IIS 安全配置要求及操作指南

Windows IT敢客 11个月前 (09-16) 7284次浏览 已收录 0个评论 扫描二维码

IIS 安全配置要求及操作指南

 

  1. 范围

适用于中国电信使用的 IIS 服务器。本规范提出了 IIS 安全配置要求,适用于所有的安全等级,可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。

由于版本不同,配置操作有所不同,本规范以 IIS 6.0 为例,给出参考配置操作。

  1. 缩略语


HTTP

HyperText Transfer Protocol

超文本传输协议

FTP

File Transfer Protocol

文本传输协议

SMTP

Simple Mail Transfer Protocol

简单邮件传输协议

SSL

Secure Sockets Layer  

安全套接层

  1. 安全配置要求
    1. 账号

编号:1

要求内容

应按照用户分配账号。避免用户账号和设备间通信使用的账号共享(对于 IIS 用户定义分为两个层次:一、IIS 自身操作用户,二、IIS 发布应用访问用户)

操作指南

1、参考配置操作

1、为不同维护人员创建账号:进入"控制面板->管理工具->计算机管理",在"系统工具->本地用户和组":根据系统的要求,

 

设定不同的账户和账户组.对应设置 IIS 系统管理员的权限。

2、为创建账号设置权限:进入 IIS 管理器->相应网站"属性"->

"目录安全性"->"匿名访问和身份验证控制"的"编辑":其中分为"匿名访问身份"及"基本(Basic)验证"。"基本身份验证"包含:"集成 windows 身份验证"、"Windows 域服务器的摘要身份验证"、"基本身份验证"、".NET Passport 身份验证";可依据维护人员进行不同权限访问控制配置。

检测方法

  1. 判定条件

    结合要求和实际业务情况判断符合要求,根据系统的要求,设定不同的账户和账户组。

  2. 检测操作进入"控制面板->管理工具->计算机管理",在"系统工具->本地用户和组":查看根据系统的要求,设定不同的账户和账户组。进入 IIS 管理器->相应网站"属性"->"目录安全性"->"匿名访问和身份验证控制"查看相应配置。

编号:2

要求内容

应删除或锁定与设备运行、维护等工作无关的账号。

操作指南

1、参考配置操作

进入"控制面板->管理工具->计算机管理",在"系统工具->本地用户和组":删除或锁定与设备运行、维护等与工作无关的账号。

IIS 安装后生成帐号: IUSR_主机名、IWAM_主机名、ASPNET 三用户,依据应用情况建议只保留系统维护帐号。

1.IUSR_主机名:Internet 来宾帐户, 匿名访问 Internet 信息服务的内置帐户。如果删除影响页面浏览,建议保留。

2.IWAM_主机名: 启动 IIS 进程帐户, 用于启动进程外应用程序的 Internet 信息服务的内置帐户。建议保留。

3.ASPNET: ASP.NET 计算机帐户, 用于运行 ASP.NET 辅助进程(aspnet_wp.exe)的帐户。IIS 系统安装后会默认支持 ASP,如网

 

站无动态内容,可禁用该帐户,如网站有动态内容需保留此账户。

检测方法

  1. 判定条件

结合要求和实际业务情况判断符合要求,删除或锁定与设备运行、维护等与工作无关的账号。

  1. 检测操作

进入"控制面板->管理工具->计算机管理",在"系统工具->本地用户和组":查看是否删除或锁定与设备运行、维护等与工作无

关的账号。如网站无动态内容,系统只保留管理员、IUSR_主机名、IWAM_主机名、维护人员账号,无其他账号,如网站有动态

内容系统保留管理员、IUSR_主机名、IWAM_主机名、ASPNET、维护人员账号,无其他账号。

编号:3

要求内容

禁用超级用户启用 IIS

操作指南

1、参考配置操作

在控制面板->管理工具->服务,选择"www 服务"属性,在设置启动属性中指定使用一个普通账号启动本服务。

检测方法

1、判定条件 2、检测操作

查看,控制面板->管理工具->服务,选择"www 服务"属性,查看服务启动的账号。

  1. 口令

    编号:1

要求内容

对于采用静态口令认证技术的设备,口令长度至少 8 位,并包括数字、小写字母、大写字母和特殊符号 4 类中至少 3 类(IIS

Windows 系统,可通过提升 Windows 自身密码安全等级实现)

操作指南

1、参考配置操作

进入"控制面板->管理工具->本地安全策略",在"帐户策略-> 密码策略":"密码必须符合复杂性要求"选择"已启动"

检测方法

  1. 判定条件

"密码必须符合复杂性要求"选择"已启动"

  1. 检测操作

进入"控制面板->管理工具->本地安全策略",在"帐户策略-> 密码策略":查看是否"密码必须符合复杂性要求"选择"已启动"

编号:2

要求内容

对于采用静态口令认证技术的设备,维护人员使用的账户口令的生存期不长于90天(IIS基于Windows系统,可通过提升Windows 帐户策略实现)

操作指南

1、参考配置操作

进入"控制面板->管理工具->本地安全策略",在"帐户策略-> 密码策略":"密码最长存留期"设置为"90 天"

检测方法

  1. 判定条件

"密码最长存留期"设置为"90 天"

  1. 检测操作

进入"控制面板->管理工具->本地安全策略",在"帐户策略-> 密码策略":查看是否"密码最长存留期"设置为"90 天"

编号:3

要求内容

对于采用静态口令认证技术的设备,应配置设备,使用户不能重复使用最近 5 次(含 5 次)内已使用的口令(IIS 基于 Windows 系统,可通过提升 Windows 帐户策略实现)

操作指南

1、参考配置操作

进入"控制面板->管理工具->本地安全策略",在"帐户策略-> 密码策略":"强制密码历史"设置为"记住 5 个密码"

检测方法

  1. 判定条件

"强制密码历史"设置为"记住 5 个密码"

  1. 检测操作

进入"控制面板->管理工具->本地安全策略",在"帐户策略->

 

密码策略":查看是否"强制密码历史"设置为"记住 5 个密码"

编号:4

要求内容

对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过 6 次(不含 6 次),锁定该用户使用的账号(IIS 基于

Windows 系统,可通过提升 Windows 帐户策略实现)

操作指南

1、参考配置操作

进入"控制面板->管理工具->本地安全策略",在"帐户策略-> 帐户锁定策略":"账户锁定阀值"设置为 6

检测方法

  1. 判定条件

"账户锁定阀值"设置为小于或等于 6

  1. 检测操作

进入"控制面板->管理工具->本地安全策略",在"帐户策略-> 帐户锁定策略":查看是否"账户锁定阀值"设置为小于等于 6

  1. 授权

要求内容

在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权限(对于 IIS 用户定义分为两个层次:一、IIS 自身操作用户,二、IIS 发布应用访问用户;设备权限的配置基于上述两方面考虑)

操作指南

1、参考配置操作原则:

  1. 文件夹和文件的访问权限:安放在 NTFS 文件系统上的文件夹和文件,一方面要对其权限加以控制,对不同的用户组和用户进行不同的权限设置;另外,可利用 NTFS 的审核功能对某些特定用户组成员读文件的企图等方面进行审核,有效地通过监视如文件访问、用户对象的使用等发现非法用户进行非法活动的前兆,及时加以预防制止。

  2. 目录的访问权限:已经设置成 Web 目录的文件夹,可以通

 

过操作 Web 站点属性页面实现对 www 目录访问权限的控制,而该目录下的所有文件和子 文件夹都将继承这些安全性。www 服务除了提供 NTFS 文件系统提供的权限外,还提供读取权限,允许用户读取或下载 WWW 目录中的文件;执行权限,允许用户运行 www 目录下的程序和脚本。

参考操作:

  1. 启动"域用户管理器"->   "规则"选单下的"审核"选项->  "审核规则"

  2. 启动 ISM(Internet 服务器管理器)->  启动 Web 属性页面并选择"目录"选项卡;->  选择 www 目录;->  选择"编辑属性"中的"目录属性"进行设置:"脚本资源访问"、"读取"、

    "写入"、"目录浏览"、"记录访问"、"索引资源"。  

检测方法

  1. 判定条件 检测用户权限审核及 ISM 目录安全属性。

  2. 检测操作

  3. 启动"域用户管理器"->   "规则"选单下的"审核"选

    项->  "审核规则",检测 "审核规则"配置状态。

  4. 启动 ISM(Internet 服务器管理器)->  启动 Web 属性页面并选择"目录"选项卡;->  选择 www 目录;->   "编辑属性"中的"目录属性",查看配置状态。

  1. 日志

    编号:1

要求内容

启用日志功能

操作指南

1、参考配置操作

打开 IIS 管理工具,右击要管理的站点,选择"属性"。在"网站" 的"启用日志记录"部分,日志格式支持"Microsoft IIS 日志文件格式"、"W3C","W3C"日志格式存在日志记录时间与服务器时间不统一的问题,所以应尽量采用 IIS 日志格式。(根据需要,如有特殊要求可以采用其他格式的日志,如 W3C 扩展日志文件格式)

检测方法

  1. 判定条件

启用日志记录,并采用 IIS 日志格式。

  1. 检测操作

开始->管理工具->Internet 信息服务(IIS)管理器
选择相应的站点,然后右键点击"属性"检查是否"启用日志记录"并采用"Microsoft

IIS 日志文件格式"

编号:2

要求内容

设备应配置日志功能,记录与设备相关的安全事件。

操作指南

1、参考配置操作

  1. 进入"控制面板->管理工具->本地安全策略",在"本地策略 ->审核策略"中配置相应
    "审核对象访问"、"审核目录服务器访问"、"审核系统事件"、"审核帐号管理"、"审核过程追踪"等选项。

  2. 运行 IIS 管理器->"Internet 信息服务"->"应用相关站点" 属性->"网站"->"属性"->"高级",选择"时间"、"日期"、"扩展属性"

检测方法

  1. 判定条件

确定系统相关"审核策略"。

确定 IIS 相关"站点属性"日志详细记录。

  1. 检测操作

进入"控制面板->管理工具->本地安全策略",查看"本地策略-> 审核策略"配置"成功"、"失败"的选择记录。

编号:3

要求内容

设备应配置权限,控制对日志文件读取、修改和删除等操作。

操作指南

1、参考配置操作

进入"控制面板->管理工具->本地安全策略",在"本地策略->

审核策略"中配置相应"审核策略更改"配置相应选项。

检测方法

1、判定条件

确定系统相关"审核策略"

 

2、检测操作

进入"控制面板->管理工具->本地安全策略",在"本地策略->

审核策略"中配置相应"审核策略更改"选项选择状态。

  1. 更改默认安装路径

要求内容

更改 IIS 默认安装路径。

操作指南

1
参考配置操作

开始->管理工具->Internet 信息服务(IIS)管理器
选择相应的站点,然后右键点击"属性"。

IIS 安装后的默认主目录是"%system%Inetpubwwwroot",为更好地抵抗踩点、刺探等攻击行为,应该删除默认目录,更改主目录位置,同时也要避免安装在系统盘上,参考操作如下图所示:

IIS 安全配置要求及操作指南


 

检测方法

  1. 判定条件更改 IIS 默认安装路径。

  2. 检测操作

    开始->管理工具->Internet 信息服务(IIS)管理器
    选择相应的站点,然后右键点击"属性"。查看是否更改 IIS 默认安装路径。

  1. 不必要的服务组件

编号:1

要求内容

IIS 是架设 WEBFTPSMTP 服务器的一套整合软件,如果不是必须,不得安装 FTPSMTP 服务。

操作指南

1、参考配置操作

已经安装的上述不必服务,可以通过"控制面板" -> "添加/删除程序" ->"添加删除 IIS 组件" ->"internet 信息服务(IIS)"中删除不必要的服务组件。

检测方法

  1. 判定条件

查看 FTPSMTP 服务没有被安装。

  1. 检测操作

可以通过"控制面板" -> "添加/删除程序" ->"添加删除 IIS 组件" ->"internet 信息服务(IIS)"中检查是否删除不必要的服

务组件。

编号:2

要求内容

如果业务系统不需要 ASP 支持,必须按照下图的方法将默认启用的

"asp.net"功能扩展禁止。

操作指南

1、参考配置操作

IIS 安全配置要求及操作指南


 

检测方法

1、判定条件 2、检测操作

开始->管理工具->Internet 信息服务(IIS)管理器
选择相应的站点,然后右键点击"web 服务扩展"。检查是否禁用"asp.net"功能。

  1. 删除危险的实例文件

要求内容

删除可能带来风险的实例文件。

操作指南

1、参考配置操作进入相应目录,删除实例文件

IIS                c:\inetpub\iissamples

Admin Scripts     c:\inetpub\scripts

Admin Samples      %systemroot%\system32\inetsrv\adminsamples

IISADMPWD      %systemroot%\system32\inetsrv\iisadmpwd

IISADMIN       %systemroot%\system32\inetsrv\iisadmin

Data access        c:\Program     Files\Common

Files\System\msadc\Samples

MSADC           c:\program files\common files\system\msadc

检测方法

  1. 判定条件删除可能带来风险的实例文件。

  2. 检测操作

    进入 c:\inetpubc:\Program Files\Common

    Files\System\msadc\Samples 查看是否删除可能带来风险的实例文件。

  1. 删除不必要的脚本映射

要求内容

删除不必要的脚本映射。

操作指南

1、参考配置操作

开始->管理工具->Internet 信息服务(IIS)管理器
选择相应的站点,然后右键点击"属性"〉主目录〉配置,然后从列表中删除

以下不必要的脚本,包括:.htridc.stm.shtm、、.printer.htw.ida .idq

删除的原则:只保留需要的脚本映射。

检测方法

  1. 判定条件删除不必要的脚本映射。

  2. 检测操作

    开始->管理工具->Internet 信息服务(IIS)管理器
    选择相应的站点,然后右

 

键点击"属性"〉主目录〉配置:查看是否删除不必要的脚本映射。

  1. 补丁

要求内容

在不影响业务的情况下,将 IIS 升级到最新补丁,而且该补丁经过试验测试。

操作指南

1、参考配置操作下载 IIS 补丁包

对于 IIS4.0 IIS5.0,访问

http://www.microsoft.com/downloads/en/resultsForProduct.aspx?displa ylang=en&productId=1254887e-e07d-4d64-91a1-dd6ed2149f21&styp e=ss_sd&nr=10&sortCriteria=Popularity&sortOrder=Ascending(英文

版);和

http://www.microsoft.com/downloads/zh-cn/resultsForProduct.aspx?dis playlang=en&productId=1254887e-e07d-4d64-91a1-dd6ed2149f21&st ype=ss_sd&nr=10&sortCriteria=Popularity&sortOrder=Ascending(中

文版);下载最新更新并安装,或升级到 IIS6.0 7.0

检测方法

  1. 判定条件

已安装 IIS 最新补丁包。

  1. 检测操作

控制面板->添加或删除程序->显示更新打钩,查看是否安装 IIS 补丁包。

  1. 目录列出

要求内容

禁止 IIS 列表显示文件

操作指南

1、参考配置操作

开始->管理工具->Internet 信息服务(IIS)管理器
选择相应的站点,然后右键点击"属性"〉主目录
,保证"目录浏览"没有被勾选。

检测方法

1、判定条件 2、检测操作

 

开始->管理工具->Internet 信息服务(IIS)管理器
选择相应的站点,然后右键点击"属性"〉主目录
,查看相应配置。

  1. 自定义错误信息

要求内容

错误页面重定向

操作指南

1
参考配置操作

开始->管理工具->Internet 信息服务(IIS)管理器
选择相应的站点,然后右键点击"属性"〉自定义错误
,自定义错误消息为

指定的 URL 或文件指针。

检测方法

  1. 判定条件

指向指定错误页面

  1. 检测操作

URL 地址栏中输入 http://ip/xxxxxxx~~~(一个不存在的页面)

  1. SSL 加密通信

要求内容

对敏感数据的传输,应该使用 SSL 加密,防止数据被嗅探。

操作指南

1、参考配置操作

进入"控制面板->管理工具->Internet 信息服务(IIS)管理器",在管理器中,右键选择站点的"属性",点击"目录安全性"选项卡,点击"安全通信"的编辑按钮,启用 SSL

检测方法

  1. 判定条件

    未启用 SSL 进行通信

  2. 检测操作

进入"控制面板->管理工具->Internet 信息服务(IIS)管理器",在管理器中,右键选择站点的"属性",点击"目录安全性"选项卡,点击"安全通信"的编辑按钮,查看是否启用

SSL

  1. 上传目录权限设置

要求内容

禁止动态脚本在上传目录的运行权限,防止攻击者绕过过滤系统上传 webshell。

操作指南

1、参考配置操作

 

进入"控制面板->管理工具->Internet 信息服务(IIS)管理器",在管理器中,右键选择站点中上传目录的"属性",点击"主目录"选项卡,点击"应用程序设置"的"执行权限" 下拉菜单,选择"无"。

检测方法

  1. 判定条件

询问开发工程师,找到存放上传文件的目录,检查相关上传目录是否启用了"执行权限"。

  1. 检测操作

进入"控制面板->管理工具->Internet 信息服务(IIS)管理器",在管理器中,右键选择站点中上传目录的"属性",点击"主目录"选项卡,查看相应权限。

  1. HTTP 加密协议

要求内容

对于通过 HTTP 协议进行远程维护的设备,设备应支持使用

HTTPS 等加密协议。

操作指南

1、参考配置操作

在控制面板->管理工具->IIS 管理器,双击"web 根目录",在属性中的高级设置中选择支持 ssl 443 端口

检测方法

1、判定条件 2、检测操作查看,控制面板->管理工具->IIS 管理器,双击"web 根目录",在属性中的高级设置中是否启用了 ssl

  1. 连接数设置

要求内容

根据机器性能和业务需求,设置最大最小连接数。

操作指南

1
参考配置操作

增加网站的连接限制。若要这样做,请按照下列步骤操作:

 

  1. 单击
    开始,指向
    所有程序,都指向
    管理工具,然后单击

Internet Information Services (IIS) 管理器。

  1. 展开 ComputerName,然后展开
    网站。

  2. 用鼠标右键单击您想要配置的网站,然后单击
    属性。

  3. 单击
    性能
    选项卡。

  4. 在网站连接,单击连接限制,然后键入想要设置的连接限制

 

数。

  6. 单击
确定,然后退出 IIS 管理器。

检测方法

  1. 判定条件网站的连接数高于设定值时,以下内容的错误信息将记录在 Web 服务器

    Httperr.log 文件中:

    HTTP/1.1 GET / 503 1 ConnLimit DefaultAppPool

  2. 检测操作选择开始管理工具性能加入 web 服务的连接计数,查看当前连接数

  1. 禁用非法 HTTP 方法

要求内容

禁用PUTDELETE等危险的HTTP 方法;

操作指南

  1. 参考配置操作

IIS 管理器中的 Web 服务扩展节点,选择 webdav 禁用。

  1. 补充操作说明

检测方法

1、判定条件 2、检测操作

IIS 管理器中的 Web 服务扩展节点中,查看 webdav 是否被禁用。


IT 敢客 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:IIS 安全配置要求及操作指南
喜欢 (155)
[313176056@qq.com]
分享 (0)
IT敢客
关于作者:
“我所做的一切都是为了方便我的生活~~~“
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址