IIS8.5安全加固配置基线v1.0.docxVIP

IIS安全加固配置基线

IIS8.5安全加固配置基线

IIS8.5安全加固配置基线

目录

TOC\o1-3\h\z\u5715078011.概述 2

17847420231.1适用范围 2

1075992651.2规范依据 2

2396160811.3实施策略 2

6956352422.安全配置基线标准 4

6405380262.1基本配置 4

1870805712.1.1设置网站内容在非系统分区上 4

3470975892.1.2禁用“目录浏览” 4

11035930712.1.3设置“HSTHeader” 5

2724851582.1.4禁用SSLv2、SSLv3 5

12229151022.1.5关闭“debug” 6

21156175242.1.6配置“customErrors” 6

12969824892.1.7禁止显示IISHTTP的详细错误信息 7

14256755732.1.8配置传输层安全性 7

18543058322.2身份鉴别 8

10354331602.2.1配置“全局授权规则” 8

14651284792.2.2配置身份验证 8

13668500512.3安全审计 9

10162351982.3.1开启IIS日志记录 9

9275281952.3.2修改默认IIS日志路径 9

概述

适用范围

本配置基线适用于MicrosoftIIS8和8.5，主要涉及IIS中间件安全配置方面的基本要求，用于指导安全例行工作、新系统入网安全检查等场合。

规范依据

根据目前IIS中间件安全现状，综合参考安全运维专家意见，结合相关规范性文件指引，制定适合的基线配置规范。

规范性引用文件：

GB/T28448-2012《信息安全技术信息系统安全等级保护测评要求》

GB/T28453-2012《信息安全技术信息系统安全管理评估要求》

GB/T25063-2010《信息安全技术服务器安全测评要求》

GB/Z24364-2009《信息安全技术信息安全风险管理指南》

GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》

GB/T20270-2006《信息安全技术网络基础安全技术要求》

GB/T20271-2006《信息安全技术信息系统通用安全技术要求》

GB/T20269-2006《信息安全技术信息系统安全管理要求》

YD/T2701-2014《电信网和互联网安全防护基线配置要求及检测要求》

实施策略

结合网络和信息系统建设情况，考虑安全配置项影响的范围，结合以往工作经验，提出如下安全项目实施策略：

基础项：实施安全基线能够明显提升安全水平，实施风险小，可操作性强。

建议项：实施安全基线能够提升一定安全水平，具有一定风险，可操作性较强。

序号

配置类别

基线名称

实施策略

1

基本配置

设置网站内容在非系统分区上

基础项

2

基本配置

禁用“目录浏览”

基础项

3

基本配置

设置“HSTHeader”

建议项

4

基本配置

禁用SSLv2、SSLv3

基础项

5

基本配置

关闭“debug”

建议项

6

基本配置

配置“customErrors”

基础项

7

基本配置

禁止显示IISHTTP的详细错误信息

基础项

8

基本配置

配置传输层安全性建议项

基础项

9

身份鉴别

配置身份验证

基础项

10

身份鉴别

配置“全局授权规则”

基础项

11

安全审计

开启IIS日志记录

基础项

12

安全审计

修改默认IIS日志路径

基础项

安全配置基线标准

基本配置

设置网站内容在非系统分区上

基线名称

设置网站内容在非系统分区上

基线编号

IIS-1

基线说明

通过IIS发布的Web资源通过虚拟目录映射到磁盘上的物理分区，建议将所有虚拟目录映射到非系统磁盘分区

配置方法

打开IIS管理器：

1.展开服务器节点

2.展开网站

3.点击网站

4.更改物理路径至非系统分区

5.在操作窗口中，选择基本设置

6.在“物理路径”文本框中，放置应用程序的新位置

检查方法

在操作窗口的基本设置中查看物理路径是否为非系统盘

备注

将web内容与系统文件隔离可能会降低Web站点程序耗尽系统磁盘空间发生的可能性

禁用“目录浏览”

基线名称

禁用“目录浏览”

基线编号

IIS-2

基线说明

目录浏览允许在web客户机发出请求时显示目录的内容。如果在Internet信息服务中为目录启用了目录浏览，当满足以下两个条件时，用户将收到一个列出目录内容的页面:

1.URL中没有请求特定的文件