IIS 6.0安全管理配置规范

1. 用户权限（7个方面）
 按用户分配账号
控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组”：根据系统的要求，设定不同的账户和账户组

为创建账号设置权限：进入IIS管理器->相应网站“属性”->“目录安全性”->“身份访问及访问控制”：其中分为“匿名访问身份”及“基本（Basic）验证”。“基本（Basic）验证”包含：“集成windows身份验证”、“Windows域服务器的摘要身份验证”、“基本身份验证”、“.NET Passport身份验证”；可依据维护人员不同访问控制权限进行配置。

 删除或锁定与工作无关的账号
进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组”：删除或锁定与设备运行、维护等与工作无关的账号。IIS安装后生成帐号: IUSR_主机名、IWAM_主机名、ASPNET三用户，依据应用情况建议只保留系统维护帐号，而与设备运行、维护等与工作无关的账号应删除或锁定。
三个账号：
IUSR_主机名:Internet来宾帐户, 匿名访问Internet信息服务的内置帐户。如果删除影响页面浏览，建议保留。
IWAM_主机名: 启动IIS进程帐户, 用于启动进程外应用程序Internet信息服务的内置帐户。建议保留
ASPNET: ASP.NET 计算机帐户, 用于运行ASP.NET辅助进程(aspnet_wp.exe)的帐户。IIS系统安装后会默认支持ASP，如网站无动态内容，可禁用该帐户，如网站有动态内容需保留此账户。
 密码复杂性要求
对于采用静态口令认证技术的设备，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类（IIS基于Windows系统，可通过提升Windows自身密码安全等级实现）。此项设置位于“控制面板->管理工具->本地安全策略->帐户策略->密码策略”。
要求：“密码必须符合复杂性要求”选择“已启动”。
 密码存留期要求
对于采用静态口令认证技术的设备，维护人员使用的账户口令的生存期不长于90天（IIS基于Windows系统，可通过提升Windows帐户策略实现）。此项设置位于“控制面板->管理工具->本地安全策略->帐户策略->密码策略”。
要求：“密码最长存留期”设置为“90天”
 强制密码历史要求
对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近12次（含12次）内已使用的口令（IIS基于Windows系统，可通过提升Windows帐户策略实现）。此项设置位于“控制面板->管理工具->本地安全策略->帐户策略->密码策略”。
要求：“强制密码历史”设置为“记住12个密码”。
 账户锁定阈值要求
对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号（IIS基于Windows系统，可通过提升Windows帐户策略实现）。此项设置位于“控制面板->管理工具->本地安全策略->帐户策略->账户锁定策略”。
要求：“账户锁定阈值”设置为小于或等于 6次。
 最小权限要求
文件夹和文件的访问权限：安放在NTFS文件系统上的文件夹和文件，一方面要对其权限加以控制，对不同的用户组和用户进行不同的权限设置；另外，可利用NTFS的审核功能对某些特定用户组成员读文件的企图等方面进行审核，有效地通过监视如文件访问、用户对象的使用等发现非法用户进行非法活动的前兆，及时加以预防制止。
目录的访问权限：已经设置成Web目录的文件夹，可以通过操作Web站点属性页面实现对www目录访问权限的控制，而该目录下的所有文件和子文件夹都将继承这些安全性。www服务除了提供NTFS文件系统提供的权限外，还提供读取权限，允许用户读取或下载www目录中的文件；提供执行权限，允许用户运行www目录下的程序和脚本。
要求：在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限（对于IIS用户定义分为两个层次：一、IIS自身操作用户，二、IIS发布应用访问用户；设备权限的配置基于上述两方面考虑）。
2. 日志配置（5个方面）
 启用日志功能
打开IIS管理工具，右击要管理的站点，选择“属性”。在“Web Site”选择“启用日志记录”，从下拉菜单中选择“Microsotf IIS日志文件格式”。“W3C”日志格式存在日志记录时间与服务器时间不统一的问题，所以建议尽量采用IIS日志格式。
要求：启用日志记录，并采用IIS日志格式。
 更改IIS Web日志默认存放路径
将IIS的web日志存放在一个独立的分区中，并且系统管理员要定期对该目录进行查看和维护，确保日志内容不会溢出，并可以及早的发现网络异常行为。进入“开始->管理工具->资源管理器”，查看日志文件存放路径。
要求：将IIS的web日志存放在一个独立的分区中。
 配置日志功能
说明：进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中配置相应“审核对象访问”、“审核目录服务器访问”、“审核系统事件”、“审核帐号管理”、“审核过程追踪”选项。
运行IIS管理器->“Internet信息服务”->“应用相关站点”属性->“网站”->“属性”->“高级”，选择“时间”、“日期”、“扩展属性”是否选择。
 配置日志权限
说明：将IIS进入“控制面板->管理工具->本地安全策略”，对“本地策略->审核策略”中“审核策略更改”配置相应选项。
要求：设备应配置权限，控制对日志文件读取、修改和删除等操作。
 日志文件权限
说明：通过“资源管理器”，修改文件权限，除管理员组用户外，其他用户不得修改、删除日志文件。
要求：按账号分配日志文件读取、修改和删除权限，从而防止日志文件被篡改或非法删除。
 TCP/IP协议安全 （2个方面）
 IP范围限制
说明：开始->管理工具->Internet 信息服务(IIS)管理器，选择相应的站点，然后右键点击“属性”。检查是否只允许授权的网络地址段访问。提供服务网站，建议对访问ip范围进行限制，只允许授权的网络地址段访问，拒绝其他地址访问。需要对用户提供服务网站，该项不必配置。
要求：在条件允许的条件下，对IIS访问源进行IP范围限制。只有在允许的IP范围内的主机才可以访问WWW服务。
 IIS服务SSL身份访问认证
说明：IIS的身份认证除了匿名访问、基本验证和Windows NT请求/响应方式外，还有一种安全性更高的认证：通过SSL（Security Socket Layer）安全机制使用数字证书，以此提升IIS应用的身份访问安全性。
启动“Internet信息服务”->“Web站点的属性页”->“目录安全性”选项->单击“密钥管理器”通过密钥管理器生成密钥对文件和请求文件；从身份认证权限中申请一个证书；通过密钥管理器在服务器上安装证书激活Web站点的SSL安全性。
要求：建议在IIS身份认证中使用SSL访问认证。
系统服务（运行--cmd--services.msc)
HTTP SSL
说明：HTTP SSL 服务可让 IIS 执行安全套接字层 (SSL) 功能。SSL是建立加密通信渠道的一种开放标准，以防止诸如信用卡号等关键信息被中途截获。首先，它使得在万维网上进行安全的电子金融事务成为可能，当然也可用它来实现其它 Internet 服务。
如果 HTTP SSL 服务停止，IIS 将无法执行 SSL 功能。禁用此服务将导致任何明确依赖它的服务都无法实现。您可以使用组策略来保护和设置服务的启动模式，只允许服务器管理员访问这些设置，从而防止未经授权或恶意的用户配置或操作该服务。组策略还可以防止管理员无意中禁用该服务
要求：设置配置为“自动”。
 IIS Admin
说明：“IIS Admin 服务”允许对 IIS 组件进行管理，例如文件传输协议 (FTP)、应用程序池、Web 站点、Web 服务扩展，以及网络新闻传输协议 (NNTP) 和简单邮件传输协议 (SMTP) 的虚拟服务器。
“IIS Admin 服务”必须运行，以便让 IIS 服务器能够提供 Web、FTP、NNTP 以及 SMTP 服务。如果禁用此服务，则无法配置 IIS，并且对站点服务的请求将不会成功。您可以使用组策略来保护和设置服务的启动模式，只允许服务器管理员访问这些设置，从而防止未经授权或恶意的用户配置或操作该服务。组策略还可以防止管理员无意中禁用该服务
要求：设置配置为“自动”。

W3SVC
说明：“W3SVC”通过 IIS 管理单元提供网络连通性和网站管理。
“W3SVC”必须运行，以便让 IIS 服务器通过 IIS 管理器提供网络连通性和管理。您可以使用组策略来保护和设置服务的启动模式，只允许服务器管理员访问这些设置，从而防止未经授权或恶意的用户配置或操作该服务。组策略还可以防止管理员无意中禁用该服务。
要求：设置配置为“自动”。