IIS服务安全配置风险评估检查表.doc

IIS服务安全配置基线 目 录 第1章 概述 1 1.1 目的 1 1.2 适用范围 1 1.3 适用版本 1 第2章 账号管理、认证授权 2 2.1 账号 2 2.1.1 避免帐号共享 2 2.1.2 删除或锁定无关帐号 3 2.2 口令 3 2.2.1 密码复杂度 3 2.2.2 密码历史 4 2.2.3 密码更改 5 2.2.4 认证失败 5 2.3 授权 6 2.3.1 用户权利指派 6 第3章 日志要求 8 3.1 日志配置 8 3.1.1 启用日志功能 8 3.1.2 更改日志存放路径 8 3.1.3 记录安全事件 9 3.1.4 日志访问权限 10 第4章 IP协议安全配置操作 11 4.1 IP协议 11 4.1.1 IP访问限制 11 4.1.2 IP转发安全性 12 4.1.3 SSL身份认证 12 第5章 设备其他安全功能要求 14 5.1 屏幕保护 14 5.1.1 屏幕保护配置 14 5.2 文件系统及访问权限 14 5.2.1 更改IIS安装路径 14 5.2.2 删除风险文件 16 5.2.3 删除非必要脚本影射 16 5.2.4 按帐户分配日志访问权限 19 5.3 补丁管理 20 5.3.1 升级补丁 20 5.4 IIS服务组件 21 5.4.1 组件安装管理 21 5.4.2 服务扩展管理 21 概述 目的 本文档规定了应当遵循的安全性设置标准，本文档旨在指导系统管理人员进行安全配置。本的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。 安全基线编号 QB-IIS-02-01-01 安全基线项说明 应按照用户分配账号。避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享（对于IIS用户定义分为两个层次：一、IIS自身操作用户，二、IIS发布应用访问用户） 检测操作步骤 1、参考配置操作 进入控制面板-管理工具-，在-本地用户和组”：根据系统的要求，设定不同的账户和账户组.对应设置IIS系统管理员的权限。 进入IIS管理器-相应网站“属性”-“目录安全性”-“身份访问及访问控制”：其中分为“匿名访问身份”及“基本（Basic）验证基本（Basic）验证 基线符合性判定依据 1、判定条件 结合要求和实际业务情况判断符合要求，根据系统的要求，设定不同的账户和账户组。 2、检测操作 进入控制面板-管理工具-，在-本地用户和组”：查看根据系统的要求，设定不同的账户和账户组。 进入IIS管理器-相应网站“属性”-“目录安全性”-“身份访问及访问控制”查看相应配置。 备注 删除或锁定无关帐号 安全基线项目名称 IIS无关帐号安全基线要求项 安全基线编号 QB-IIS-02-01-02 安全基线项说明 应删除或锁定与设备运行、维护等工作无关的账号（对于IIS用户定义分为两个层次：一、IIS自身操作用户，二、IIS发布应用访问用户；对于删除无用帐号可参考Windows操作系统无用帐号的删除） 检测操作步骤 1、参考配置操作 进入控制面板-管理工具-，在-本地用户和组”：删除或锁定与设备运行、维护等与工作无关的账号。 基线符合性判定依据 1、判定条件 结合要求和实际业务情况判断符合要求，删除或锁定与设备运行、维护等与工作无关的账号。 2、检测操作 进入控制面板-管理工具-，在-本地用户和组”：查看是否删除或锁定与设备运行、维护等与工作无关的账号。 备注 口令 密码复杂度 安全基线项目名称 IIS密码复杂度安全基线要求项 安全基线编号 QB-IIS-02-02-01 安全基线项说明 对于采用静态口令认证技术的设备，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类（IIS基于Windows系统，可通过提升Windows自身密码安全等级实现） 检测操作步骤 1、参考配置操作 进入控制面板-管理工具-本地安全策略，在-密码策略”：“密码必须符合复杂性要求”” 基线符合性判定依据 1、判定条件 “密码必须符合复杂性要求”” 2、检测操作 进入控制面板-管理工具-本地安全策略，在-密码策略”：查看是否“密码必须符合复杂性要求”” 备注 密码历史 安全基线项目名称 IIS密码历史安全基线要求项 安全基线编号 QB-IIS-02-02-02 安全基线项说明 对于采用静态口令认证技术的设备，维护人员使用的账户口令的生存期不长于90天（IIS基于Windows系统，可通过提升Windows帐户策略实现） 检测操作步骤 1、参考配置操作 进入控制面板-管理工具-本地安全策略，在-密码策略”：“密码最长 基线符合性判定依据 1、判定条件 “密码最长进入控制面板-管理工具-本地安全策略，在-密码策略”：查看是否“密