1.身份鉴别
不适用
2.访问控制
a)应对登录的用户分配账户和权限;
1)开始->管理工具->Internet信息服务(IIS) 管理器选择相应的站点,然后右键点击“属性”,点击“编辑”,查看是否限制IP地址的访问。
Win03
Win08编辑绑定
2)开始->管理工具->Internet信息服务(IIS)管理器选择“网站”,然后右键点击“属性”,查看“写入”、“目录浏览”选项是否打钩。
1)限制IP地址的访问
2)”写入”、“目录浏览”选项未打钩。
不适用:面向互联网的系统不作要求。
3.安全审计
a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
1)开始->管理工具->Internet信息服务(IIS) 管理器选择相应的站点, 然后右键点击“属性”,点击”网站”,查看是否启用日志记录。
Win08
Win03
b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
2)开始->管理工具->Internet信息服务(IIS) 管理器选择相应的站点,然后右键点击“属性”->“网站”->“属性”->“扩展属性”,查看是否包括“扩展属性”、“日期”、“时间”。
Win03
Win08
3)在“日志记录属性”或日志图标处,可查看“日志文件目录”,找到存放IIS日志目录,到相应目录下查看IIS日志信息,是否包含审计记录要求的相关信息。
c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;
1)询问日志是否进行异地备份或使用日志保护产品。
2)询问日志是否进行本地备份。
d)应对审计进程进行保护,防止未经授权的中断。
默认符合
4.可信验证
不适用
5.数据完整性
不适用
6.数据保密性
不适用
7.数据备份恢复
a)应提供重要数据的本地数据备份与恢复功能;
访谈管理员中间件重要配置文件是否备份。