2、Web中间件测评单.xls

WebLogic IIS Apache 检查快捷链接 MW-APC-10 MW-APC-11 检查服务器端包含 MW-APC-12 MW-APC-13 检查对网站的检索 MW-APC-14 检查对访问权限修改的限制 MW-APC-15 检查对Apache服务进程的限制 MW-APC-16 检查对日志文件的监控和备份 MW-APC-17 检查对服务器的备份 MW-APC-18 检查服务器的鉴别和认证设置 检查系统补丁安装情况 检查是否为专用的Web服务器 检查Apache服务器的安装路径 检查Web内容的路径和权限 检查并记录Apache服务器是否做为专用的Web服务器配 检查并记录Apache服务器的安装路径，是否NTFS格式 检查并记录是否删除厂商文档及其他不必要的内容 检查并记录服务器提示信息 检查并记录是否开启服务器日志功能 检查并记录配置文件和日志文件的存储位置 检查并记录是否禁止快捷链接 检查并记录是否禁止自动目录列表 检查并记录是否禁止服务器端包含 检查并记录是否限制对网站的检索 检查并记录对访问权限修改的限制 检查并记录对Apache服务进程的限制 检查并记录服务器的鉴别和认证设置 执行：检查操作系统的服务列表，或检查“/etc/xinetd.d”目录下的各服务配置文件，或使用“netstat –an”命令查看开放的端口。查看：开启的需要的其他服务器应用；开启的不必要的服务器应用 检查并记录Web内容的存储路径和权限设置 执行：检查Apache服务器的所有相关目录和文件。 查看：是否存在带有Apache厂商文档的“manual”和“hdocs”目录； 是否存在Apache版本发布的src目录； 是否有不必要的脚本和可执行代码（如CGI、PHP等）； 是否删除了网站中所有示例的、废弃的或其他不必要的Web内容。 执行：打开配置文件“httpd.conf”，检查“ErrorLog”、“CustomLog”、“LogLevel”条目。 查看：是否开启了错误日志； 是否开启了访问日志； 定义的错误日志等级。 执行：打开配置文件“httpd.conf”，检查“Options”条目。 查看：是否设置了“Includes”参数； 是否设置了“IncludeNoExec”参数。 执行：使用“ps -ax”命令显示服务器进程运行的权限。 查看：Apache服务进程是否能对Web内容存放的目录进行写操作； 是否仅那些授权担任Web服务器管理任务的进程可以对Web内容文件进行写操作； 是否限制Apache服务进程对Web文件内容文件的访问控制权限为只读，不可写。 分类 审计项名称 审计项说明 序号 编号 审计方法及步骤 审核人 审核时间 修订人 修订时间 MW-IIS-1 MW-IIS-2 MW-IIS-3 MW-IIS-4 MW-IIS-5 MW-IIS-6 MW-IIS-7 MW-IIS-8 MW-IIS-9 MW-IIS-10 MW-IIS-11 MW-IIS-12 MW-IIS-13 MW-IIS-14 MW-IIS-15 MW-IIS-16 MW-IIS-17 MW-IIS-18 MW-IIS-19 MW-IIS-20 MW-IIS-21 MW-IIS-22 MW-IIS-23 MW-IIS-24 MW-IIS-25 MW-IIS-26 检查系统补丁安装情况 检查并记录系统是否安装了最新的安全补丁 检查是否将IIS安装在主域控制器上 检查并记录是否将IIS安装在主域控制器上 检查检查WEB站点放置位置 检查并记录检查WEB站点放置位置 检查是否禁用或者删除不必要的IIS服务和组件 检查并记录是否禁用或者删除不必要的IIS服务和组件 检查虚拟目录 检查并记录虚拟目录是否被重定向到操作系统所在分区 检查目录浏览功能 检查并记录是否禁止目录浏览功能 检查应用程序映射 检查并记录是否删除不必要的应用程序映射 检查banner信息 检查并记录是否限制由IIS返回的banner信息 检查网络连接超时 检查并记录网络连接超时设置 检查父路径 检查并记录是否关闭父路径 检查IIS中的文件分类和权限 检查并记录是否为IIS中的文件分类，并设置NTFS权限 检查IIS WEB站点权限 检查并记录是否设置合适的IIS WEB站点权限 检查并记录是否删除不必要的虚拟目录 检查是否全力保护IIS metabase文件 检查并记录对IIS metabase文件的保护措施 检查IIS metabase文件备份 检查并记录是否定期备份IIS Metabase，并确保备份文件的安全 检查是否保护能够编辑Metabase的工具 检查并记录对能够编辑Metabase的工具的保护 检查日志记录功能 检查并记录是否启用日志记录功能