IIS安全配置參考
0x01 賬號管理
一、 應按照使用者分配賬號。避免不同使用者間共享賬號
避免使用者賬號和裝置間通訊使用的賬號共享(對於IIS使用者定義分為兩個層次:一、IIS自身操作使用者,二、IIS釋出應用訪問使用者)。操作:
1. 為不同維護人員建立賬號:進入“控制面板->管理工具->計算機管理”,在“系統工具->本地使用者和組”:根據系統的要求,設定不同的賬戶和賬戶組.對應設定IIS系統管理員的許可權。
2. 為建立賬號設定許可權:進入IIS管理器->相應網站“屬性”->“目錄安全性”->“身份訪問及訪問控制”:其中分為“匿名訪問身份”及“基本(Basic)驗證”。“基本(Basic)驗證”包含:“整合windows身份驗證”、“Windows域伺服器的摘要身份驗證”、“基本身份驗證”、“.NET Passport身份驗證”;可依據維護人員進行不同許可權訪問控制配置。
檢測:
1.進入“控制面板->管理工具->計算機管理”,在“系統工具->本地使用者和組”:檢視根據系統的要求,設定不同的賬戶和賬戶組。
2.進入IIS管理器->相應網站“屬性”->“目錄安全性”->“身份訪問及訪問控制”檢視相應配置。
3 結合要求和實際業務情況判斷符合要求,根據系統的要求,設定不同的賬戶和賬戶組。
二、應刪除或鎖定與裝置執行、維護等工作無關的賬號
操作:
1. 進入“控制面板->管理工具->計算機管理”,在“系統工具->本地使用者和組”:刪除或鎖定與裝置執行、維護等與工作無關的賬號。IIS安裝後生成賬號: IUSR_主機名、IWAM_主機名、ASPNET三使用者,依據應用情況建議只保留系統維護賬號。
(1)IUSR_主機名:Internet 來賓帳戶, 匿名訪問 Internet 資訊服務的內建帳戶。如果刪除影響頁面瀏覽,建議保留。
(2)IWAM_主機名: 啟動 IIS 程序帳戶, 用於啟動程序外應用程式的 Internet 資訊服務的內建帳戶。建議保留。
(3)ASPNET: ASP.NET 計算機帳戶, 用於執行 ASP.NET 輔助程序(aspnet_wp.exe)的帳戶。IIS系統安裝後會預設支援ASP,如網站無動態內容,可禁用該帳戶,如網站有動態內容需保留此賬戶。
檢測:
1. 進入“控制面板->管理工具->計算機管理”,在“系統工具->本地使用者和組”:檢視是否刪除或鎖定與裝置執行、維護等與工作無關的賬號。如網站無動態內容,系統只保留管理員、IUSR_主機名、IWAM_主機名、維護人員賬號,無其他賬號,如網站有動態內容系統保留管理員、IUSR_主機名、IWAM_主機名、ASPNET、維護人員賬號,無其他賬號。
2 結合要求和實際業務情況判斷符合要求,刪除或鎖定與裝置執行、維護等與工作無關的賬號。
0x02 口令
一、口令複雜度
對於採用靜態口令認證技術的裝置,口令長度至少8位,幷包括數字、小寫字母、大寫字母和特殊符號4類中至少3類(IIS基於Windows系統,可通過提升Windows自身密碼安全等級實現)
操作: 進入“控制面板->管理工具->本地安全策略”,在“帳戶策略->密碼策略”:“密碼必須符合複雜性要求”選擇“已啟動”
檢測:進入“控制面板->管理工具->本地安全策略”,在“帳戶策略->密碼策略”:檢視是否“密碼必須符合複雜性要求”選擇“已啟動”
二、口令的生存期
對於採用靜態口令認證技術的裝置,維護人員使用的賬戶口令的生存期不長於90天(IIS基於Windows系統,可通過提升Windows帳戶策略實現)操作: 進入“控制面板->管理工具->本地安全策略”,在“帳戶策略->密碼策略”:“密碼最長存留期”設定為“90天”
判定:“密碼最長存留期”設定為“90天”
三、口令重複限制
對於採用靜態口令認證技術的裝置,應配置裝置,使使用者不能重複使用最近5次(含5次)內已使用的口令(IIS基於Windows系統,可通過提升Windows帳戶策略實現)操作: 進入“控制面板->管理工具->本地安全策略”,在“帳戶策略->密碼策略”:“強制密碼歷史”設定為“記住5個密碼”
檢測: 進入“控制面板->管理工具->本地安全策略”,在“帳戶策略->密碼策略”:檢視是否“強制密碼歷史”設定為“記住5個密碼”
判定: “強制密碼歷史”設定為“記住5個密碼”
0x03 授權
一、最小許可權
在裝置許可權配置能力內,根據使用者的業務需要,配置其所需的最小許可權(對於IIS使用者定義分為兩個層次:一、IIS自身操作使用者,二、IIS釋出應用訪問使用者;裝置許可權的配置基於上述兩方面考慮)
1.原理:
(1)資料夾和檔案的訪問許可權:安放在NTFS檔案系統上的資料夾和檔案,一方面要對其許可權加以控制,對不同的使用者組和使用者進行不同的許可權設定;另外,可利用NTFS的稽核功能對某些特定使用者組成員 讀檔案的企圖等方面進行稽核,有效地通過監視如檔案訪問、使用者物件的使用等發現非法使用者進行非法活動的前兆,及時加以預防制止。
(2)目錄的訪問許可權:已經設定成Web目錄的資料夾,可以通過操作Web站點屬性頁面實現對www目錄訪問許可權的控制,而該目錄下的所有檔案和子 資料夾都將繼承這些安全性。www服務除了提供NTFS檔案系統提供的許可權外,還提供讀取許可權,允許使用者讀取或下載WWW目錄中的檔案;執行許可權,允許使用者執行www目錄下的程式和指令碼。
2.操作:
(1)啟動“域使用者管理器”-> “規則”選單下的“稽核”選項-> “稽核規則”
(2)啟動ISM(Internet伺服器管理器)-> 啟動Web屬性頁面並選擇“目錄”選項卡;-> 選擇www目錄;-> 選擇“編輯屬性”中的“目錄屬性”進行設定:“指令碼資源訪問”、“讀取”、“寫入”“目錄瀏覽”、“記錄訪問”、“索引資源”。
檢測:
1.啟動“域使用者管理器”-> “規則”選單下的“稽核”選項-> “稽核規則”,檢測 “稽核規則”配置狀態。
2.啟動ISM(Internet伺服器管理器)->啟動Web屬性頁面並選擇“目錄”選項卡;->選擇www目錄;-> “編輯屬性”中的“目錄屬性”,檢視配置狀態。
判定條件:1.檢測使用者許可權稽核及ISM目錄安全屬性。
0x04 日誌
一、啟用日誌
操作:開啟IIS管理工具,右擊要管理的站點,選擇“屬性”。在“Web Site”選擇“啟用日誌記錄”,從下拉選單中選擇“Microsoft IIS日誌檔案格式”。“W3C”日誌格式存在日誌記錄時間與伺服器時間不統一的問題,所以應儘量採用IIS日誌格式。
檢測:開始->管理工具->Internet 資訊服務(IIS)管理器 選擇相應的站點,然後右鍵點選“屬性”檢查是否“啟用日誌記錄”
採用“Microsoft IIS日誌檔案格式”。
判定:啟用日誌記錄,並採用IIS日誌格式。
二、 更改日誌預設路徑
1. 將IIS的網頁訪問日誌獨立存放在一個獨立的分割槽中,並且系統管理員要定期對該目錄進行檢視和維護,確保日誌內容不會溢位,並可以及早的發現網路異常行為。
檢測方法:進入“開始->管理工具->資源管理器”,檢視日誌檔案存放路徑。
判定: IIS的網頁訪問日誌獨立存放在一個獨立的分割槽中
三、記錄與裝置相關的安全事件
操作:
1.進入“控制面板->管理工具->本地安全策略”,在“本地策略->稽核策略”中配置相應 “稽核物件訪問”、“稽核目錄伺服器訪問”、“稽核系統事件”、“稽核賬號管理”、“稽核過程追蹤”選項。
2.執行IIS管理器->“Internet資訊服務”->“應用相關站點”屬性->“網站”->“屬性”->“高階”,選擇“時間”、“日期”、“擴充套件屬性”是否選擇
檢測方法:進入“控制面板->管理工具->本地安全策略”,檢視“本地策略->稽核策略”配置“成功”、“失敗”的選擇記錄。
判定條件:確定系統相關“稽核策略”;確定IIS相關“站點屬性”日誌詳細記錄。
四、配置許可權,控制對日誌檔案讀取、修改和刪除
操作:進入“控制面板->管理工具->本地安全策略”,在“本地策略->稽核策略”中配置相應“稽核策略更改”配置相應選項。檢測:進入“控制面板->管理工具->本地安全策略”,在“本地策略->稽核策略”中配置相應“稽核策略更改”選項選擇狀態。
判定:確定系統相關“稽核策略”
0x05 其他事項
1 IP協議:IP轉發的安全性
IIS服務可提供IP資料包轉發功能,此時,充當路由器角色的IIS伺服器將會把從Internet介面收到的IP資料包轉發到內部網中,以此提升IIS服務安全性
操作:IIS伺服器啟動“網路屬性”-> “協議”選項卡->在“TCP/IP屬性”中去除 “路由選擇”選項。
檢測:IS伺服器啟動“網路屬性”-> “協議”選項卡->在“TCP/IP屬性”檢視 “路由選擇”選項。
判定:判斷IIS所屬伺服器“路由選擇”選項狀態。
2 超時操作
對於具備圖形介面(含WEB介面)的裝置,應配置定時自動螢幕鎖定(參考Windows相關配置:設定帶密碼的螢幕保護,並將時間設定為5分鐘。)
操作:進入“控制面板->顯示->螢幕保護程式”:啟用螢幕保護程式,設定等待時間為“5分鐘”,啟用“在恢復時使用密碼保護”
檢測:進入“控制面板->顯示->螢幕保護程式”:檢視是否啟用螢幕保護程式,設定等待時間為“5分鐘”,啟用“在恢復時使用密碼保護”。
判定:啟用螢幕保護程式,設定等待時間為“5分鐘”,啟用“在恢復時使用密碼保護”。
3 更改預設安裝路徑:
操作:開始->管理工具->Internet 資訊服務(IIS)管理器 選擇相應的站點,然後右鍵點選“屬性”。
IIS安裝後的預設主目錄是“%system%Inetpubwwwroot”,為更好地抵抗踩點、刺探等攻擊行為,應該更改主目錄位置,更改主目錄位置操作
檢測:開始->管理工具->Internet 資訊服務(IIS)管理器 選擇相應的站點,然後右鍵點選“屬性”。檢視是否更改IIS預設安裝路徑。
判定:更改IIS預設安裝路徑。
4 刪除例項
檔案安全配置要求:刪除可能帶來風險的例項檔案。操作:進入相應目錄,刪除例項檔案
IIS c:\inetpub\iissamples
Admin Scripts c:\inetpub\scripts
Admin Samples %systemroot%\system32\inetsrv\adminsamples
IISADMPWD %systemroot%\system32\inetsrv\iisadmpwd
IISADMIN %systemroot%\system32\inetsrv\iisadmin
Data access c:\Program Files\Common Files\System\msadc\Samples
MSADC c:\program files\common files\system\msadc
檢測:進入c:\inetpub;c:\Program Files\Common Files\System\msadc\Samples 檢視是否刪除可能帶來風險的例項檔案。
判定:刪除可能帶來風險的例項檔案。
5 刪除指令碼
刪除不必要的指令碼影射
操作:開始->管理工具->Internet 資訊服務(IIS)管理器 選擇相應的站點,然後右鍵點選“屬性” -〉編輯 -〉根目錄 -〉配置,然後從列表中刪除以下不必要的指令碼,包括:.htr、idc、.stm、.shtm、.shtml、.printer、.htw、.ida 和.idq。
刪除的原則:只保留需要的指令碼對映。
配置方法:
從“Internet 服務管理器”中:選擇計算機名,點滑鼠右鍵,選擇屬性,屬性介面如下圖2所示:
然後選擇編輯,編輯介面圖如下圖3所示:
然後選擇主目錄,點選配置,配置圖如圖4所示:
選擇需要刪除的副檔名,點選刪除,刪除操作圖如圖5所示:(以下圖示僅供參考,依據實際需求操作)
檢測:開始->管理工具->Internet 資訊服務(IIS)管理器 選擇相應的站點,然後右鍵點選“屬性” -〉編輯 -〉根目錄 -〉配置:
檢視是否刪除不必要的指令碼影射。
判定:刪除不必要的指令碼影射。
6 賬號所屬日誌
按賬號分配日誌檔案讀取、修改和刪除許可權,從而防止日誌檔案被篡改或非法刪除。操作: 通過“資源管理器”,修改檔案許可權,除管理員組使用者外,其他使用者不得修改、刪除日誌檔案。
檢測:資源管理器->日誌檔案->“屬性”。
判定: 非管理員組的使用者不得修改、刪除日誌檔案。
7 IIS升級
操作: 下載IIS補丁包http://www.microsoft.com/Downloads/Release.asp?ReleaseID=23667
IIS7.0
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=23665
並安裝,或升級到IIS7.5
檢測:控制面板->新增或刪除程式->顯示更新打鉤,檢視是否安裝IIS補丁包。
判定條件:已安裝IIS最新 補丁包。
8 禁止開啟其他服務
IIS 是架設 WEB、FTP、SMTP 伺服器的一套整合軟體,如果不是必要,不得安裝FTP、SMTP服務。操作: 可以通過“控制面板” -> “新增/刪除程式” ->“新增刪除IIS元件” ->“internet資訊服務(IIS)”中刪除FTP、SMTP服務元件。
檢測:可以通過“控制面板” -> “新增/刪除程式” ->“新增刪除IIS元件” ->“internet資訊服務(IIS)”中檢查是否刪除FTP、SMTP服務元件。
判定: 檢視FTP、SMTP服務沒有被安裝。
9 禁止web服務擴充套件
對於IIS6.0 對於“web服務擴充套件”,預設只啟用了“asp.net”功能。如果業務系統不需要ASP支援,應按照下圖的方法將相應的服務擴充套件禁止。操作: 禁止“asp.net”功能操作圖如下圖6所示:
檢測:如果網站頁面為靜態介面,則開始->管理工具->Internet 資訊服務(IIS)管理器 選擇相應的站點,然後右鍵點選“web服務擴充套件”。檢查是否禁用“asp.net”功能。
判定:如果網站頁面均為靜態介面,則不需要ASP支援,禁用“asp.net”功能。如果網站頁面有動態內容,則該項不用配置。
歡迎大家分享更好的思路,熱切期待^^_^^ !