IIS服務(wù)安全配置風(fēng)險評估檢查表.doc

IISIIS 服務(wù)安全配置基線服務(wù)安全配置基線 目目 錄錄 第第 1 章章概述概述 1 1 1目的 1 1 2適用范圍 1 1 3適用版本 1 第第 2 章章賬號管理 認(rèn)證授權(quán)賬號管理 認(rèn)證授權(quán) 2 2 1賬號 2 2 1 1避免帳號共享 2 2 1 2刪除或鎖定無關(guān)帳號 3 2 2口令 3 2 2 1密碼復(fù)雜度 3 2 2 2密碼歷史 4 2 2 3密碼更改 5 2 2 4認(rèn)證失敗 5 2 3授權(quán) 6 2 3 1用戶權(quán)利指派 6 第第 3 章章日志要求日志要求 8 3 1日志配置 8 3 1 1啟用日志功能 8 3 1 2更改日志存放路徑 8 3 1 3記錄安全事件 9 3 1 4日志訪問權(quán)限 10 第第 4 章章IP 協(xié)議安全配置操作協(xié)議安全配置操作 11 4 1IP 協(xié)議 11 4 1 1IP訪問限制 11 4 1 2IP轉(zhuǎn)發(fā)安全性 12 4 1 3SSL身份認(rèn)證 12 第第 5 章章設(shè)備其他安全功能要求設(shè)備其他安全功能要求 14 5 1屏幕保護(hù) 14 5 1 1屏幕保護(hù)配置 14 5 2文件系統(tǒng)及訪問權(quán)限 14 5 2 1更改IIS安裝路徑 14 5 2 2刪除風(fēng)險文件 16 5 2 3刪除非必要腳本影射 16 5 2 4按帳戶分配日志訪問權(quán)限 19 5 3補(bǔ)丁管理 20 5 3 1升級補(bǔ)丁 20 5 4IIS 服務(wù)組件 21 5 4 1組件安裝管理 21 5 4 2服務(wù)擴(kuò)展管理 21 第第 1 章章概述概述 1 11 1目的目的 本文檔規(guī)定了 IIS 服務(wù)器應(yīng)當(dāng)遵循的安全性設(shè)置標(biāo)準(zhǔn) 本文檔旨在指導(dǎo)系統(tǒng)管理人員 進(jìn)行 IIS 服務(wù)器的安全配置 1 21 2適用范圍適用范圍 本配置標(biāo)準(zhǔn)的使用者包括 服務(wù)器系統(tǒng)管理員 應(yīng)用管理員 網(wǎng)絡(luò)安全管理員 1 31 3 適用版本適用版本 5 0 6 0 7 0 2003 等版本 第第 2 章章賬號管理 認(rèn)證授權(quán)賬號管理 認(rèn)證授權(quán) 2 12 1 賬號賬號 2 1 1 避免帳號共享避免帳號共享 安全基線項安全基線項 目名稱目名稱 IIS 帳號共享安全基線要求項 安全基線編安全基線編 號號 QB IIS 02 01 01 安全基線項安全基線項 說明說明 應(yīng)按照用戶分配賬號 避免不同用戶間共享賬號 避免用戶賬號和設(shè)備間通 信使用的賬號共享 對于 IIS 用戶定義分為兩個層次 一 IIS 自身操作用 戶 二 IIS 發(fā)布應(yīng)用訪問用戶 檢測操作步檢測操作步 驟驟 1 1 參考配置操作 參考配置操作 進(jìn)入 控制面板 管理工具 計算機(jī)管理 在 系統(tǒng)工具 本地用戶和組 根據(jù)系統(tǒng)的要求 設(shè)定不同的賬戶和賬戶組 對應(yīng)設(shè)置 IIS 系統(tǒng)管理員的 權(quán)限 進(jìn)入 IIS 管理器 相應(yīng)網(wǎng)站 屬性 目錄安全性 身份訪問及訪問 控制 其中分為 匿名訪問身份 及 基本 Basic 驗(yàn)證 基本 Basic 驗(yàn)證 包含 集成 windows 身份驗(yàn)證 Windows 域服務(wù)器的 摘要身份驗(yàn)證 基本身份驗(yàn)證 NET Passport 身份驗(yàn)證 可依據(jù)業(yè) 務(wù)應(yīng)用安全特性 相應(yīng)配置 基線符合性基線符合性 判定依據(jù)判定依據(jù) 1 1 判定條件 判定條件 結(jié)合要求和實(shí)際業(yè)務(wù)情況判斷符合要求 根據(jù)系統(tǒng)的要求 設(shè)定不同的賬戶 和賬戶組 2 2 檢測操作 檢測操作 進(jìn)入 控制面板 管理工具 計算機(jī)管理 在 系統(tǒng)工具 本地用戶和組 查看根據(jù)系統(tǒng)的要求 設(shè)定不同的賬戶和賬戶組 進(jìn)入 IIS 管理器 相應(yīng)網(wǎng)站 屬性 目錄安全性 身份訪問及訪問 控制 查看相應(yīng)配置 備注備注 2 1 2 刪除或鎖定無關(guān)帳號刪除或鎖定無關(guān)帳號 安全基線項安全基線項 目名稱目名稱 IIS 無關(guān)帳號安全基線要求項 安全基線編安全基線編 號號 QB IIS 02 01 02 安全基線項安全基線項 說明說明 應(yīng)刪除或鎖定與設(shè)備運(yùn)行 維護(hù)等工作無關(guān)的賬號 對于 IIS 用戶定義分為 兩個層次 一 IIS 自身操作用戶 二 IIS 發(fā)布應(yīng)用訪問用戶 對于刪除 無用帳號可參考 Windows 操作系統(tǒng)無用帳號的刪除 檢測操作步檢測操作步 驟驟 1 1 參考配置操作 參考配置操作 進(jìn)入 控制面板 管理工具 計算機(jī)管理 在 系統(tǒng)工具 本地用戶和組 刪除或鎖定與設(shè)備運(yùn)行 維護(hù)等與工作無關(guān)的賬號 基線符合性基線符合性 判定依據(jù)判定依據(jù) 1 1 判定條件 判定條件 結(jié)合要求和實(shí)際業(yè)務(wù)情況判斷符合要求 刪除或鎖定與設(shè)備運(yùn)行 維護(hù)等與 工作無關(guān)的賬號 2 2 檢測操作 檢測操作 進(jìn)入 控制面板 管理工具 計算機(jī)管理 在 系統(tǒng)工具 本地用戶和組 查看是否刪除或鎖定與設(shè)備運(yùn)行 維護(hù)等與工作無關(guān)的賬號 備注備注 2 22 2 口令口令 2 2 1 密碼復(fù)雜度密碼復(fù)雜度 安全基線項安全基線項 目名稱目名稱 IIS 密碼復(fù)雜度安全基線要求項 安全基線編安全基線編 號號 QB IIS 02 02 01 安全基線項安全基線項 說明說明 對于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備 口令長度至少 8 位 并包括數(shù)字 小寫 字母 大寫字母和特殊符號 4 類中至少 2 類 IIS 基于 Windows 系統(tǒng) 可通 過提升 Windows 自身密碼安全等級實(shí)現(xiàn) 檢測操作步檢測操作步 驟驟 1 1 參考配置操作 參考配置操作 進(jìn)入 控制面板 管理工具 本地安全策略 在 帳戶策略 密碼策略 密碼必須符合復(fù)雜性要求 選擇 已啟動 基線符合性基線符合性 判定依據(jù)判定依據(jù) 1 1 判定條件 判定條件 密碼必須符合復(fù)雜性要求 選擇 已啟動 2 2 檢測操作 檢測操作 進(jìn)入 控制面板 管理工具 本地安全策略 在 帳戶策略 密碼策略 查看是否 密碼必須符合復(fù)雜性要求 選擇 已啟動 備注備注 2 2 2 密碼歷史密碼歷史 安全基線項安全基線項 目名稱目名稱 IIS 密碼歷史安全基線要求項 安全基線編安全基線編 號號 QB IIS 02 02 02 安全基線項安全基線項 說明說明 對于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備 維護(hù)人員使用的賬戶口令的生存期不長 于 90 天 IIS 基于 Windows 系統(tǒng) 可通過提升 Windows 帳戶策略實(shí)現(xiàn) 檢測操作步檢測操作步 驟驟 1 1 參考配置操作 參考配置操作 進(jìn)入 控制面板 管理工具 本地安全策略 在 帳戶策略 密碼策略 密碼最長存留期 設(shè)置為 90 天 基線符合性基線符合性 判定依據(jù)判定依據(jù) 1 1 判定條件 判定條件 密碼最長存留期 設(shè)置為 90 天 2 2 檢測操作 檢測操作 進(jìn)入 控制面板 管理工具 本地安全策略 在 帳戶策略 密碼策略 查看是否 密碼最長存留期 設(shè)置為 90 天 備注備注 2 2 3 密碼更改密碼更改 安全基線項安全基線項 目名稱目名稱 IIS 密碼更改安全基線要求項 安全基線編安全基線編 號號 QB IIS 02 02 03 安全基線項安全基線項 說明說明 對于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備 應(yīng)配置設(shè)備 使用戶不能重復(fù)使用最近 5 次 含 5 次 內(nèi)已使用的口令 IIS 基于 Windows 系統(tǒng) 可通過提升 Windows 帳戶策略實(shí)現(xiàn) 檢測操作步檢測操作步 驟驟 1 1 參考配置操作 參考配置操作 進(jìn)入 控制面板 管理工具 本地安全策略 在 帳戶策略 密碼策略 強(qiáng)制密碼歷史 設(shè)置為 記住 5 個密碼 基線符合性基線符合性 判定依據(jù)判定依據(jù) 1 1 判定條件 判定條件 強(qiáng)制密碼歷史 設(shè)置為 記住 5 個密碼 2 2 檢測操作 檢測操作 進(jìn)入 控制面板 管理工具 本地安全策略 在 帳戶策略 密碼策略 查看是否 強(qiáng)制密碼歷史 設(shè)置為 記住 5 個密碼 備注備注 2 2 4 認(rèn)證失敗認(rèn)證失敗 安全基線項安全基線項 目名稱目名稱 IIS 認(rèn)證失敗安全基線要求項 安全基線編安全基線編 號號 QB IIS 02 02 04 安全基線項安全基線項 說明說明 對于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備 應(yīng)配置當(dāng)用戶連續(xù)認(rèn)證失敗次數(shù)超過 6 次 不含 6 次 鎖定該用戶使用的賬號 IIS 基于 Windows 系統(tǒng) 可通過 提升 Windows 帳戶策略實(shí)現(xiàn) 檢測操作步檢測操作步 驟驟 1 1 參考配置操作 參考配置操作 進(jìn)入 控制面板 管理工具 本地安全策略 在 帳戶策略 帳戶鎖定策 略 賬戶鎖定閥值 設(shè)置為 6 次 基線符合性基線符合性 1 1 判定條件 判定條件 判定依據(jù)判定依據(jù) 賬戶鎖定閥值 設(shè)置為小于或等于 6 次 2 2 檢測操作 檢測操作 進(jìn)入 控制面板 管理工具 本地安全策略 在 帳戶策略 帳戶鎖定策 略 查看是否 賬戶鎖定閥值 設(shè)置為小于等于 6 次 備注備注 2 32 3 授權(quán)授權(quán) 2 3 1 用戶權(quán)利指派用戶權(quán)利指派 安全基線項安全基線項 目名稱目名稱 IIS 用戶權(quán)利指派安全基線要求項 安全基線編安全基線編 號號 QB IIS 02 03 01 安全基線項安全基線項 說明說明 在設(shè)備權(quán)限配置能力內(nèi) 根據(jù)用戶的業(yè)務(wù)需要 配置其所需的最小權(quán)限 對 于 IIS 用戶定義分為兩個層次 一 IIS 自身操作用戶 二 IIS 發(fā)布應(yīng)用 訪問用戶 設(shè)備權(quán)限的配置基于上述兩方面考慮 檢測操作步檢測操作步 驟驟 1 1 參考配置操作 參考配置操作 原理 原理 1 文件夾和文件的訪問權(quán)限 安放在 NTFS 文件系統(tǒng)上的文件夾和文件 一方面要對其權(quán)限加以控制 對不同的用戶組和用戶進(jìn)行不同的權(quán)限設(shè)置 另外 可利用 NTFS 的審核功能對某些特定用戶組成員 讀文件的企圖等方面 進(jìn)行審核 有效地通過監(jiān)視如文件訪問 用戶對象的使用等發(fā)現(xiàn)非法用戶進(jìn) 行非法活動的前兆 及時加以預(yù)防制止 2 目錄的訪問權(quán)限 已經(jīng)設(shè)置成 Web 目錄的文件夾 可以通過操作 Web 站點(diǎn)屬性頁面實(shí)現(xiàn)對 www 目錄訪問權(quán)限的控制 而該目錄下的所有文件和子 文件夾都將繼承這些安全性 www 服務(wù)除了提供 NTFS 文件系統(tǒng)提供的權(quán)限 外 還提供讀取權(quán)限 允許用戶讀取或下載 WWW 目錄中的文件 執(zhí)行權(quán)限 允許用戶運(yùn)行 www 目錄下的程序和腳本 具體操作 具體操作 1 啟動 域用戶管理器 規(guī)則 選單下的 審核 選項 審 核規(guī)則 2 啟動 ISM Internet 服務(wù)器管理器 啟動 Web 屬性頁面并選擇 目錄 選項卡 選擇 www 目錄 選擇 編輯屬性 中的 目錄屬 性 進(jìn)行設(shè)置 腳本資源訪問 讀取 寫入 目錄瀏覽 記錄訪 問 索引資源 基線符合性基線符合性 判定依據(jù)判定依據(jù) 1 1 判定條件 判定條件 檢測用戶權(quán)限審核及 ISM 目錄安全屬性 2 2 檢測操作 檢測操作 1 啟動 域用戶管理器 規(guī)則 選單下的 審核 選項 審 核規(guī)則 檢測 審核規(guī)則 配置狀態(tài) 2 啟動 ISM Internet 服務(wù)器管理器 啟動 Web 屬性頁面并選擇 目錄 選項卡 選擇 www 目錄 編輯屬性 中的 目錄屬性 查看配置狀態(tài) 備注備注 第第 3 章章日志要求日志要求 3 13 1 日志配置日志配置 3 1 1 啟用日志功能啟用日志功能 安全基線項安全基線項 目名稱目名稱 IIS 啟用日志功能安全基線要求項 安全基線編安全基線編 號號 QB IIS 03 03 01 安全基線項安全基線項 說明說明 啟用日志功能啟用日志功能 檢測操作步檢測操作步 驟驟 1 1 參考配置操作 參考配置操作 打開 IIS 管理工具 右擊要管理的站點(diǎn) 選擇 屬性 在 Web Site 選 擇 啟用日志記錄 從下拉菜單中選擇 Microsotf IIS 日志文件格式 W3C 日志格式存在日志記錄時間與服務(wù)器時間不統(tǒng)一的問題 所以應(yīng)盡 量采用 IIS 日志格式 基線符合性基線符合性 判定依據(jù)判定依據(jù) 1 1 判定條件 判定條件 啟用日志記錄 并采用 IIS 日志格式 2 2 檢測操作 檢測操作 開始 管理工具 Internet 信息服務(wù) IIS 管理器 選擇相應(yīng)的站點(diǎn) 然后 右鍵點(diǎn)擊 屬性 檢查是否 啟用日志記錄 并采用 Microsotf IIS 日志 文件格式 備注備注 3 1 2 更改日志存放路徑更改日志存放路徑 安全基線項安全基線項 目名稱目名稱 IIS 日志存放路徑安全基線要求項 安全基線編安全基線編 號號 QB IIS 03 01 02 安全基線項安全基線項 說明說明 更改更改 IISIIS WebWeb 日志默認(rèn)存放路徑日志默認(rèn)存放路徑 檢測操作步檢測操作步 驟驟 1 1 參考配置操作 參考配置操作 將 IIS 的網(wǎng)頁訪問日志獨(dú)立存放在一個獨(dú)立的分區(qū)中 并且系統(tǒng)管理員要定 期對該目錄進(jìn)行查看和維護(hù) 確保日志內(nèi)容不會溢出 并可以及早的發(fā)現(xiàn)網(wǎng) 絡(luò)異常行為 基線符合性基線符合性 判定依據(jù)判定依據(jù) 1 1 判定條件 判定條件 IIS 的網(wǎng)頁訪問日志獨(dú)立存放在一個獨(dú)立的分區(qū)中 2 2 檢測操作 檢測操作 進(jìn)入 開始 管理工具 資源管理器 查看日志文件存放路徑 備注備注 3 1 3 記錄安全事件記錄安全事件 安全基線項安全基線項 目名稱目名稱 IIS 記錄安全事件安全基線要求項 安全基線編安全基線編 號號 QB IIS 03 01 03 安全基線項安全基線項 說明說明 設(shè)備應(yīng)配置日志功能 記錄與設(shè)備相關(guān)的安全事件 檢測操作步檢測操作步 驟驟 1 1 參考配置操作 參考配置操作 1 進(jìn)入 控制面板 管理工具 本地安全策略 在 本地策略 審核策 略 中配置相應(yīng) 審核對象訪問 審核目錄服務(wù)器訪問 審核系統(tǒng)事 件 審核帳號管理 審核過程追蹤 選項 2 運(yùn)行 IIS 管理器 Internet 信息服務(wù) 應(yīng)用相關(guān)站點(diǎn) 屬性 網(wǎng)站 屬性 高級 選擇 時間 日期 擴(kuò)展屬性 是否 選擇 基線符合性基線符合性 判定依據(jù)判定依據(jù) 1 1 判定條件 判定條件 確定系統(tǒng)相關(guān) 審核策略 確定 IIS 相關(guān) 站點(diǎn)屬性 日志詳細(xì)記錄 2 2 檢測操作 檢測操作 進(jìn)入 控制面板 管理工具 本地安全策略 查看 本地策略 審核策略 配置 成功 失敗 的選擇記錄 備注備注 3 1 4 日志訪問權(quán)限日志訪問權(quán)限 安全基線項安全基線項 目名稱目名稱 IIS 日志訪問權(quán)限安全基線要求項 安全基線編安全基線編 號號 QB IIS 03 01 04 安全基線項安全基線項 說明說明 設(shè)備應(yīng)配置權(quán)限 控制對日志文件讀取 修改和刪除等操作 檢測操作步檢測操作步 驟驟 1 1 參考配置操作 參考配置操作 進(jìn)入 控制面板 管理工具 本地安全策略 在 本地策略 審核策略 中配置相應(yīng) 審核策略更改 配置相應(yīng)選項 基線符合性基線符合性 判定依據(jù)判定依據(jù) 1 1 判定條件 判定條件 確定系統(tǒng)相關(guān) 審核策略 2 2 檢測操作 檢測操作 進(jìn)入 控制面板 管理工具 本地安全策略 在 本地策略 審核策略 中配置相應(yīng) 審核策略更改 選項選擇狀態(tài) 備注備注 第第 4 章章IPIP 協(xié)議安全配置操作協(xié)議安全配置操作 4 14 1 IPIP 協(xié)議協(xié)議 4 1 1 IP 訪問限制訪問限制 安全基線項安全基線項 目名稱目名稱 IIS IP 訪問限制安全基線要求項 安全基線編安全基線編 號號 QB IIS 04 01 01 安全基線項安全基線項 說明說明 在條件允許的條件下 對 IIS 訪問源進(jìn)行 IP 范圍限制 只有在允許的 IP 范 圍內(nèi)的主機(jī)才可以訪問 WWW 服務(wù) 檢測操作步檢測操作步 驟驟 1 1 參考配置操作參考配置操作 開始 管理工具 Internet 信息服務(wù) IIS 管理器 選擇相應(yīng)的站點(diǎn) 然后 右鍵點(diǎn)擊 屬性 基線符合性基線符合性 判定依據(jù)判定依據(jù) 1 1 判定條件 判定條件 需要限制訪問源的話進(jìn)行 ip 范圍限制 2 2 檢測操作 檢測操作 開始 管理工具 Internet 信息服務(wù) IIS 管理器 選擇相應(yīng)的站點(diǎn) 然后 右鍵點(diǎn)擊 屬性 檢查是否進(jìn)行了 ip 的限制 備注備注 4 1 2 IP 轉(zhuǎn)發(fā)安全性轉(zhuǎn)發(fā)安全性 安全基線項安全基線項 目名稱目名稱 IIS IP 轉(zhuǎn)發(fā)安全基線要求項 安全基線編安全基線編 號號 QB IIS 04 01 02 安全基線項安全基線項 說明說明 IP 轉(zhuǎn)發(fā)的安全性 檢測操作步檢測操作步 驟驟 1 1 參考配置操作 參考配置操作 IIS 服務(wù)可提供 IP 數(shù)據(jù)包轉(zhuǎn)發(fā)功能 此時 充當(dāng)路由器角色的 IIS 服務(wù)器 將會把從 Internet 接口收到的 IP 數(shù)據(jù)包轉(zhuǎn)發(fā)到內(nèi)部網(wǎng)中 以此提升 IIS 服 務(wù)安全性 IIS 服務(wù)器啟動 網(wǎng)絡(luò)屬性 協(xié)議 選項卡 在 TCP IP 屬性 中去 除 路由選擇 選項 基線符合性基線符合性 判定依據(jù)判定依據(jù) 1 1 判定條件 判定條件 判斷 IIS 所屬服務(wù)器 路由選擇 選項狀態(tài) 2 2 檢測操作 檢測操作 IIS 服務(wù)器啟動 網(wǎng)絡(luò)屬性 協(xié)議 選項卡 在 TCP IP 屬性 查看 路由選擇 選項 備注備注 4 1 3 SSL 身份認(rèn)證身份認(rèn)證 安全基線項安全基線項 目名稱目名稱 IIS SSL 身份認(rèn)證安全基線要求項 安全基線編安全基線編 號號 QB IIS 04 01 03 安全基線項安全基線項 說明說明 IIS 服務(wù) SSL 身份訪問認(rèn)證 檢測操作步檢測操作步 驟驟 1 1 參考配置操作 參考配置操作 IIS 的身份認(rèn)證除了匿名訪問 基本驗(yàn)證和 Windows NT 請求 響應(yīng)方式外 還有一種安全性更高的認(rèn)證 通過 SSL Security Socket Layer 安全機(jī) 制使用數(shù)字證書 以此提升 IIS 應(yīng)用的身份訪問安全性 啟動 Internet 信息服務(wù) Web 站點(diǎn)的屬性頁 目錄安全性 選 項 單擊 密鑰管理器 通過密鑰管理器生成密鑰對文件和請求文件 從身 份認(rèn)證權(quán)限中申請一個證書 通過密鑰管理器在服務(wù)器上安裝證書激活 Web 站點(diǎn)的 SSL 安全性 基線符合性基線符合性 判定依據(jù)判定依據(jù) 1 1 判定條件 判定條件 登錄 Internet 信息服務(wù) Web 站點(diǎn)的屬性頁 目錄安全性 編輯 查看 SSL 相應(yīng)選項選擇狀態(tài) 2 2 檢測操作 檢測操作 1 登錄 Internet 信息服務(wù) Web 站點(diǎn)的屬性頁 目錄安全性 編輯 查看 SSL 相應(yīng)選項選擇狀態(tài) 2 配置相應(yīng) SSL 身份認(rèn)證后 分別以普通身份及基于 SSL 證書方式分別 登錄 Web 應(yīng)用 查看登錄狀態(tài) 備注備注 第第 5 章章設(shè)備其他安全設(shè)備其他安全功能要求功能要求 5 15 1 屏幕保護(hù)屏幕保護(hù) 5 1 1 屏幕保護(hù)配置屏幕保護(hù)配置 安全基線項安全基線項 目名稱目名稱 IIS 屏幕保護(hù)安全基線要求項 安全基線編安全基線編 號號 QB IIS 05 01 01 安全基線項安全基線項 說明說明 對于具備圖形界面 含 WEB 界面 的設(shè)備 應(yīng)配置定時自動屏幕鎖定 參考 Windows 相關(guān)配置 設(shè)置帶密碼的屏幕保護(hù) 并將時間設(shè)定為 5 分鐘 檢測操作步檢測操作步 驟驟 1 1 參考配置操作 參考配置操作 進(jìn)入 控制面板 顯示 屏幕保護(hù)程序 啟用屏幕保護(hù)程序 設(shè)置等待時間為 5 分鐘 啟用 在恢復(fù)時使用密碼 保護(hù) 基線符合性基線符合性 判定依據(jù)判定依據(jù) 1 1 判定條件 判定條件 啟用屏幕保護(hù)程序 設(shè)置等待時間為 5 分鐘 啟用 在恢復(fù)時使用密碼 保護(hù) 2 2 檢測操作 檢測操作 進(jìn)入 控制面板 顯示 屏幕保護(hù)程序 查看是否啟用屏幕保護(hù)程序 設(shè)置等待時間為 5 分鐘 啟用 在恢復(fù)時使用密碼保護(hù) 備注備注 5 25 2 文件系統(tǒng)及訪問權(quán)限文件系統(tǒng)及訪問權(quán)限 5 2 1 更改更改 IIS 安裝路徑安裝路徑 安全基線項安全基線項 目名稱目名稱 IIS 安裝路徑安全基線要求項 安全基線編安全基線編 號號 QB IIS 05 02 01 安全基線項安全基線項 說明說明 更改 IIS 默認(rèn)安裝路徑 檢測操作步檢測操作步 驟驟 1 1 參考配置操作參考配置操作 開始 管理工具 Internet 信息服務(wù) IIS 管理器 選擇相應(yīng)的站點(diǎn) 然后 右鍵點(diǎn)擊 屬性 IIS 安裝后的默認(rèn)主目錄是 system Inetpubwwwroot 為更好地抵抗踩 點(diǎn) 刺探等攻擊行為 應(yīng)該更改主目錄位置 如下圖所示 基線符合性基線符合性 判定依據(jù)判定依據(jù) 1 1 判定條件 判定條件 更改 IIS 默認(rèn)安裝路徑 2 2 檢測操作 檢測操作 開始 管理工具 Internet 信息服務(wù) IIS 管理器 選擇相應(yīng)的站點(diǎn) 然后 右鍵點(diǎn)擊 屬性 查看是否更改 IIS 默認(rèn)安裝路徑 備注備注 5 2 2 刪除風(fēng)險文件刪除風(fēng)險文件 安全基線項安全基線項 目名稱目名稱 IIS 風(fēng)險文件安全基線要求項 安全基線編安全基線編 號號 QB IIS 05 02 02 安全基線項安全基線項 說明說明 文件安全配置要求 刪除可能帶來風(fēng)險的實(shí)例文件 檢測操作步檢測操作步 驟驟 1 1 參考配置操作 參考配置操作 僅針對 IIS5 0 IIS6 0 已經(jīng)默認(rèn)刪除 進(jìn)入相應(yīng)目錄 刪除實(shí)例文件 IIS c inetpub iissamples Admin Scripts c inetpub scripts Admin Samples systemroot system32 inetsrv adminsamples IISADMPWD systemroot system32 inetsrv iisadmpwd IISADMIN systemroot system32 inetsrv iisadmin Data access c Program Files Common Files System msadc Samples MSADCc program files common files system msadc 基線符合性基線符合性 判定依據(jù)判定依據(jù) 1 1 判定條件 判定條件 刪除可能帶來風(fēng)險的實(shí)例文件 2 2 檢測操作 檢測操作 進(jìn)入 c inetpub c Program Files Common Files System msadc Samples 查看是否刪除可能帶來風(fēng)險的實(shí)例文件 備注備注 5 2 3 刪除非必要腳本影射刪除非必要腳本影射 安全基線項安全基線項 目名稱目名稱 IIS 腳本影射安全基線要求項 安全基線編安全基線編 號號 QB IIS 05 02 03 安全基線項安全基線項 說明說明 文件安全配置要求 刪除不必要的腳本影射 檢測操作步檢測操作步 驟驟 1 1 參考配置操作 參考配置操作 開始 管理工具 Internet 信息服務(wù) IIS 管理器 選擇相應(yīng)的站點(diǎn) 然后右鍵點(diǎn)擊 屬性 編輯 根目錄 配置 然后從列表中刪除以 下不必要的腳本 包括 htr idc stm shtm shtml printer htw ida 和 idq 刪除的原則 只保留需要的腳本映射 配置方法 配置方法 從 Internet 服務(wù)管理器 中 選擇計算機(jī)名 點(diǎn)鼠標(biāo)右鍵 選擇屬 性 然后選擇編輯 然后選擇主目錄 點(diǎn)擊配置 選擇需要刪除的擴(kuò)展名 點(diǎn)擊刪除 以下圖示僅供參考 依據(jù)實(shí)際需 求操作 基線符合性基線符合性 判定依據(jù)判定依據(jù) 1 1 判定條件 判定條件 刪除不必要的腳本影射 2 2 檢測操作 檢測操作 開始 管理工具 Internet 信息服務(wù) IIS 管理器 選擇相應(yīng)的站點(diǎn) 然后 右鍵點(diǎn)擊 屬性 編輯 根目錄 配置 查看是否刪除不必要的腳本影射 備注備注 5 2 4 按帳戶分配日志訪問權(quán)限按帳戶分配日志訪問權(quán)限 安全基線項安全基線項 目名稱目名稱 IIS 按帳戶分配日志權(quán)限安全基線要求項 安全基線編安全基線編 號號 QB IIS 05 02 04 安全基線項安全基線項 說明說明 按賬號分配日志文件讀取 修改和刪除權(quán)限 從而防止日志文件被篡改或非 法刪除 檢測操作步檢測操作步 驟驟 1 1 參考配置操作 參考配置操作 通過 資源管理器 修改文件權(quán)限 除管理員組用戶外 其他用戶不得修 改 刪除日志文件 基線符合性基線符合性 判定依據(jù)判定依據(jù) 1 1 判定條件 判定條件 非管理員組的用戶不得修改 刪除日志文件 2 2 檢測操作 檢測操作 資源管理