中国移动IIS服务安全配置规范V10

XXXX-XX-XX发布XXXX-XX-XX实施中国移动公司--IIS服务安全配置规范SpecificationforInternetInfromationSystemConfigurationUsedinChinaMobile版本号：1.0.0中国移动通信有限公司网络部中国移动IIS服务安全配置规范目录1概述...................................................错误!未定义书签。1.1适用范围.............................................................11.2内部适用性说明.......................................错误!未定义书签。1.3外部引用说明.........................................错误!未定义书签。1.4术语和定义...........................................错误!未定义书签。1.5符号和缩略语.........................................错误!未定义书签。2IIS服务安全配置要求....................................................32.1账号管理、认证授权...................................................32.2日志配置操作.........................................错误!未定义书签。2.3IP协议安全配置操作..................................................92.4设备其他配置操作.....................................错误!未定义书签。2.4.1文件系统及访问权限..............................................122.4.2补丁管理........................................................172.4.3IIS服务组件......................................................18中国移动IIS服务安全配置规范前言为了贯彻安全三同步的要求，在设备选型、入网测试、工程验收以及运行维护等环节，明确并落实安全功能和配置要求。有限公司组织部分省公司编制了中国移动设备安全功能和配置系列规范。本系列规范可作为编制设备技术规范、设备入网测试规范，工程验收手册，局数据模板等文档的依据。本规范是该系列规范之一，明确了中国移动各类型设备所需满足的通用安全功能和配置要求，并作为本系列其他规范的编制基础。本标准起草单位：中国移动通信有限公司网络部、中国移动通信集团黑龙江有限公司。本标准解释单位：同提出单位本标准主要起草人：刘莉、隋鹏、陈敏时、周智、曹一生。中国移动IIS服务安全配置规范11范围本规范适用于中国移动通信网、业务系统和支撑系统的各类启用了互联网信息服务（以下简称“IIS”）功能的设备。。本规范明确规定了IIS应用服务在安全配置方面的基本要求。适用于常见5.0、6.0、7.0、2003等版本。本规范作为编制设备技术规范、设备入网测试规范，工程验收手册，局数据模板等文档的依据。供中国移动内部和厂商共同使用。2规范性引用文件内部引用本规范是在《中国移动设备通用设备安全功能和配置规范》（以下简称《通用规范》）各项设备功能要求的基础上，提出的IIS设备安全功能要求。以下分项列出本规范对《通用规范》设备功能要求的修订情况。编号采纳意见补充说明安全要求-设备-通用-配置--1完全采纳安全要求-设备-通用-配置--2完全采纳安全要求-设备-通用-配置--3-可选不采纳IIS不支持在远程登陆时通过切换用户提升权限安全要求-设备-通用-配置—4完全采纳安全要求-设备-通用-配置—5完全采纳安全要求-设备-通用-配置--29-可选不采纳安全要求-设备-通用-配置--6-可选完全采纳安全要求-设备-通用-配置--7-可选完全采纳安全要求-设备-通用-配置—9完全采纳安全要求-设备-通用-配置—12增强安全要求-设备-IIS-配置-1安全要求-设备-通用-配置--13-可选完全采纳安全要求-设备-通用-配置--24-可选完全采纳中国移动IIS服务安全配置规范2安全要求-设备-通用-配置--14-可选不采纳IIS日志文件以文本文件方式记录。安全要求-设备-通用-配置-28完全采纳安全要求-设备-通用-配置-16-可选部分采纳安全要求-设备-IIS-配置-3-可选安全要求-设备-通用-配置-17-可选不采纳IIS服务远程维护不支持SSH安全要求-设备-通用-配置-19-可选不采纳IIS服务不具备字符交互界面安全要求-设备-通用-配置-20-可选完全采纳IIS基于Windows系统，定时自动屏幕锁定功能可参考Windows相关功能安全要求-设备-通用-配置-27不采纳IIS服务不涉及console口本规范新增的安全配置要求，如下：安全要求-设备-IIS-配置-2安全要求-设备-IIS-配置-3-可选安全要求-设备-IIS-配置-4-可选安全要求-设备-IIS-配置-5-可选安全要求-设备-IIS-配置-6-可选安全要求-设备-IIS-配置-7安全要求-设备-IIS-配置-8-可选安全要求-设备-IIS-配置-9-可选安全要求-设备-IIS-配置-10安全要求-设备-IIS-配置-11安全要求-设备-IIS-配置-12-可选外部引用下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。表2-1中国移动IIS服务安全配置规范3[1]《中国移动通用安全功能和配置规范》中国移动通信有限公司[2]《中国移动通用安全功能和配置规范》中国移动通信有限公司3术语、定义和缩略语下列术语、定义和缩略语适用于本标准：词语解释IIS互联网信息服务4IIS服务安全配置要求4.1.账号管理、认证授权安全功能要求4.1.1.账号编号：安全要求-设备-通用-配置-1要求内容应按照用户分配账号。避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享（对于IIS用户定义分为两个层次：一、IIS自身操作用户，二、IIS发布应用访问用户）操作指南1、参考配置操作1、为不同维护人员创建账号：进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”：根据系统的要求，设定不同的账户和账户组.对应设置IIS系统管理员的权限。2、为创建账号设置权限：进入IIS管理器-相应网站“属性”-“目录安全性”-“身份访问及访问控制”：其中分为“匿名访问身份”及“基本（Basic）验证”。“基本（Basic）验证”包含：“集成windows身份验证”、“Windows域服务器的摘要身份验证”、“基本身份验证”、“.NETPassport身份验证”；可依据维护人员进行不同权限访问控制配置。中国移动IIS服务安全配置规范4检测方法1、判定条件结合要求和实际业务情况判断符合要求，根据系统的要求，设定不同的账户和账户组。2、检测操作进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”：查看根据系统的要求，设定不同的账户和账户组。进入IIS管理器-相应网站“属性”-“目录安全性”-“身份访问及访问控制”查看相应配置。编号：安全要求-设备-通用-配置-2要求内容应删除或锁定与设备运行、维护等工作无关的账号。操作指南1、参考配置操作进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”：删除或锁定与设备运行、维护等与工作无关的账号。IIS安装后生成帐号:IUSR_主机名、IWAM_主机名、ASPNET三用户，依据应用情况建议只保留系统维护帐号。1.IUSR_主机名:Internet来宾帐户,匿名访问Internet信息服务的内置帐户。如果删除影响页面浏览，建议保留。2.IWAM_主机名:启动IIS进程帐户,用于启动进程外应用程序的Internet信息服务的内置帐户。建议保留。3.ASPNET:ASP.NET计算机帐户,用于运行ASP.NET辅助进程(aspnet_wp.exe)的帐户。IIS系统安装后会默认支持ASP，如网站无动态内容，可禁用该帐户，如网站有动态内容需保留此账户。检测方法1、判定条件结合要求和实际业务情况判断符合要求，删除或锁定与设备运行、维护等与工作无关的账号。2、检测操作进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”：查看是否删除或锁定与设备运行、维护等与工作无关的账号。如网站无动态内容，系统只保留管理员、IUSR_主机名、中国移动IIS服务安全配置规范5IWAM_主机名、维护人员账号，无其他账号，如网站有动态内容系统保留管理员、IUSR_主机名、IWAM_主机名、ASPNET、维护人员账号，无其他账号。4.1.2.口令编号：安全要求-设备-通用-配置-4要求内容对于采用静态口令认证技术的设备，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类（IIS基于Windows系统，可通过提升Windows自身密码安全等级实现）操作指南1、参考配置操作进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略”：“密码必须符合复杂性要求”选择“已启动”检测方法1、判定条件“密码必须符合复杂性要求”选择“已启动”2、检测操作进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略”：查看是否“密码必须符合复杂性要求”选择“已启动”编号：安全要求-设备-通用-配置-5要求内容对于采用静态口令认证技术的设备，维护人员使用的账户口令的生存期不长于90天（IIS基于Windows系统，可通过提升Windows帐户策略实现）操作指南1、参考配置操作进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略”：“密码最长存留期”设置为“90天”检测方法1、判定条件“密码最长存留期”设置为“90天”2、检测操作进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密中国移动IIS服务安全配置规范6码策略”：查看是否“密码最长存留期”设置为“90天”编号：安全要求-设备-通用-配置-6-可选要求内容对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令（IIS基于Windows系统，可通过提升Windows帐户策略实现）操作指南1、参考配置操作进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略”：“强制密码历史”设置为“记住5个密码”检测方法1、判定条件“强制密码历史”设置为“记住5个密码”2、检测操作进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略”：查看是否“强制密码历史”设置为“记住5个密码”编号：安全要求-设备-通用-配置-7-可选要求内容对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号（IIS基于Windows系统，可通过提升Windows帐户策略实现）操作指南1、参考配置操作进入“控制面板-管理工具-本地安全策略”，在“帐户策略-帐户锁定策略”：“账户锁定阀值”设置为6次检测方法1、判定条件“账户锁定阀值”设置为小于或等于6次2、检测操作进入“控制面板-管理工具-本地安全策略”，在“帐户策略-帐户锁定策略”：查看是否“账户锁定阀值”设置为小于等于6次4.1.3.授权编号