IIS 6.0安全管理配置规范

1. 用户权限(7个方面)
 按用户分配账号
控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”:根据系统的要求,设定不同的账户和账户组

为创建账号设置权限:进入IIS管理器->相应网站“属性”->“目录安全性”->“身份访问及访问控制”:其中分为“匿名访问身份”及“基本(Basic)验证”。“基本(Basic)验证”包含:“集成windows身份验证”、“Windows域服务器的摘要身份验证”、“基本身份验证”、“.NET Passport身份验证”;可依据维护人员不同访问控制权限进行配置。

 删除或锁定与工作无关的账号
进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”:删除或锁定与设备运行、维护等与工作无关的账号。IIS安装后生成帐号: IUSR_主机名、IWAM_主机名、ASPNET三用户,依据应用情况建议只保留系统维护帐号,而与设备运行、维护等与工作无关的账号应删除或锁定。
三个账号:
IUSR_主机名:Internet来宾帐户, 匿名访问Internet信息服务的内置帐户。如果删除影响页面浏览,建议保留。
IWAM_主机名: 启动IIS进程帐户, 用于启动进程外应用程序Internet信息服务的内置帐户。建议保留
ASPNET: ASP.NET 计算机帐户, 用于运行ASP.NET辅助进程(aspnet_wp.exe)的帐户。IIS系统安装后会默认支持ASP,如网站无动态内容,可禁用该帐户,如网站有动态内容需保留此账户。
 密码复杂性要求
对于采用静态口令认证技术的设备,口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类(IIS基于Windows系统,可通过提升Windows自身密码安全等级实现)。此项设置位于“控制面板->管理工具->本地安全策略->帐户策略->密码策略”。
要求:“密码必须符合复杂性要求”选择“已启动”。
 密码存留期要求
对于采用静态口令认证技术的设备,维护人员使用的账户口令的生存期不长于90天(IIS基于Windows系统,可通过提升Windows帐户策略实现)。此项设置位于“控制面板->管理工具->本地安全策略->帐户策略->密码策略”。
要求:“密码最长存留期”设置为“90天”
 强制密码历史要求
对于采用静态口令认证技术的设备,应配置设备,使用户不能重复使用最近12次(含12次)内已使用的口令(IIS基于Windows系统,可通过提升Windows帐户策略实现)。此项设置位于“控制面板->管理工具->本地安全策略->帐户策略->密码策略”。
要求:“强制密码历史”设置为“记住12个密码”。
 账户锁定阈值要求
对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过6次(不含6次),锁定该用户使用的账号(IIS基于Windows系统,可通过提升Windows帐户策略实现)。此项设置位于“控制面板->管理工具->本地安全策略->帐户策略->账户锁定策略”。
要求:“账户锁定阈值”设置为小于或等于 6次。
 最小权限要求
文件夹和文件的访问权限:安放在NTFS文件系统上的文件夹和文件,一方面要对其权限加以控制,对不同的用户组和用户进行不同的权限设置;另外,可利用NTFS的审核功能对某些特定用户组成员读文件的企图等方面进行审核,有效地通过监视如文件访问、用户对象的使用等发现非法用户进行非法活动的前兆,及时加以预防制止。
目录的访问权限:已经设置成Web目录的文件夹,可以通过操作Web站点属性页面实现对www目录访问权限的控制,而该目录下的所有文件和子文件夹都将继承这些安全性。www服务除了提供NTFS文件系统提供的权限外,还提供读取权限,允许用户读取或下载www目录中的文件;提供执行权限,允许用户运行www目录下的程序和脚本。
要求:在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权限(对于IIS用户定义分为两个层次:一、IIS自身操作用户,二、IIS发布应用访问用户;设备权限的配置基于上述两方面考虑)。
2. 日志配置(5个方面)
 启用日志功能
打开IIS管理工具,右击要管理的站点,选择“属性”。在“Web Site”选择“启用日志记录”,从下拉菜单中选择“Microsotf IIS日志文件格式”。“W3C”日志格式存在日志记录时间与服务器时间不统一的问题,所以建议尽量采用IIS日志格式。
要求:启用日志记录,并采用IIS日志格式。
 更改IIS Web日志默认存放路径
将IIS的web日志存放在一个独立的分区中,并且系统管理员要定期对该目录进行查看和维护,确保日志内容不会溢出,并可以及早的发现网络异常行为。进入“开始->管理工具->资源管理器”,查看日志文件存放路径。
要求:将IIS的web日志存放在一个独立的分区中。
 配置日志功能
说明:进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中配置相应“审核对象访问”、“审核目录服务器访问”、“审核系统事件”、“审核帐号管理”、“审核过程追踪”选项。
运行IIS管理器->“Internet信息服务”->“应用相关站点”属性->“网站”->“属性”->“高级”,选择“时间”、“日期”、“扩展属性”是否选择。
 配置日志权限
说明:将IIS进入“控制面板->管理工具->本地安全策略”,对“本地策略->审核策略”中“审核策略更改”配置相应选项。
要求:设备应配置权限,控制对日志文件读取、修改和删除等操作。
 日志文件权限
说明:通过“资源管理器”,修改文件权限,除管理员组用户外,其他用户不得修改、删除日志文件。
要求:按账号分配日志文件读取、修改和删除权限,从而防止日志文件被篡改或非法删除。
 TCP/IP协议安全 (2个方面)
 IP范围限制
说明:开始->管理工具->Internet 信息服务(IIS)管理器,选择相应的站点,然后右键点击“属性”。检查是否只允许授权的网络地址段访问。提供服务网站,建议对访问ip范围进行限制,只允许授权的网络地址段访问,拒绝其他地址访问。需要对用户提供服务网站,该项不必配置。
要求:在条件允许的条件下,对IIS访问源进行IP范围限制。只有在允许的IP范围内的主机才可以访问WWW服务。
 IIS服务SSL身份访问认证
说明:IIS的身份认证除了匿名访问、基本验证和Windows NT请求/响应方式外,还有一种安全性更高的认证:通过SSL(Security Socket Layer)安全机制使用数字证书,以此提升IIS应用的身份访问安全性。
启动“Internet信息服务”->“Web站点的属性页”->“目录安全性”选项->单击“密钥管理器”通过密钥管理器生成密钥对文件和请求文件;从身份认证权限中申请一个证书;通过密钥管理器在服务器上安装证书激活Web站点的SSL安全性。
要求:建议在IIS身份认证中使用SSL访问认证。
系统服务(运行--cmd--services.msc)
HTTP SSL
说明:HTTP SSL 服务可让 IIS 执行安全套接字层 (SSL) 功能。SSL是建立加密通信渠道的一种开放标准,以防止诸如信用卡号等关键信息被中途截获。首先,它使得在万维网上进行安全的电子金融事务成为可能,当然也可用它来实现其它 Internet 服务。
如果 HTTP SSL 服务停止,IIS 将无法执行 SSL 功能。禁用此服务将导致任何明确依赖它的服务都无法实现。您可以使用组策略来保护和设置服务的启动模式,只允许服务器管理员访问这些设置,从而防止未经授权或恶意的用户配置或操作该服务。组策略还可以防止管理员无意中禁用该服务
要求:设置配置为“自动”。
 IIS Admin
说明:“IIS Admin 服务”允许对 IIS 组件进行管理,例如文件传输协议 (FTP)、应用程序池、Web 站点、Web 服务扩展,以及网络新闻传输协议 (NNTP) 和简单邮件传输协议 (SMTP) 的虚拟服务器。
“IIS Admin 服务”必须运行,以便让 IIS 服务器能够提供 Web、FTP、NNTP 以及 SMTP 服务。如果禁用此服务,则无法配置 IIS,并且对站点服务的请求将不会成功。您可以使用组策略来保护和设置服务的启动模式,只允许服务器管理员访问这些设置,从而防止未经授权或恶意的用户配置或操作该服务。组策略还可以防止管理员无意中禁用该服务
要求:设置配置为“自动”。

W3SVC
说明:“W3SVC”通过 IIS 管理单元提供网络连通性和网站管理。
“W3SVC”必须运行,以便让 IIS 服务器通过 IIS 管理器提供网络连通性和管理。您可以使用组策略来保护和设置服务的启动模式,只允许服务器管理员访问这些设置,从而防止未经授权或恶意的用户配置或操作该服务。组策略还可以防止管理员无意中禁用该服务。
要求:设置配置为“自动”。
 


 

你可能感兴趣的:(IIS,6.0,安全配置规范)