中国移动IIS服务安全配置规范V10.docx

资源描述

XXXX-XX-XX实施 XXXX-XX-XX发布版本号：1.0.0 中国移动公司--IIS服务安全配置规范 Specification for Internet Infromation System Configuration Used in China Mobile 中国移动通信有限公司网络部目录 1 概述 1 1.1 适用范围 1 1.2 内部适用性说明 1 1.3 外部引用说明 2 1.4 术语和定义 2 1.5 符号和缩略语 2 2 IIS服务安全配置要求 2 2.1 账号管理、认证授权 2 2.2 日志配置操作 3 2.3 IP协议安全配置操作 4 2.4 设备其他配置操作 5 2.4.1 文件系统及访问权限 5 2.4.2 补丁管理 10 2.4.3 IIS服务组件 11 前言为了贯彻安全三同步的要求，在设备选型、入网测试、工程验收以及运行维护等环节，明确并落实安全功能和配置要求。有限公司组织部分省公司编制了中国移动设备安全功能和配置系列规范。本系列规范可作为编制设备技术规范、设备入网测试规范，工程验收手册，局数据模板等文档的依据。本规范是该系列规范之一，明确了中国移动各类型设备所需满足的通用安全功能和配置要求，并作为本系列其他规范的编制基础。本标准起草单位：中国移动通信有限公司网络部、中国移动通信集团黑龙江有限公司。本标准解释单位：同提出单位本标准主要起草人：刘莉、隋鹏、陈敏时、周智、曹一生。 1 范围本规范适用于中国移动通信网、业务系统和支撑系统的各类启用了互联网信息服务（以下简称“IIS”）功能的设备。。本规范明确规定了IIS应用服务在安全配置方面的基本要求。适用于常见5.0、6.0、7.0、2003等版本。本规范作为编制设备技术规范、设备入网测试规范，工程验收手册，局数据模板等文档的依据。供中国移动内部和厂商共同使用。 2 规范性引用文件内部引用本规范是在《中国移动设备通用设备安全功能和配置规范》（以下简称《通用规范》）各项设备功能要求的基础上，提出的IIS设备安全功能要求。以下分项列出本规范对《通用规范》设备功能要求的修订情况。编号采纳意见补充说明安全要求-设备-通用-配置--1 完全采纳安全要求-设备-通用-配置--2 完全采纳安全要求-设备-通用-配置--3-可选不采纳 IIS不支持在远程登陆时通过切换用户提升权限安全要求-设备-通用-配置—4 完全采纳安全要求-设备-通用-配置—5 完全采纳安全要求-设备-通用-配置--29-可选不采纳安全要求-设备-通用-配置--6-可选完全采纳安全要求-设备-通用-配置--7-可选完全采纳安全要求-设备-通用-配置—9 完全采纳安全要求-设备-通用-配置—12 增强安全要求-设备-IIS-配置-1 安全要求-设备-通用-配置--13-可选完全采纳安全要求-设备-通用-配置--24-可选完全采纳安全要求-设备-通用-配置--14-可选不采纳 IIS日志文件以文本文件方式记录。安全要求-设备-通用-配置-28 完全采纳安全要求-设备-通用-配置-16-可选部分采纳安全要求-设备-IIS-配置-3-可选安全要求-设备-通用-配置-17-可选不采纳 IIS服务远程维护不支持SSH 安全要求-设备-通用-配置-19-可选不采纳 IIS服务不具备字符交互界面安全要求-设备-通用-配置-20-可选完全采纳 IIS基于Windows系统，定时自动屏幕锁定功能可参考Windows相关功能安全要求-设备-通用-配置-27 不采纳 IIS服务不涉及console口本规范新增的安全配置要求，如下：安全要求-设备-IIS-配置-2 安全要求-设备-IIS-配置-3-可选安全要求-设备-IIS-配置-4-可选安全要求-设备-IIS-配置-5-可选安全要求-设备-IIS-配置-6-可选安全要求-设备-IIS-配置-7 安全要求-设备-IIS-配置-8-可选安全要求-设备-IIS-配置-9-可选安全要求-设备-IIS-配置-10 安全要求-设备-IIS-配置-11 安全要求-设备-IIS-配置-12-可选外部引用下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。表2-1 [1] 《中国移动通用安全功能和配置规范》中国移动通信有限公司 [2] 《中国移动通用安全功能和配置规范》中国移动通信有限公司 3 术语、定义和缩略语下列术语、定义和缩略语适用于本标准：词语解释 IIS 互联网信息服务 4 IIS服务安全配置要求 4.4. 账号管理、认证授权安全功能要求 4.4.1. 账号编号：安全要求-设备-通用-配置-1 要求内容应按照用户分配账号。避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享（对于IIS用户定义分为两个层次：一、IIS自身操作用户，二、IIS发布应用访问用户）操作指南 1、参考配置操作 1、为不同维护人员创建账号：进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组”：根据系统的要求，设定不同的账户和账户组.对应设置IIS系统管理员的权限。 2、为创建账号设置权限：进入IIS管理器->相应网站“属性”->“目录安全性”->“身份访问及访问控制”：其中分为“匿名访问身份”及“基本（Basic）验证”。“基本（Basic）验证”包含：“集成windows身份验证”、“Windows域服务器的摘要身份验证”、“基本身份验证”、“.NET Passport身份验证”；可依据维护人员进行不同权限访问控制配置。检测方法 1、判定条件结合要求和实际业务情况判断符合要求，根据系统的要求，设定不同的账户和账户组。 2、检测操作进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组”：查看根据系统的要求，设定不同的账户和账户组。进入IIS管理器->相应网站“属性”->“目录安全性”->“身份访问及访问控制”查看相应配置。编号：安全要求-设备-通用-配置-2 要求内容应删除或锁定与设备运行、维护等工作无关的账号。操作指南 1、参考配置操作进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组”：删除或锁定与设备运行、维护等与工作无关的账号。IIS安装后生成帐号: IUSR_主机名、IWAM_主机名、ASPNET三用户，依据应用情况建议只保留系统维护帐号。 1.IUSR_主机名:Internet 来宾帐户, 匿名访问 Internet 信息服务的内置帐户。如果删除影响页面浏览，建议保留。 2.IWAM_主机名: 启动 IIS 进程帐户, 用于启动进程外应用程序的 Internet 信息服务的内置帐户。建议保留。 3.ASPNET: ASP.NET 计算机帐户, 用于运行 ASP.NET 辅助进程(aspnet_wp.exe)的帐户。IIS系统安装后会默认支持ASP，如网站无动态内容，可禁用该帐户，如网站有动态内容需保留此账户。检测方法 1、判定条件结合要求和实际业务情况判断符合要求，删除或锁定与设备运行、维护等与工作无关的账号。 2、检测操作进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组”：查看是否删除或锁定与设备运行、维护等与工作无关的账号。如网站无动态内容，系统只保留管理员、IUSR_主机名、IWAM_主机名、维护人员账号，无其他账号，如网站有动态内容系统保留管理员、IUSR_主机名、IWAM_主机名、ASPNET、维护人员账号，无其他账号。 4.4.2. 口令编号：安全要求-设备-通用-配置-4 要求内容对于采用静态口令认证技术的设备，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类（IIS基于Windows系统，可通过提升Windows自身密码安全等级实现）操作指南 1、参考配置操作进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”：“密码必须符合复杂性要求”选择“已启动” 检测方法 1、判定条件 “密码必须符合复杂性要求”选择“已启动” 2、检测操作进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”：查看是否“密码必须符合复杂性要求”选择“已启动” 编号：安全要求-设备-通用-配置-5 要求内容对于采用静态口令认证技术的设备，维护人员使用的账户口令的生存期不长于90天（IIS基于Windows系统，可通过提升Windows帐户策略实现）操作指南 1、参考配置操作进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”：“密码最长存留期”设置为“90天” 检测方法 1、判定条件 “密码最长存留期”设置为“90天” 2、检测操作进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”：查看是否“密码最长存留期”设置为“90天” 编号：安全要求-设备-通用-配置-6-可选要求内容对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令（IIS基于Windows系统，可通过提升Windows帐户策略实现）操作指南 1、参考配置操作进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”：“强制密码历史”设置为“记住5个密码” 检测方法 1、判定条件 “强制密码历史”设置为“记住5个密码” 2、检测操作进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”：查看是否“强制密码历史”设置为“记住5个密码” 编号：安全要求-设备-通用-配置-7-可选要求内容对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号（IIS基于Windows系统，可通过提升Windows帐户策略实现）操作指南 1、参考配置操作进入“控制面板->管理工具->本地安全策略”，在“帐户策略->帐户锁定策略”：“账户锁定阀值”设置为 6次检测方法 1、判定条件 “账户锁定阀值”设置为小于或等于 6次 2、检测操作进入“控制面板->管理工具->本地安全策略”，在“帐户策略->帐户锁定策略”：查看是否“账户锁定阀值”设置为小于等于 6次 4.4.3. 授权编号：安全要求-设备-通用-配置-9 要求内容在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限（对于IIS用户定义分为两个层次：一、IIS自身操作用户，二、IIS发布应用访问用户；设备权限的配置基于上述两方面考虑）操作指南 1、参考配置操作原理：（1）文件夹和文件的访问权限：安放在NTFS文件系统上的文件夹和文件，一方面要对其权限加以控制，对不同的用户组和用户进行不同的权限设置；另外，可利用NTFS的审核功能对某些特定用户组成员读文件的企图等方面进行审核，有效地通过监视如文件访问、用户对象的使用等发现非法用户进行非法活动的前兆，及时加以预防制止。（2）目录的访问权限：已经设置成Web目录的文件夹，可以通过操作Web站点属性页面实现对www目录访问权限的控制，而该目录下的所有文件和子文件夹都将继承这些安全性。www服务除了提供NTFS文件系统提供的权限外，还提供读取权限，允许用户读取或下载WWW目录中的文件；执行权限，允许用户运行www目录下的程序和脚本。具体操作：（1）启动“域用户管理器”-> “规则”选单下的“审核”选项-> “审核规则” （2）启动ISM（Internet服务器管理器）-> 启动Web属性页面并选择“目录”选项卡；-> 选择www目录；-> 选择“编辑属性”中的“目录属性”进行设置：“脚本资源访问”、“读取”、“写入”、“目录浏览”、“记录访问”、“索引资源”。检测方法 1、判定条件检测用户权限审核及ISM目录安全属性。 2、检测操作（1）启动“域用户管理器”-> “规则”选单下的“审核”选项-> “审核规则”，检测 “审核规则”配置状态。（2）启动ISM（Internet服务器管理器）-> 启动Web属性页面并选择“目录”选项卡；-> 选择www目录；-> “编辑属性”中的“目录属性”，查看配置状态。 4.5. 日志要求编号：安全要求-设备-IIS-配置-1 要求内容启用日志功能操作指南 1、参考配置操作打开IIS管理工具，右击要管理的站点，选择“属性”。在“Web Site”选择“启用日志记录”，从下拉菜单中选择“Microsotf IIS日志文件格式”。“W3C”日志格式存在日志记录时间与服务器时间不统一的问题，所以应尽量采用IIS日志格式。检测方法 1、判定条件启用日志记录，并采用IIS日志格式。 2、检测操作开始->管理工具->Internet 信息服务(IIS)管理器选择相应的站点，然后右键点击“属性”检查是否“启用日志记录”并采用“Microsotf IIS日志文件格式”。编号：安全要求-设备-IIS-配置-2 要求内容更改IIS Web日志默认存放路径操作指南 1、参考配置操作将IIS的网页访问日志独立存放在一个独立的分区中，并且系统管理员要定期对该目录进行查看和维护，确保日志内容不会溢出，并可以及早的发现网络异常行为。检测方法 1、判定条件 IIS的网页访问日志独立存放在一个独立的分区中 2、检测操作进入“开始->管理工具->资源管理器”，查看日志文件存放路径。编号：安全要求-设备-通用-配置-24-可选要求内容设备应配置日志功能，记录与设备相关的安全事件。操作指南 1、参考配置操作（1）进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中配置相应 “审核对象访问”、“审核目录服务器访问”、“审核系统事件”、“审核帐号管理”、“审核过程追踪”选项。（2）运行IIS管理器->“Internet信息服务”->“应用相关站点”属性->“网站”->“属性”->“高级”，选择“时间”、“日期”、“扩展属性”是否选择检测方法 1、判定条件确定系统相关“审核策略”。确定IIS相关“站点属性”日志详细记录。 2、检测操作进入“控制面板->管理工具->本地安全策略”，查看“本地策略->审核策略”配置“成功”、“失败”的选择记录。编号：安全要求-设备-通用-配置-28 要求内容设备应配置权限，控制对日志文件读取、修改和删除等操作。操作指南 1、参考配置操作进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中配置相应“审核策略更改”配置相应选项。检测方法 1、判定条件确定系统相关“审核策略” 2、检测操作进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中配置相应“审核策略更改”选项选择状态。 4.6. IP协议安全配置操作编号：安全要求-设备-IIS-配置-3-可选要求内容在条件允许的条件下，对IIS访问源进行IP范围限制。只有在允许的IP范围内的主机才可以访问WWW服务。操作指南 1、参考配置操作开始->管理工具->Internet 信息服务(IIS)管理器选择相应的站点，然后右键点击“属性” 检测方法 1、判定条件非对外提供服务网站，需要对授权访问ip范围进行限制，只允许公司内部维护私网地址段访问，拒绝其他地址访问。需要对用户提供服务网站，该项不必配置。 2、检测操作非对外提供服务网站，开始->管理工具->Internet 信息服务(IIS)管理器选择相应的站点，然后右键点击“属性”。检查是否只允许内部维护私网IP地址段访问。编号：安全要求-设备-IIS-配置-4-可选要求内容 IP转发的安全性操作指南 1、参考配置操作 IIS服务可提供IP数据包转发功能，此时，充当路由器角色的IIS服务器将会把从Internet接口收到的IP数据包转发到内部网中，以此提升IIS服务安全性。 IIS服务器启动“网络属性”-> “协议”选项卡->在“TCP/IP属性”中去除 “路由选择”选项。检测方法 1、判定条件判断IIS所属服务器“路由选择”选项状态。 2、检测操作 IIS服务器启动“网络属性”-> “协议”选项卡->在“TCP/IP属性”查看 “路由选择”选项。编号：安全要求-设备-IIS-配置-5-可选要求内容 IIS服务SSL身份访问认证操作指南 1、参考配置操作 IIS的身份认证除了匿名访问、基本验证和Windows NT请求/响应方式外，还有一种安全性更高的认证：通过SSL（Security Socket Layer）安全机制使用数字证书，以此提升IIS应用的身份访问安全性。启动“Internet信息服务”->“Web站点的属性页” ->“目录安全性”选项->单击“密钥管理器”通过密钥管理器生成密钥对文件和请求文件；从身份认证权限中申请一个证书；通过密钥管理器在服务器上安装证书激活Web站点的SSL安全性。检测方法 1、判定条件登录“Internet信息服务”->“Web站点的属性页” ->“目录安全性”->“编辑”查看SSL相应选项选择状态。 2、检测操作（1）登录“Internet信息服务”->“Web站点的属性页” ->“目录安全性”->“编辑”查看SSL相应选项选择状态。（2）配置相应SSL身份认证后，分别以普通身份及基于SSL证书方式分别登录Web应用，查看登录状态。 4.7. 设备其他安全功能要求编号：安全要求-设备-通用-配置-20-可选要求内容对于具备图形界面（含WEB界面）的设备，应配置定时自动屏幕锁定（参考Windows相关配置：设置带密码的屏幕保护，并将时间设定为5分钟。）操作指南 1、参考配置操作进入“控制面板－>显示－>屏幕保护程序”：启用屏幕保护程序，设置等待时间为“5分钟”，启用“在恢复时使用密码保护” 检测方法 1、判定条件启用屏幕保护程序，设置等待时间为“5分钟”，启用“在恢复时使用密码保护”。 2、检测操作进入“控制面板－>显示－>屏幕保护程序”：查看是否启用屏幕保护程序，设置等待时间为“5分钟”，启用“在恢复时使用密码保护”。 4.4.1. 文件系统及访问权限编号：安全要求-设备-IIS-配置-6-可选要求内容更改IIS默认安装路径。操作指南 1、参考配置操作开始->管理工具->Internet 信息服务(IIS)管理器选择相应的站点，然后右键点击“属性”。 IIS安装后的默认主目录是“%system%Inetpubwwwroot”，为更好地抵抗踩点、刺探等攻击行为，应该更改主目录位置，如下图所示：检测方法 1、判定条件更改IIS默认安装路径。 2、检测操作开始->管理工具->Internet 信息服务(IIS)管理器选择相应的站点，然后右键点击“属性”。查看是否更改IIS默认安装路径。编号：安全要求-设备-IIS-配置-7 要求内容文件安全配置要求：删除可能带来风险的实例文件。操作指南 1、参考配置操作（仅针对IIS5.0,IIS6.0已经默认删除）进入相应目录，删除实例文件 IIS c:\inetpub\iissamples Admin Scripts c:\inetpub\scripts Admin Samples %systemroot%\system32\inetsrv\adminsamples IISADMPWD %systemroot%\system32\inetsrv\iisadmpwd IISADMIN %systemroot%\system32\inetsrv\iisadmin Data access c:\Program Files\Common Files\System\msadc\Samples MSADC c:\program files\common files\system\msadc 检测方法 1、判定条件删除可能带来风险的实例文件。 2、检测操作进入c:\inetpub；c:\Program Files\Common Files\System\msadc\Samples 查看是否删除可能带来风险的实例文件。编号：安全要求-设备-IIS-配置-8-可选要求内容文件安全配置要求：删除不必要的脚本影射。操作指南 1、参考配置操作开始->管理工具->Internet 信息服务(IIS)管理器选择相应的站点，然后右键点击“属性” -〉编辑 -〉根目录 -〉配置，然后从列表中删除以下不必要的脚本，包括：.htr、idc、.stm、.shtm、.shtml、.printer、.htw、.ida 和.idq。删除的原则：只保留需要的脚本映射。配置方法：从“Internet 服务管理器”中：选择计算机名，点鼠标右键，选择属性：然后选择编辑：然后选择主目录，点击配置：选择需要删除的扩展名，点击删除：（以下图示仅供参考，依据实际需求操作）检测方法 1、判定条件删除不必要的脚本影射。 2、检测操作开始->管理工具->Internet 信息服务(IIS)管理器选择相应的站点，然后右键点击“属性” -〉编辑 -〉根目录 -〉配置：查看是否删除不必要的脚本影射。编号：安全要求-设备-IIS-配置-9-可选要求内容按账号分配日志文件读取、修改和删除权限，从而防止日志文件被篡改或非法删除。操作指南 1、参考配置操作通过“资源管理器”，修改文件权限，除管理员组用户外，其他用户不得修改、删除日志文件。检测方法 1、判定条件非管理员组的用户不得修改、删除日志文件。 2、检测操作资源管理器->日志文件->“属性”。 4.4.2. 补丁管理编号：安全要求-设备-IIS-配置-10 要求内容如需启用IIS服务，则将IIS升级到最新补丁。操作指南 1、参考配置操作下载IIS补丁包 IIS4.0 IIS5.0 并安装，或升级到IIS6.0 检测方法 1、判定条件已安装IIS最新补丁包。 2、检测操作控制面板->添加或删除程序->显示更新打钩，查看是否安装IIS补丁包。 4.4.3. IIS服务组件编号：安全要求-设备-IIS-配置-11 要求内容 IIS 是架设 WEB、FTP、SMTP 服务器的一套整合软件，如果不是必须，不得安装FTP、SMTP服务。操作指南 1、参考配置操作可以通过“控制面板” -> “添加/删除程序” ->“添加删除IIS组件” ->“internet信息服务（IIS）”中删除FTP、SMTP服务组件。检测方法 1、判定条件查看FTP、SMTP服务没有被安装。 2、检测操作可以通过“控制面板” -> “添加/删除程序” ->“添加删除IIS组件” ->“internet信息服务（IIS）”中检查是否删除FTP、SMTP服务组件。编号：安全要求-设备-IIS-配置—12可选要求内容对于IIS6.0 对于“web服务扩展”，默认只启用了“”功能。如果业务系统不需要ASP支持，必须按照下图的方法将相应的服务扩展禁止。操作指南 1、参考配置操作检测方法 1、判定条件如果网站页面均为静态界面，则不需要ASP支持，禁用“”功能。如果网站页面有动态内容，则该项不用配置。 2、检测操作如果网站页面为静态界面，则开始->管理工具->Internet 信息服务(IIS)管理器选择相应的站点，然后右键点击“web服务扩展”。检查是否禁用“”功能。 5 编制历史版本号更新时间主要内容或重大修改 1.0.0 2008-11-10 基本配置规范编写 1.0.1 2009-11-25 修订通用配置1、通用配置2、IIS配置3可选、IIS配置11、IIS配置12可选

展开阅读全文