中国移动IIS服务安全配置规范V1024853.docx

《中国移动IIS服务安全配置规范V1024853.docx》由会员分享，可在线阅读，更多相关《中国移动IIS服务安全配置规范V1024853.docx（23页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、XXXX-XX-XX实施XXXX-XX-XX发布版本号：1.0.0中国移动公司-IIS服务安全配置规范Specification for Internet Infromation System Configuration Used in China Mobile中国移动通信有限公司网络部目录1概述111.1适适用范围围11.2内内部适用用性说明明11.3外外部引用用说明221.4术术语和定定义21.5符符号和缩缩略语222IISS服务安安全配置置要求222.1账账号管理理、认证证授权222.2日日志配置置操作332.3IIP协议议安全配配置操作作42.4设设备其他他配置操操作52.4.1文件件

2、系统及及访问权权限52.4.2补丁丁管理1102.4.3IIIS服务务组件111前言为了贯彻彻安全三三同步的的要求，在在设备选选型、入入网测试试、工程程验收以以及运行行维护等等环节，明明确并落落实安全全功能和和配置要要求。有有限公司司组织部部分省公公司编制制了中国国移动设设备安全全功能和和配置系系列规范范。本系列规范范可作为编编制设备备技术规规范、设设备入网网测试规规范，工工程验收收手册，局局数据模模板等文文档的依依据。本本规范是是该系列列规范之之一，明明确了中中国移动动各类型型设备所所需满足足的通用用安全功功能和配配置要求求，并作作为本系系列其他他规范的的编制基基础。本标准起起草单位位：中国

3、国移动通通信有限限公司网网络部、中国移移动通信信集团黑黑龙江有有限公司司。本标准解解释单位位：同提提出单位位本标准主主要起草草人：刘刘莉、隋鹏、陈陈敏时、周周智、曹曹一生。1 范围本规范适适用于中中国移动动通信网网、业务务系统和和支撑系系统的各各类启用用了互联联网信息息服务（以以下简称称“IISS”）功能能的设备备。本规范范明确规规定了IIIS应应用服务务在安全全配置方方面的基基本要求求。适用用于常见见5.00、6.0、77.0、220033等版本本。本规规范作为为编制设设备技术术规范、设设备入网网测试规规范，工工程验收收手册，局局数据模模板等文文档的依依据。供供中国移移动内部部和厂商商共同使

4、使用。2 规范性引引用文件件内部引用用本规范是是在中中国移动动设备通通用设备备安全功功能和配配置规范范（以以下简称称通用用规范）各各项设备备功能要要求的基基础上，提提出的IIIS设设备安全全功能要要求。以以下分项项列出本本规范对对通用用规范设设备功能能要求的的修订情情况。编号采纳意见见补充说明明安全要求求-设备备-通用用-配置置-11完全采纳纳安全要求求-设备备-通用用-配置置-22完全采纳纳安全要求求-设备备-通用用-配置置-33-可选选不采纳IIS不不支持在在远程登登陆时通通过切换换用户提提升权限限安全要求求-设备备-通用用-配置置4完全采纳纳安全要求求-设备备-通用用-配置置5完全采纳纳

5、安全要求求-设备备-通用用-配置置-229-可可选不采纳安全要求求-设备备-通用用-配置置-66-可选选完全采纳纳安全要求求-设备备-通用用-配置置-77-可选选完全采纳纳安全要求求-设备备-通用用-配置置9完全采纳纳安全要求求-设备备-通用用-配置置12增强安全要求求-设备备-IIIS-配配置-11安全要求求-设备备-通用用-配置置-113-可可选完全采纳纳安全要求求-设备备-通用用-配置置-224-可可选完全采纳纳安全要求求-设备备-通用用-配置置-114-可可选不采纳IIS日日志文件件以文本本文件方方式记录录。安全要求求-设备备-通用用-配置置-288完全采纳纳安全要求求-设备备-通用用

6、-配置置-166-可选选部分采纳纳安全要求求-设备备-IIIS-配配置-33-可选选安全要求求-设备备-通用用-配置置-177-可选选不采纳IIS服服务远程程维护不不支持SSSH安全要求求-设备备-通用用-配置置-199-可选选不采纳IIS服服务不具具备字符符交互界界面安全要求求-设备备-通用用-配置置-200-可选选完全采纳纳IIS基基于Wiindoows系系统，定定时自动动屏幕锁锁定功能能可参考考Winndowws相关关功能安全要求求-设备备-通用用-配置置-277不采纳IIS服服务不涉涉及coonsoole口口本规范新新增的安安全配置置要求，如如下：安全要求求-设备备-IIIS-配配置-

7、22安全要求求-设备备-IIIS-配配置-33-可选选安全要求求-设备备-IIIS-配配置-44-可选选安全要求求-设备备-IIIS-配配置-55-可选安全要求求-设备备-IIIS-配配置-66-可选选安全要求求-设备备-IIIS-配配置-77安全要求求-设备备-IIIS-配配置-8-可选安全要求求-设备备-IIIS-配配置-99-可选选安全要求求-设备备-IIIS-配配置-110安全要求求-设备备-IIIS-配配置-111安全要求求-设备备-IIIS-配配置-112-可可选外部引用用下列文件件中的条条款通过过本标准准的引用用而成为为本标准准的条款款。凡是是注日期期的引用用文件，其其随后所所有

8、的修修改单（不不包括勘勘误的内内容）或或修订版版均不适适用于本本标准，然然而，鼓鼓励根据据本标准准达成协协议的各各方研究究是否可可使用这这些文件件的最新新版本。凡凡是不注注日期的的引用文文件，其其最新版版本适用用于本标标准。表2-111中国移移动通用用安全功功能和配配置规范范中国移动动通信有有限公司司2中国移移动通用用安全功功能和配配置规范范中国移动动通信有有限公司司3 术语、定定义和缩缩略语下列术语语、定义和缩缩略语适适用于本本标准：词语解释IIS互联网信信息服务务4 IIS服服务安全全配置要求求4.4. 账号管理理、认证证授权安安全功能能要求4.4.1. 账号编号：安安全要求求-设备备-通

9、用用-配置置-1要求内容容应按照用用户分配配账号。避避免不同同用户间间共享账账号。避避免用户户账号和和设备间间通信使使用的账账号共享享（对于于IISS用户定定义分为为两个层层次：一一、IIIS自身身操作用用户，二二、IIIS发布布应用访访问用户户）操作指南南1、参考考配置操操作1、为不不同维护护人员创创建账号号：进入入“控制面面板-管理工工具-计算机机管理”，在“系统工工具-本地用用户和组组”：根据据系统的的要求，设设定不同同的账户户和账户户组.对对应设置置IISS系统管管理员的的权限。2、为创创建账号号设置权权限：进进入IIIS管理理器-相应网网站“属性”-“目录安安全性”-“身份访访问及访

10、访问控制制”：其中中分为“匿名访访问身份份”及“基本（BBasiic）验验证”。“基本（BBasiic）验验证”包含：“集成wwinddowss身份验验证”、“Winndowws域服服务器的的摘要身身份验证证”、“基本身身份验证证”、“.NEET PPasssporrt身份份验证”；可依依据维护护人员进进行不同同权限访访问控制制配置。检测方法法1、判定定条件结合要求求和实际际业务情情况判断断符合要要求，根根据系统统的要求求，设定定不同的的账户和和账户组组。2、检测测操作进入“控控制面板板-管管理工具具-计计算机管管理”，在“系统工工具-本地用用户和组组”：查看看根据系系统的要要求，设设定不同同

11、的账户户和账户户组。进入IIIS管理理器-相应网网站“属性”-“目录安安全性”-“身份访访问及访访问控制制”查看相相应配置置。编号：安安全要求求-设备备-通用用-配置置-2要求内容容应删除或或锁定与与设备运运行、维维护等工工作无关关的账号号。操作指南南1、参考考配置操操作进入“控控制面板板-管管理工具具-计计算机管管理”，在“系统工工具-本地用用户和组组”：删除除或锁定定与设备备运行、维维护等与与工作无无关的账账号。IIIS安安装后生生成帐号号:IUUSR_主机名名、IWWAM_主机名名、ASSPNEET三用用户，依依据应用用情况建建议只保保留系统统维护帐帐号。1.IUUSR_主机名名:Inn

12、terrnett 来宾宾帐户, 匿名名访问 Intternnet 信息服服务的内内置帐户户。如果果删除影影响页面面浏览，建建议保留留。 2.IWWAM_主机名名: 启启动 IIIS 进程帐帐户, 用于启启动进程程外应用用程序的的 Innterrnett 信息息服务的的内置帐帐户。建建议保留留。3.ASSPNEET: ASPP.NEET 计计算机帐帐户, 用于运运行 AASP.NETT 辅助助进程(asppnett_wpp.exxe)的的帐户。IIIS系系统安装装后会默默认支持持ASPP，如网网站无动动态内容容，可禁禁用该帐帐户，如如网站有有动态内内容需保保留此账账户。检测方法法1、判定定条件结

13、合要求求和实际际业务情情况判断断符合要要求，删删除或锁锁定与设设备运行行、维护护等与工工作无关关的账号号。2、检测测操作进入“控控制面板板-管管理工具具-计计算机管管理”，在“系统工工具-本地用用户和组组”：查看看是否删删除或锁锁定与设设备运行行、维护护等与工工作无关关的账号号。如网网站无动动态内容容，系统统只保留留管理员员、IUUSR_主机名名、IWWAM_主机名名、维护护人员账账号，无无其他账账号，如如网站有有动态内内容系统统保留管管理员、IUSR_主机名、IWAM_主机名、ASPNET、维护人员账号，无其他账号。4.4.2. 口令编号：安安全要求求-设备备-通用用-配置置-4要求内容容对

14、于采用用静态口口令认证证技术的的设备，口口令长度度至少88位，并并包括数数字、小小写字母母、大写写字母和和特殊符符号4类类中至少少2类（IIIS基基于Wiindoows系系统，可可通过提提升Wiindoows自自身密码码安全等等级实现现）操作指南南1、参考考配置操操作进入“控控制面板板-管管理工具具-本本地安全全策略”，在“帐户策策略-密码策策略”：“密码码必须符符合复杂杂性要求求”选择择“已启动动”检测方法法1、判定定条件“密码必必须符合合复杂性性要求”选择“已启动”2、检测测操作进入“控控制面板板-管管理工具具-本本地安全全策略”，在“帐户策策略-密码策策略”：查看看是否“密密码必须须符合

15、复复杂性要要求”选选择“已启动动”编号：安安全要求求-设备备-通用用-配置置-5要求内容容对于采用用静态口口令认证证技术的的设备，维维护人员员使用的的账户口口令的生生存期不不长于990天（IIIS基基于Wiindoows系系统，可可通过提提升Wiindoows帐帐户策略略实现）操作指南南1、参考考配置操操作进入“控控制面板板-管管理工具具-本本地安全全策略”，在“帐户策策略-密码策策略”：“密码最最长存留留期”设置为为“90天天”检测方法法1、判定定条件“密码最最长存留留期”设置为为“90天天”2、检测测操作进入“控控制面板板-管管理工具具-本本地安全全策略”，在“帐户策策略-密码策策略”：查

16、看看是否“密码最最长存留留期”设置为为“90天天”编号：安安全要求求-设备备-通用用-配置置-6-可选要求内容容对于采用用静态口口令认证证技术的的设备，应应配置设设备，使使用户不不能重复复使用最最近5次次（含55次）内内已使用用的口令令（IIIS基于于Winndowws系统统，可通通过提升升Winndowws帐户户策略实实现）操作指南南1、参考考配置操操作进入“控控制面板板-管管理工具具-本本地安全全策略”，在“帐户策策略-密码策策略”：“强制密密码历史史”设置为为“记住55个密码码”检测方法法1、判定定条件“强制密密码历史史”设置为为“记住55个密码码”2、检测测操作进入“控控制面板板-管管

17、理工具具-本本地安全全策略”，在“帐户策策略-密码策策略”：查看看是否“强制密密码历史史”设置为为“记住55个密码码”编号：安安全要求求-设备备-通用用-配置置-7-可选要求内容容对于采用用静态口口令认证证技术的的设备，应应配置当当用户连连续认证证失败次次数超过过6次（不不含6次次），锁锁定该用用户使用用的账号号（IIIS基于于Winndowws系统统，可通通过提升升Winndowws帐户户策略实实现）操作指南南1、参考考配置操操作进入“控控制面板板-管管理工具具-本本地安全全策略”，在“帐户策策略-帐户锁锁定策略略”：“账户锁锁定阀值值”设置为为 6次次检测方法法1、判定定条件“账户锁锁定阀

18、值值”设置为为小于或或等于 6次2、检测测操作进入“控控制面板板-管管理工具具-本本地安全全策略”，在“帐户策策略-帐户锁锁定策略略”：查看看是否“账户锁锁定阀值值”设置为为小于等等于 66次4.4.3. 授权编号：安安全要求求-设备备-通用用-配置置-9要求内容容在设备权权限配置置能力内内，根据据用户的的业务需需要，配配置其所所需的最最小权限限（对于于IISS用户定定义分为为两个层层次：一一、IIIS自身身操作用用户，二二、IIIS发布布应用访访问用户户；设备备权限的的配置基基于上述述两方面面考虑）操作指南南1、参考考配置操操作原理：（1）文文件夹和和文件的的访问权权限：安安放在NNTFSS

19、文件系系统上的的文件夹夹和文件件，一方方面要对对其权限限加以控控制，对对不同的的用户组组和用户户进行不不同的权权限设置置；另外外，可利利用NTTFS的的审核功功能对某某些特定定用户组组成员读读文件的的企图等等方面进进行审核核，有效效地通过过监视如如文件访访问、用用户对象象的使用用等发现现非法用用户进行行非法活活动的前前兆，及及时加以以预防制制止。（2）目目录的访访问权限限：已经经设置成成Webb目录的的文件夹夹，可以以通过操操作Weeb站点点属性页页面实现对对wwww目录访访问权限限的控制制，而该该目录下下的所有有文件和和子 文文件夹都都将继承承这些安安全性。www服务除了提供NTFS文件系统

20、提供的权限外，还提供读取权限，允许用户读取或下载WWW目录中的文件；执行权限，允许用户运行www目录下的程序和脚本。具体操作：（1）启启动“域域用户管管理器”- “规规则”选选单下的的“审核核”选项项-“审审核规则则”（2）启启动ISSM（IInteerneet服务务器管理理器）-启动WWeb属属性页面面并选择择“目录录”选项项卡；-选择wwww目目录；-选择“编编辑属性性”中的的“目录录属性”进进行设置置：“脚本资资源访问问”、“读取”、“写入”、“目录浏浏览”、“记录访访问”、“索引资资源”。检测方法法1、判定定条件检测用户户权限审审核及IISM目目录安全全属性。2、检测测操作（1）启启动

21、“域域用户管管理器”- “规规则”选选单下的的“审核核”选项项-“审审核规则则”，检检测“审审核规则则”配置置状态。（2）启启动ISSM（IInteerneet服务务器管理理器）-启动WWeb属属性页面面并选择择“目录录”选项项卡；-选择wwww目目录；- “编编辑属性性”中的的“目录录属性”，查看配置状态。4.5. 日志要求求编号：安安全要求求-设备备-IIIS-配配置-11要求内容容启用日志志功能操作指南南1、参考考配置操操作打开IIIS管理理工具，右右击要管管理的站站点，选选择“属属性”。在在“Webb Siite”选择“启用日日志记录录”，从下下拉菜单单中选择择“Miicroosott

22、f IIIS日日志文件件格式”。“W3CC”日志格格式存在在日志记记录时间间与服务务器时间间不统一一的问题题，所以以应尽量量采用IIIS日日志格式式。检测方法法1、判定定条件启用日志志记录，并并采用IIIS日日志格式式。2、检测测操作开始-管理工工具-Intternnet 信息服服务(IIIS)管理器器 选择择相应的的站点，然然后右键键点击“属性”检查是是否“启用日日志记录录”并采用用“Miccrossotff IIIS日志志文件格格式”。编号：安安全要求求-设备备-IIIS-配配置-22要求内容容更改IIIS WWeb日日志默认认存放路路径操作指南南1、参考考配置操操作将IISS的网页页访问

23、日日志独立立存放在在一个独独立的分分区中，并并且系统统管理员员要定期期对该目目录进行行查看和和维护，确确保日志志内容不不会溢出出，并可可以及早早的发现现网络异异常行为为。检测方法法1、判定定条件IIS的的网页访访问日志志独立存存放在一一个独立立的分区区中2、检测测操作进入“开开始-管理工工具-资源管管理器”，查看看日志文文件存放放路径。编号：安安全要求求-设备备-通用用-配置置-244-可选选要求内容容设备应配配置日志志功能，记记录与设设备相关关的安全全事件。操作指南南1、参考考配置操操作（1）进进入“控制面面板-管理工工具-本地安安全策略略”，在“本地策策略-审核策策略”中配置相相应 “审核

24、对对象访问问”、“审核目目录服务务器访问问”、“审核系系统事件件”、“审核帐帐号管理理”、“审核过过程追踪踪”选项。（2）运运行IIIS管理理器-“Intternnet信信息服务务”-“应用相相关站点点”属性-“网站”-“属性”-“高级”，选择择“时间”、“日期”、“扩展属属性”是否选选择检测方法法1、判定定条件确定系统统相关“审核策策略”。确定IIIS相关关“站点属属性”日志详详细记录录。2、检测测操作进入“控控制面板板-管管理工具具-本本地安全全策略”，查看看“本地策策略-审核策策略”配置“成功”、“失败”的选择择记录。编号：安安全要求求-设备备-通用用-配置置-288要求内容容设备应配配

25、置权限限，控制制对日志志文件读读取、修修改和删删除等操操作。操作指南南1、参考考配置操操作进入“控控制面板板-管管理工具具-本本地安全全策略”，在“本地策策略-审核策策略”中配置相相应“审核策策略更改改”配置相相应选项项。检测方法法1、判定定条件确定系统统相关“审核策策略”2、检测测操作进入“控控制面板板-管管理工具具-本本地安全全策略”，在“本地策策略-审核策策略”中配置相相应“审核策策略更改改”选项选选择状态态。4.6. IP协议议安全配配置操作作编号：安安全要求求-设备备-IIIS-配配置-33-可选选要求内容容在条件允允许的条条件下，对对IISS访问源源进行IIP范围围限制。只只有在允

26、允许的IIP范围围内的主主机才可可以访问问WWWW服务。操作指南南1、 参考配置置操作开始-管理工工具-Intternnet 信息服服务(IIIS)管理器器 选择择相应的的站点，然然后右键键点击“属性”检测方法法1、判定定条件非对外提提供服务务网站，需要对授权访问ip范围进行限制，只允许公司内部维护私网地址段访问，拒绝其他地址访问。需要对用用户提供供服务网网站，该该项不必必配置。2、检测测操作非对外提提供服务务网站，开始-管理工具-Internet 信息服务(IIS)管理器 选择相应的站点，然后右键点击“属性”。检查是否只允许内部维护私网IP地址段访问。编号：安安全要求求-设备备-IIIS-配

27、配置-44-可选选要求内容容IP转发发的安全全性操作指南南1、参考考配置操操作IIS服服务可提提供IPP数据包包转发功功能，此此时，充充当路由由器角色色的IIIS服务务器将会会把从IInteerneet接口口收到的的IP数数据包转转发到内内部网中中，以此此提升IIIS服服务安全全性。IIS服服务器启启动“网网络属性性”- “协协议”选选项卡-在“TCPP/IPP属性”中去除 “路路由选择择”选项项。检测方法法1、判定定条件判断IIIS所属属服务器器“路由选选择”选项状状态。2、检测测操作IIS服服务器启启动“网网络属性性”- “协协议”选选项卡-在“TCPP/IPP属性”查看 “路路由选择择”

28、选项项。编号：安安全要求求-设备备-IIIS-配配置-55-可选选要求内容容IIS服服务SSSL身份份访问认认证操作指南南1、参考考配置操操作IIS的的身份认认证除了了匿名访访问、基基本验证证和Wiindoows NT请请求/响响应方式式外，还还有一种种安全性性更高的的认证：通过SSSL（SSecuuritty SSockket Layyer）安安全机制制使用数数字证书书，以此此提升IIIS应应用的身身份访问问安全性性。启动“IInteerneet信息息服务”-“Webb站点的的属性页页” -“目录录安全性性”选项项-单击击“密钥钥管理器器”通过过密钥管管理器生生成密钥钥对文件件和请求求文件；

29、从身份份认证权权限中申申请一个个证书；通过过密钥管管理器在在服务器器上安装装证书激激活Weeb站点点的SSSL安全全性。检测方法法1、判定定条件登录“IInteerneet信息息服务”-“Webb站点的的属性页页” -“目录录安全性性”-“编辑”查看SSSL相相应选项项选择状状态。2、检测测操作（1）登登录“Intternnet信信息服务务”-“Webb站点的的属性页页” -“目录录安全性性”-“编辑”查看SSSL相相应选项项选择状状态。（2）配配置相应应SSLL身份认认证后，分分别以普普通身份份及基于于SSLL证书方方式分别别登录WWeb应应用，查查看登录录状态。4.7. 设备其他他安全功功

30、能要求求编号：安安全要求求-设备备-通用用-配置置-200-可选选要求内容容对于具备备图形界界面（含含WEBB界面）的的设备，应应配置定定时自动动屏幕锁锁定（参参考Wiindoows相相关配置置：设置置带密码码的屏幕幕保护，并并将时间间设定为为5分钟钟。）操作指南南1、参考考配置操操作进入“控控制面板板显显示屏幕保保护程序序”：启用屏幕幕保护程程序，设设置等待待时间为为“5分钟钟”，启用用“在恢复复时使用用密码保保护”检测方法法1、判定定条件启用屏幕幕保护程程序，设设置等待待时间为为“5分钟钟”，启用用“在恢复复时使用用密码保保护”。2、检测测操作进入“控控制面板板显显示屏幕保保护程序序”：查

31、看看是否启启用屏幕幕保护程程序，设设置等待待时间为为“5分钟钟”，启用用“在恢复复时使用用密码保保护”。4.4.1. 文件系统统及访问问权限编号：安安全要求求-设备备-IIIS-配配置-66-可选选要求内容容更改IIIS默认认安装路路径。操作指南南1、 参考配置置操作开始-管理工工具-Intternnet 信息服服务(IIIS)管理器器 选择择相应的的站点，然然后右键键点击“属性”。IIS安安装后的的默认主主目录是是“%syysteem%IInettpubbwwwwrooot”，为更更好地抵抵抗踩点点、刺探探等攻击击行为，应应该更改改主目录录位置，如如下图所所示：检测方法法1、判定定条件更改I

32、IIS默认认安装路路径。2、检测测操作开始-管理工工具-Intternnet 信息服服务(IIIS)管理器器 选择择相应的的站点，然然后右键键点击“属性”。查看看是否更更改IIIS默认认安装路路径。编号：安安全要求求-设备备-IIIS-配配置-77要求内容容文件安全全配置要要求：删删除可能能带来风风险的实实例文件件。操作指南南1、参考考配置操操作（仅仅针对IIIS55.0,IISS6.00已经默默认删除除）进入相应应目录，删删除实例例文件IISc:ineetpuubiiisssampplessAdmiin SScriiptss c:innetppubscrripttsAdmiin SSampp

33、less %syysteemrooot%syysteem322innetssrvadmminssampplessIISAADMPPWD%syysteemrooot%syysteem322innetssrviissadmmpwddIISAADMIIN %syysteemrooot%syysteem322innetssrviissadmminDataa acccesss c:Proograam FFileesCCommmon FillesSysstemmmssadccSaampllesMSADDCc:proograam ffileesccommmon fillessysstemmmssadcc检测

34、方法法1、判定定条件删除可能能带来风风险的实实例文件件。2、检测测操作进入c:innetppub；c:Proograam FFileesCCommmon FillesSysstemmmssadccSaamplles 查看是是否删除除可能带带来风险险的实例例文件。编号：安安全要求求-设备备-IIIS-配配置-88-可选选要求内容容文件安全全配置要要求：删删除不必必要的脚脚本影射射。操作指南南1、参考考配置操操作开始-管理工工具-Intternnet 信息服服务(IIIS)管理器器 选择择相应的的站点，然然后右键键点击“属性”-编编辑 -根目目录 -配置置，然后后从列表表中删除除以下不不必要的的脚

35、本，包包括：.htrr、iddc、.stmm、.sshtmm、.sshtmml、.priinteer、.htww、.iida 和.iidq。删除的原原则：只只保留需需要的脚脚本映射射。配置方法法：从“Innterrnett 服务务管理器器”中：选选择计算算机名，点点鼠标右右键，选选择属性性：然后选择择编辑：然后选择择主目录录，点击击配置：选择需要要删除的的扩展名名，点击击删除：（以下下图示仅仅供参考考，依据据实际需需求操作作）检测方法法1、判定定条件删除不必必要的脚脚本影射射。2、检测测操作开始-管理工工具-Intternnet 信息服服务(IIIS)管理器器 选择择相应的的站点，然然后右键键

36、点击“属性”-编编辑 -根目目录 -配置置：查看是否否删除不不必要的的脚本影影射。编号：安安全要求求-设备备-IIIS-配配置-99-可选选要求内容容按账号分分配日志志文件读读取、修修改和删删除权限限，从而而防止日日志文件件被篡改改或非法法删除。操作指南南1、参考考配置操操作通过“资资源管理理器”，修改改文件权权限，除除管理员员组用户户外，其其他用户户不得修修改、删删除日志志文件。检测方法法1、判定定条件非管理员员组的用用户不得得修改、删删除日志志文件。2、检测测操作资源管理理器-日志文文件-“属性”。4.4.2. 补丁管理理编号：安安全要求求-设备备-IIIS-配配置-110要求内容容如需启

37、用用IISS服务，则则将IIIS升级级到最新新补丁。操作指南南1、参考考配置操操作下载IIIS补丁丁包IISS4.00htttp:/wwww.miccrossoftt.coom/DDownnloaads/Relleasse.aasp?RelleasseIDD=2336677IISS5.00htttp:/m/Doownlooadss/Reeleaase.aspp?ReeleaaseIID=2236665并安装，或或升级到到IISS6.00检测方法法1、判定定条件已安装IIIS最最新 补补丁包。2、检测测操作控制面板板-添添加或删删除程序序-显显示更新新打钩，查查看是否否安装IIIS补补丁包。4.

38、4.3. IIS服服务组件件编号：安安全要求求-设备备-IIIS-配配置-111要求内容容IIS 是架设设 WEEB、FFTP、SSMTPP 服务务器的一一套整合合软件，如如果不是是必须，不不得安装装FTPP、SMMTP服服务。操作指南南1、参考考配置操操作可以通过过“控制面面板” - “添加/删除程程序” -“添加删删除IIIS组件件” -“intternnet信信息服务务（IIIS）”中删除除FTPP、SMMTP服服务组件件。检测方法法1、判定定条件查看FTTP、SSMTPP服务没没有被安安装。2、检测测操作可以通过过“控制面面板” - “添加/删除程程序” -“添加删删除IIIS组件件”

39、 -“intternnet信信息服务务（IIIS）”中检查查是否删删除FTTP、SSMTPP服务组组件。编号：安安全要求求-设备备-IIIS-配配置12可选要求内容容对于IIIS6.0 对对于“webb服务扩扩展”，默认认只启用用了“aspp.neet”功能。如如果业务务系统不不需要AASP支支持，必必须按照照下图的的方法将将相应的的服务扩扩展禁止止。操作指南南1、参考考配置操操作检测方法法1、判定定条件如果网站站页面均均为静态态界面，则则不需要要ASPP支持，禁禁用“aspp.neet”功能。如如果网站站页面有有动态内内容，则则该项不不用配置置。2、检测测操作如果网站站页面为为静态界界面，则则开始-管理理工具-Innterrnett 信息息服务(IISS)管理理器 选选择相应应的站点点，然后后右键点点击“webb服务扩扩展”。检查查是否禁禁用“aspp.neet”功能。5 编制历史史版本号更新时间间主要内容容或重大大修改1.0.020088-111-100基本配置置规范编编写1.0.120099-111-255修订通用用配置11、通用配配置2、IISS配置33可选、IISS配置111、IISS配置112可选选