windows 相關(guān)配置 設(shè)置帶密碼的屏幕保護(hù) 并將時(shí)間設(shè)定為 5 分鐘 檢測(cè)操作步檢測(cè)操作步 驟驟 1 1 參考配置操作 參考配置操作 進(jìn)入 控制面板 顯示 屏幕保護(hù)程序 啟用屏幕保護(hù)程序 設(shè)置等待時(shí)間為 5 分鐘 啟用 在恢復(fù)時(shí)使用密碼 保護(hù) 基線符合性基線符合性 判定依據(jù)判定依據(jù) 1 1 判定條件 判定條件 啟用屏幕保護(hù)程序 設(shè)置等待時(shí)間為 5 分鐘 啟用 在恢復(fù)時(shí)使用密碼 保護(hù) 2 2 檢測(cè)操作 檢測(cè)操作 進(jìn)入 控制面板 顯示 屏幕保護(hù)程序 查看是否啟用屏幕保護(hù)程序 設(shè)置等待時(shí)間為 5 分鐘 啟用 在恢復(fù)時(shí)使用密碼保護(hù) 備注備注 5 25 2 文件系統(tǒng)及訪問(wèn)權(quán)限文件系統(tǒng)及訪問(wèn)權(quán)限 5 2 1 更改更改 IIS 安裝路徑安裝路徑 安全基線項(xiàng)安全基線項(xiàng) 目名稱(chēng)目名稱(chēng) IIS 安裝路徑安全基線要求項(xiàng) 安全基線編安全基線編 號(hào)號(hào) QB IIS 05 02 01 安全基線項(xiàng)安全基線項(xiàng) 說(shuō)明說(shuō)明 更改 IIS 默認(rèn)安裝路徑 檢測(cè)操作步檢測(cè)操作步 驟驟 1 1 參考配置操作參考配置操作 開(kāi)始 管理工具 Internet 信息服務(wù) IIS 管理器 選擇相應(yīng)的站點(diǎn) 然后 右鍵點(diǎn)擊 屬性 IIS 安裝后的默認(rèn)主目錄是 system Inetpubwwwroot 為更好地抵抗踩 點(diǎn) 刺探等攻擊行為 應(yīng)該更改主目錄位置 如下圖所示 基線符合性基線符合性 判定依據(jù)判定依據(jù) 1 1 判定條件 判定條件 更改 IIS 默認(rèn)安裝路徑 2 2 檢測(cè)操作 檢測(cè)操作 開(kāi)始 管理工具 Internet 信息服務(wù) IIS 管理器 選擇相應(yīng)的站點(diǎn) 然后 右鍵點(diǎn)擊 屬性 查看是否更改 IIS 默認(rèn)安裝路徑 備注備注 5 2 2 刪除風(fēng)險(xiǎn)文件刪除風(fēng)險(xiǎn)文件 安全基線項(xiàng)安全基線項(xiàng) 目名稱(chēng)目名稱(chēng) IIS 風(fēng)險(xiǎn)文件安全基線要求項(xiàng) 安全基線編安全基線編 號(hào)號(hào) QB IIS 05 02 02 安全基線項(xiàng)安全基線項(xiàng) 說(shuō)明說(shuō)明 文件安全配置要求 刪除可能帶來(lái)風(fēng)險(xiǎn)的實(shí)例文件 檢測(cè)操作步檢測(cè)操作步 驟驟 1 1 參考配置操作 參考配置操作 僅針對(duì) IIS5 0 IIS6 0 已經(jīng)默認(rèn)刪除 進(jìn)入相應(yīng)目錄 刪除實(shí)例文件 IIS c inetpub iissamples Admin Scripts c inetpub scripts Admin Samples systemroot system32 inetsrv adminsamples IISADMPWD systemroot system32 inetsrv iisadmpwd IISADMIN systemroot system32 inetsrv iisadmin Data access c Program Files Common Files System msadc Samples MSADCc program files common files system msadc 基線符合性基線符合性 判定依據(jù)判定依據(jù) 1 1 判定條件 判定條件 刪除可能帶來(lái)風(fēng)險(xiǎn)的實(shí)例文件 2 2 檢測(cè)操作 檢測(cè)操作 進(jìn)入 c inetpub c Program Files Common Files System msadc Samples 查看是否刪除可能帶來(lái)風(fēng)險(xiǎn)的實(shí)例文件 備注備注 5 2 3 刪除非必要腳本影射刪除非必要腳本影射 安全基線項(xiàng)安全基線項(xiàng) 目名稱(chēng)目名稱(chēng) IIS 腳本影射安全基線要求項(xiàng) 安全基線編安全基線編 號(hào)號(hào) QB IIS 05 02 03 安全基線項(xiàng)安全基線項(xiàng) 說(shuō)明說(shuō)明 文件安全配置要求 刪除不必要的腳本影射 檢測(cè)操作步檢測(cè)操作步 驟驟 1 1 參考配置操作 參考配置操作 開(kāi)始 管理工具 Internet 信息服務(wù) IIS 管理器 選擇相應(yīng)的站點(diǎn) 然后右鍵點(diǎn)擊 屬性 編輯 根目錄 配置 然后從列表中刪除以 下不必要的腳本 包括 htr idc stm shtm shtml printer htw ida 和 idq 刪除的原則 只保留需要的腳本映射 配置方法 配置方法 從 Internet 服務(wù)管理器 中 選擇計(jì)算機(jī)名 點(diǎn)鼠標(biāo)右鍵 選擇屬 性 然后選擇編輯 然后選擇主目錄 點(diǎn)擊配置 選擇需要?jiǎng)h除的擴(kuò)展名 點(diǎn)擊刪除 以下圖示僅供參考 依據(jù)實(shí)際需 求操作 基線符合性基線符合性 判定依據(jù)判定依據(jù) 1 1 判定條件 判定條件 刪除不必要的腳本影射 2 2 檢測(cè)操作 檢測(cè)操作 開(kāi)始 管理工具 Internet 信息服務(wù) IIS 管理器 選擇相應(yīng)的站點(diǎn) 然后 右鍵點(diǎn)擊 屬性 編輯 根目錄 配置 查看是否刪除不必要的腳本影射 備注備注 5 2 4 按帳戶(hù)分配日志訪問(wèn)權(quán)限按帳戶(hù)分配日志訪問(wèn)權(quán)限 安全基線項(xiàng)安全基線項(xiàng) 目名稱(chēng)目名稱(chēng) IIS 按帳戶(hù)分配日志權(quán)限安全基線要求項(xiàng) 安全基線編安全基線編 號(hào)號(hào) QB IIS 05 02 04 安全基線項(xiàng)安全基線項(xiàng) 說(shuō)明說(shuō)明 按賬號(hào)分配日志文件讀取 修改和刪除權(quán)限 從而防止日志文件被篡改或非 法刪除 檢測(cè)操作步檢測(cè)操作步 驟驟 1 1 參考配置操作 參考配置操作 通過(guò) 資源管理器 修改文件權(quán)限 除管理員組用戶(hù)外 其他用戶(hù)不得修 改 刪除日志文件 基線符合性基線符合性 判定依據(jù)判定依據(jù) 1 1 判定條件 判定條件 非管理員組的用戶(hù)不得修改 刪除日志文件 2 2 檢測(cè)操作 檢測(cè)操作 資源管理