iis服务器安全配置基线.docVIP

IIS服务器安全配置基线 中国移动通信有限公司 管理信息系统部 2012年 04月  版本 版本控制信息 更新日期 更新人 审批人 V1.0 创建 2009年1月 V2.0 更新 2012年4月 备注： 若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。 目 录 TOC \o 1-3 \h \z \u 第1章 概述 5 1.1 目的 5 1.2 适用范围 5 1.3 适用版本 5 1.4 实施 5 1.5 例外条款 5 第2章 帐号管理、认证授权 6 2.1 帐号 6 2.1.1 避免帐号共享* 6 2.1.2 删除或锁定无关帐号* 7 2.2 口令 7 2.2.1 密码复杂度 7 2.2.2 密码生存期 8 2.2.3 密码更改 9 2.3 授权 9 2.3.1 用户权利指派* 9 第3章 日志要求 11 3.1 日志配置 11 3.1.1 启用日志功能 11 3.1.2 更改日志存放路径 11 3.1.3 记录安全事件 12 3.1.4 日志访问权限 13 第4章 IP协议安全配置操作 14 4.1 IP协议 14 4.1.1 IP访问限制* 14 4.1.2 IP转发安全性 15 4.1.3 SSL身份认证* 15 第5章 设备其他安全功能要求 17 5.1 屏幕保护 17 5.1.1 屏幕保护配置 17 5.2 文件系统及访问权限 17 5.2.1 更改IIS安装路径 17 5.2.2 删除风险文件* 19 5.2.3 删除非必要脚本映射* 19 5.2.4 按帐户分配日志访问权限* 22 5.3 补丁管理 23 5.3.1 升级补丁* 23 5.4 IIS服务组件 24 5.4.1 组件安装管理* 24 5.4.2 服务扩展管理* 24 第6章 评审与修订 26 概述 目的 本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的IIS服务器应当遵循的安全性设置标准，本文档旨在指导系统管理人员进行IIS服务器的安全配置。 适用范围 本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。 本配置标准适用的范围包括：中国移动总部和各省公司信息化部门维护管理的IIS服务器系统。 适用版本 5.0、6.0、7.0、2003等版本。 实施 本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。 本标准发布之日起生效。 例外条款 欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信有限公司管理信息系统部进行审批备案。 帐号管理、认证授权 帐号 避免帐号共享* 安全基线项目名称 IIS帐号共享安全基线要求项 安全基线编号 SBL-IIS-02-01-01 安全基线项说明 应按照用户分配帐号。避免不同用户间共享帐号。避免用户帐号和设备间通信使用的帐号共享（对于IIS用户定义分为两个层次：一、IIS自身操作用户，二、IIS发布应用访问用户） 检测操作步骤 1、参考配置操作 进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”：根据系统的要求，设定不同的帐户和帐户组.对应设置IIS系统管理员的权限。 进入IIS管理器-相应网站“属性”-“目录安全性”-“身份访问及访问控制”：其中分为“匿名访问身份”及“基本（Basic）验证”。“基本（Basic）验证”包含：“集成windows身份验证”、“Windows域服务器的摘要身份验证”、“基本身份验证”、“.NET Passport身份验证”；可依据业务应用安全特性，相应配置。 基线符合性判定依据 1、判定条件 结合要求和实际业务情况判断符合要求，根据系统的要求，设定不同的帐户和帐户组。 2、检测操作 进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”：查看根据系统的要求，设定不同的帐户和帐户组。 进入IIS管理器-相应网站“属性”-“目录安全性”-“身份访问及访问控制”查看相应配置。 备注 手工判断 删除或锁定无关帐号* 安全基线项目名称 IIS无关帐号安全基线要求项 安全基线编号 SBL-IIS-02-01-02 安全基线项说明 应删除或锁定与设备运行、维护等工作无关的帐号（对于IIS用户定义分为两个层次：一、IIS自身操作用户，二、IIS发布应用访问用户；对于删除无用帐号可参考Windows操作系统无用帐号的删除） 检测操作步骤 1、参考配置操作 进入“控制面板-管理