IIS安全配置参考

0x01 账号管理

一、 应按照用户分配账号。避免不同用户间共享账号

    避免用户账号和设备间通信使用的账号共享（对于IIS用户定义分为两个层次：一、IIS自身操作用户，二、IIS发布应用访问用户）。
操作： 
       1. 为不同维护人员创建账号：进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组”：根据系统的要求，设定不同的账户和账户组.对应设置IIS系统管理员的权限。
      2. 为创建账号设置权限：进入IIS管理器->相应网站“属性”->“目录安全性”->“身份访问及访问控制”：其中分为“匿名访问身份”及“基本（Basic）验证”。“基本（Basic）验证”包含：“集成windows身份验证”、“Windows域服务器的摘要身份验证”、“基本身份验证”、“.NET Passport身份验证”；可依据维护人员进行不同权限访问控制配置。
检测：
1.进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组”：查看根据系统的要求，设定不同的账户和账户组。
2.进入IIS管理器->相应网站“属性”->“目录安全性”->“身份访问及访问控制”查看相应配置。
3 结合要求和实际业务情况判断符合要求，根据系统的要求，设定不同的账户和账户组。

二、应删除或锁定与设备运行、维护等工作无关的账号

操作：
1. 进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组”：删除或锁定与设备运行、维护等与工作无关的账号。IIS安装后生成账号: IUSR_主机名、IWAM_主机名、ASPNET三用户，依据应用情况建议只保留系统维护账号。
(1)IUSR_主机名:Internet 来宾帐户, 匿名访问 Internet 信息服务的内置帐户。如果删除影响页面浏览，建议保留。 
(2)IWAM_主机名: 启动 IIS 进程帐户, 用于启动进程外应用程序的 Internet 信息服务的内置帐户。建议保留。
(3)ASPNET: ASP.NET 计算机帐户, 用于运行 ASP.NET 辅助进程(aspnet_wp.exe)的帐户。IIS系统安装后会默认支持ASP，如网站无动态内容，可禁用该帐户，如网站有动态内容需保留此账户。
检测：
1. 进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组”：查看是否删除或锁定与设备运行、维护等与工作无关的账号。如网站无动态内容，系统只保留管理员、IUSR_主机名、IWAM_主机名、维护人员账号，无其他账号，如网站有动态内容系统保留管理员、IUSR_主机名、IWAM_主机名、ASPNET、维护人员账号，无其他账号。
2 结合要求和实际业务情况判断符合要求，删除或锁定与设备运行、维护等与工作无关的账号。

0x02 口令

一、口令复杂度

对于采用静态口令认证技术的设备，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少3类（IIS基于Windows系统，可通过提升Windows自身密码安全等级实现）
操作： 进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”：“密码必须符合复杂性要求”选择“已启动”
检测：进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”：查看是否“密码必须符合复杂性要求”选择“已启动”

二、口令的生存期

对于采用静态口令认证技术的设备，维护人员使用的账户口令的生存期不长于90天（IIS基于Windows系统，可通过提升Windows帐户策略实现）
操作： 进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”：“密码最长存留期”设置为“90天”
判定：“密码最长存留期”设置为“90天”

三、口令重复限制

对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令（IIS基于Windows系统，可通过提升Windows帐户策略实现）
操作： 进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”：“强制密码历史”设置为“记住5个密码”
检测： 进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”：查看是否“强制密码历史”设置为“记住5个密码”
判定： “强制密码历史”设置为“记住5个密码”

0x03 授权

一、最小权限

在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限（对于IIS用户定义分为两个层次：一、IIS自身操作用户，二、IIS发布应用访问用户；设备权限的配置基于上述两方面考虑）
1.原理：
（1）文件夹和文件的访问权限：安放在NTFS文件系统上的文件夹和文件，一方面要对其权限加以控制，对不同的用户组和用户进行不同的权限设置；另外，可利用NTFS的审核功能对某些特定用户组成员 读文件的企图等方面进行审核，有效地通过监视如文件访问、用户对象的使用等发现非法用户进行非法活动的前兆，及时加以预防制止。
（2）目录的访问权限：已经设置成Web目录的文件夹，可以通过操作Web站点属性页面实现对www目录访问权限的控制，而该目录下的所有文件和子 文件夹都将继承这些安全性。www服务除了提供NTFS文件系统提供的权限外，还提供读取权限，允许用户读取或下载WWW目录中的文件；执行权限，允许用户运行www目录下的程序和脚本。
2.操作：
（1）启动“域用户管理器”-> “规则”选单下的“审核”选项->  “审核规则”
（2）启动ISM（Internet服务器管理器）->  启动Web属性页面并选择“目录”选项卡；->  选择www目录；->  选择“编辑属性”中的“目录属性”进行设置：“脚本资源访问”、“读取”、“写入”“目录浏览”、“记录访问”、“索引资源”。  
检测：
1.启动“域用户管理器”-> “规则”选单下的“审核”选项-> “审核规则”，检测 “审核规则”配置状态。
2.启动ISM（Internet服务器管理器）->启动Web属性页面并选择“目录”选项卡；->选择www目录；-> “编辑属性”中的“目录属性”，查看配置状态。
判定条件：1.检测用户权限审核及ISM目录安全属性。

0x04 日志
一、启用日志

操作：打开IIS管理工具，右击要管理的站点，选择“属性”。在“Web Site”选择“启用日志记录”，从下拉菜单中选择“Microsoft IIS日志文件格式”。“W3C”日志格式存在日志记录时间与服务器时间不统一的问题，所以应尽量采用IIS日志格式。

检测：开始->管理工具->Internet 信息服务(IIS)管理器 选择相应的站点，然后右键点击“属性”检查是否“启用日志记录”

采用“Microsoft IIS日志文件格式”。

判定：启用日志记录，并采用IIS日志格式。

二、 更改日志默认路径

1. 将IIS的网页访问日志独立存放在一个独立的分区中，并且系统管理员要定期对该目录进行查看和维护，确保日志内容不会溢出，并可以及早的发现网络异常行为。
检测方法：进入“开始->管理工具->资源管理器”，查看日志文件存放路径。
判定： IIS的网页访问日志独立存放在一个独立的分区中

三、记录与设备相关的安全事件 

操作：
1.进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中配置相应 “审核对象访问”、“审核目录服务器访问”、“审核系统事件”、“审核账号管理”、“审核过程追踪”选项。
2.运行IIS管理器->“Internet信息服务”->“应用相关站点”属性->“网站”->“属性”->“高级”，选择“时间”、“日期”、“扩展属性”是否选择
检测方法：进入“控制面板->管理工具->本地安全策略”，查看“本地策略->审核策略”配置“成功”、“失败”的选择记录。
判定条件：确定系统相关“审核策略”；确定IIS相关“站点属性”日志详细记录。

四、配置权限，控制对日志文件读取、修改和删除

操作：进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中配置相应“审核策略更改”配置相应选项。
检测：进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中配置相应“审核策略更改”选项选择状态。
判定：确定系统相关“审核策略”

0x05 其他事项

1 IP协议：IP转发的安全性

IIS服务可提供IP数据包转发功能，此时，充当路由器角色的IIS服务器将会把从Internet接口收到的IP数据包转发到内部网中，以此提升IIS服务安全性
操作：IIS服务器启动“网络属性”-> “协议”选项卡->在“TCP/IP属性”中去除 “路由选择”选项。
检测：IS服务器启动“网络属性”-> “协议”选项卡->在“TCP/IP属性”查看 “路由选择”选项。
判定：判断IIS所属服务器“路由选择”选项状态。

2 超时操作 

对于具备图形界面（含WEB界面）的设备，应配置定时自动屏幕锁定（参考Windows相关配置：设置带密码的屏幕保护，并将时间设定为5分钟。）

操作：进入“控制面板－>显示－>屏幕保护程序”：启用屏幕保护程序，设置等待时间为“5分钟”，启用“在恢复时使用密码保护”
检测：进入“控制面板－>显示－>屏幕保护程序”：查看是否启用屏幕保护程序，设置等待时间为“5分钟”，启用“在恢复时使用密码保护”。
判定：启用屏幕保护程序，设置等待时间为“5分钟”，启用“在恢复时使用密码保护”。

3 更改默认安装路径:

操作：开始->管理工具->Internet 信息服务(IIS)管理器 选择相应的站点，然后右键点击“属性”。
IIS安装后的默认主目录是“%system%Inetpubwwwroot”，为更好地抵抗踩点、刺探等攻击行为，应该更改主目录位置，更改主目录位置操作
检测：开始->管理工具->Internet 信息服务(IIS)管理器 选择相应的站点，然后右键点击“属性”。查看是否更改IIS默认安装路径。
判定：更改IIS默认安装路径。

4 删除实例

文件安全配置要求：删除可能带来风险的实例文件。
操作：进入相应目录，删除实例文件
IIS   c:\inetpub\iissamples
Admin Scripts     c:\inetpub\scripts
Admin Samples %systemroot%\system32\inetsrv\adminsamples
IISADMPWD %systemroot%\system32\inetsrv\iisadmpwd
IISADMIN       %systemroot%\system32\inetsrv\iisadmin
Data access   c:\Program Files\Common Files\System\msadc\Samples
MSADC c:\program files\common files\system\msadc
检测：进入c:\inetpub；c:\Program Files\Common Files\System\msadc\Samples 查看是否删除可能带来风险的实例文件。
判定：删除可能带来风险的实例文件。

5 删除脚本

删除不必要的脚本影射
操作：开始->管理工具->Internet 信息服务(IIS)管理器 选择相应的站点，然后右键点击“属性” -〉编辑 -〉根目录 -〉配置，然后从列表中删除以下不必要的脚本，包括：.htr、idc、.stm、.shtm、.shtml、.printer、.htw、.ida 和.idq。
删除的原则：只保留需要的脚本映射。
配置方法：
从“Internet 服务管理器”中：选择计算机名，点鼠标右键，选择属性，属性界面如下图2所示：

然后选择编辑，编辑界面图如下图3所示：


然后选择主目录，点击配置，配置图如图4所示：


选择需要删除的扩展名，点击删除，删除操作图如图5所示：（以下图示仅供参考，依据实际需求操作）

检测：开始->管理工具->Internet 信息服务(IIS)管理器 选择相应的站点，然后右键点击“属性” -〉编辑 -〉根目录 -〉配置：
查看是否删除不必要的脚本影射。
判定：删除不必要的脚本影射。

6 账号所属日志

按账号分配日志文件读取、修改和删除权限，从而防止日志文件被篡改或非法删除。
操作： 通过“资源管理器”，修改文件权限，除管理员组用户外，其他用户不得修改、删除日志文件。
检测：资源管理器->日志文件->“属性”。
判定： 非管理员组的用户不得修改、删除日志文件。

7 IIS升级

操作： 下载IIS补丁包
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=23667
IIS7.0
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=23665
并安装，或升级到IIS7.5
检测：控制面板->添加或删除程序->显示更新打钩，查看是否安装IIS补丁包。
判定条件：已安装IIS最新 补丁包。

8 禁止开启其他服务

IIS 是架设 WEB、FTP、SMTP 服务器的一套整合软件，如果不是必要，不得安装FTP、SMTP服务。
操作： 可以通过“控制面板” -> “添加/删除程序” ->“添加删除IIS组件” ->“internet信息服务（IIS）”中删除FTP、SMTP服务组件。
检测：可以通过“控制面板” -> “添加/删除程序” ->“添加删除IIS组件” ->“internet信息服务（IIS）”中检查是否删除FTP、SMTP服务组件。
判定： 查看FTP、SMTP服务没有被安装。

9 禁止web服务扩展

对于IIS6.0 对于“web服务扩展”，默认只启用了“asp.net”功能。如果业务系统不需要ASP支持，应按照下图的方法将相应的服务扩展禁止。
操作： 禁止“asp.net”功能操作图如下图6所示：
检测：如果网站页面为静态界面，则开始->管理工具->Internet 信息服务(IIS)管理器 选择相应的站点，然后右键点击“web服务扩展”。检查是否禁用“asp.net”功能。
判定：如果网站页面均为静态界面，则不需要ASP支持，禁用“asp.net”功能。如果网站页面有动态内容，则该项不用配置。


欢迎大家分享更好的思路，热切期待^^_^^ !