一種iis安全基線(xiàn)配置的方式的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及IISWeb中間件搭建網(wǎng)絡(luò)環(huán)境技術(shù)領(lǐng)域,具體涉及一種IIS安全基線(xiàn)配置的方式,一種解決目標(biāo)Windows環(huán)境上,使用IISWeb中間件搭建網(wǎng)絡(luò)環(huán)境所產(chǎn)生的相關(guān)安全配置問(wèn)題。通過(guò)此文檔描述方案,可以提高IIS作為Web中間件的安全性。
【背景技術(shù)】
[0002]Microsoft Windows,是美國(guó)微軟公司研發(fā)的一套操作系統(tǒng),它問(wèn)世于1985年,起初僅僅是Microsoft-DOS模擬環(huán)境,后續(xù)的系統(tǒng)版本由于微軟不斷的更新升級(jí),不但易用,也慢慢的成為家家戶(hù)戶(hù)人們最喜愛(ài)的操作系統(tǒng)。
[0003]Windows采用了圖形化模式⑶I,比起從前的DOS需要鍵入指令使用的方式更為人性化。隨著電腦硬件和軟件的不斷升級(jí),微軟的Windows也在不斷升級(jí),從架構(gòu)的16位、32位再到64位,甚至128位,系統(tǒng)版本從最初的Windows 1.0到大家熟知的Windows95、Windows 98、Windows ME、Windows 2000、Windows 2003、Windows XP、Windows Vista、Windows 7、Windows 8、Windows 8.U Windows 10 (預(yù)覽版)和 Windows Server 服務(wù)器企業(yè)級(jí)操作系統(tǒng),不斷持續(xù)更新,微軟一直在致力于Windows操作系統(tǒng)的開(kāi)發(fā)和完善。
[0004]1.SCM (Security Compliance Manager)
Security Compliance Manager (安全規(guī)范管理,以下簡(jiǎn)稱(chēng)SCM)是一個(gè)免費(fèi)的工具,從微軟解決方案的團(tuán)隊(duì),使客戶(hù)能夠使用組策略和微軟系統(tǒng)中心配置管理快速配置和管理在客戶(hù)的環(huán)境和客戶(hù)的私有云的計(jì)算機(jī)。
[0005]SCM提供基于微軟安全指南的建議和行業(yè)最佳實(shí)踐的部署策略和DCM配置包,讓你輕松管理Windows操作系統(tǒng)的配置差異和地址、符合要求的Office應(yīng)用程序、和其他微軟應(yīng)用。
[0006]SCM主要特性功能:
基于微軟安全指南的建議和行業(yè)最佳實(shí)踐基線(xiàn):這些基線(xiàn)是設(shè)計(jì)來(lái)幫助你管理配置差異,地址是否符合要求,減少安全威脅。
[0007]集中的安全基線(xiàn)管理功能:這些包括基線(xiàn)組,定制能力,和安全基準(zhǔn)的出口靈活性,以加快客戶(hù)的組織的能力,有效地管理安全性和合規(guī)性的過(guò)程中最廣泛使用的微軟技術(shù)。
[0008]GoldenMaster的支持:導(dǎo)入客戶(hù)現(xiàn)有的組策略來(lái)利用它,或創(chuàng)建一個(gè)引用機(jī)器的快照來(lái)啟動(dòng)客戶(hù)的項(xiàng)目。
[0009]單獨(dú)的機(jī)器配置:使用新的GPO包功能部署配置非主域的計(jì)算機(jī)。
[0010]更新安全指南:利用深厚的安全知識(shí)和最佳的更新的安全指導(dǎo)實(shí)踐,和攻擊面參考練習(xí)冊(cè),以幫助減少客戶(hù)的組織中最重要的安全風(fēng)險(xiǎn)。
[0011]對(duì)行業(yè)最佳實(shí)踐的比較:分析你對(duì)建立的基線(xiàn)配置最新的Windows客戶(hù)端和服務(wù)器操作系統(tǒng)。
[0012]2.Web 中間件中間件是一種獨(dú)立的系統(tǒng)軟件或服務(wù)程序,分布式應(yīng)用軟件借助這種軟件在不同的技術(shù)之間共享資源。中間件位于客戶(hù)機(jī)/服務(wù)器的操作系統(tǒng)之上,管理計(jì)算機(jī)資源和網(wǎng)絡(luò)通訊。
[0013]Web中間件一般指網(wǎng)站服務(wù)器,是指駐留于因特網(wǎng)上某種類(lèi)型計(jì)算機(jī)的程序,可以向?yàn)g覽器等Web客戶(hù)端提供文檔,也可以放置網(wǎng)站文件,讓全世界瀏覽;可以放置數(shù)據(jù)文件,讓全世界下載。目前最主流的三個(gè)Web中間件是Apache Nginx IIS。
[0014]3.安全基線(xiàn)
安全基線(xiàn),是借用“基線(xiàn)”的概念。字典上對(duì)“基線(xiàn)”的解釋是:一種在測(cè)量、計(jì)算或定位中的基本參照。如海岸基線(xiàn),是水位到達(dá)的水位線(xiàn)。類(lèi)比于“木桶理論”,可以認(rèn)為安全基線(xiàn)是安全木桶的最短板,或者說(shuō),是最低的安全要求。
[0015]詳細(xì)介紹計(jì)算機(jī)中的安全基線(xiàn)
安全基線(xiàn)是微軟安全體系中,windows server 2003和ISA server 2004對(duì)如何配置和管理計(jì)算機(jī)的詳細(xì)描述。安全基線(xiàn)在一臺(tái)計(jì)算機(jī)上實(shí)現(xiàn)了受信計(jì)算機(jī)組件。同時(shí),它還描述了實(shí)現(xiàn)安全運(yùn)行的所有相關(guān)配置設(shè)置。
[0016]安全基線(xiàn)的元素包括:
服務(wù)和應(yīng)用程序設(shè)置。例如:只有指定用戶(hù)才有權(quán)啟動(dòng)服務(wù)或運(yùn)行應(yīng)用程序。
[0017]操作系統(tǒng)組件的配置。例如-1nternet信息服務(wù)(IIS)自帶的所有樣本文件必須從計(jì)算機(jī)上刪除。
[0018]權(quán)限和權(quán)利分配。例如:只有管理員才有權(quán)更改操作系統(tǒng)文件。
[0019]管理規(guī)則。例如:計(jì)算機(jī)上的administrator密碼每30天換一次。
[0020]4.SCM 格式
主要是指:經(jīng)由上述SCM(安全規(guī)范管理)導(dǎo)出的微軟基線(xiàn)的文檔格式。是一種XML標(biāo)記文檔。詳細(xì)記錄了該基線(xiàn)中各個(gè)項(xiàng)目的描述信息和功能配置。本文件格式可詳情參見(jiàn)附件的 MyStrategy.xml 0
【發(fā)明內(nèi)容】
[0021]本發(fā)明要解決的技術(shù)問(wèn)題是:為了解決上述問(wèn)題,提供一種IIS安全基線(xiàn)配置的方式,可以解決在Windows上使用IISWeb中間件搭建網(wǎng)絡(luò)環(huán)境所產(chǎn)生的相關(guān)安全配置問(wèn)題。使用這些配置能使得Web服務(wù)器中間件更加安全。
[0022]本發(fā)明所采用的技術(shù)方案為:
一種IIS安全基線(xiàn)配置的方式,所述配置的方式包括以下內(nèi)容:
1)服務(wù)和應(yīng)用程序設(shè)置;
2)IIS組件的配置;
3)權(quán)限和權(quán)利分配;
4)管理規(guī)則設(shè)置。
[0023]所述服務(wù)和應(yīng)用程序設(shè)置包括:
一、只安裝必要的服務(wù)和應(yīng)用組件,無(wú)關(guān)的服務(wù)和應(yīng)用組件不予安裝;
二、指定相關(guān)重要服務(wù)進(jìn)程(如HS的運(yùn)行進(jìn)程和服務(wù))的權(quán)限; 三、一臺(tái)物理機(jī)器避免其他角色的應(yīng)用,盡量減少資源占用,過(guò)多的資源占用可能導(dǎo)致服務(wù)崩潰。
[0024]所述IIS組件的配置包括:
一、從計(jì)算機(jī)上刪除IIS自帶的所有樣本文件和默認(rèn)網(wǎng)站;
二、保持IIS日志記錄開(kāi)關(guān)及相應(yīng)的日志記錄字段信息完全;
三、禁用可能導(dǎo)致信息泄露的設(shè)置,比如:目錄瀏覽權(quán)限,robots.txt文件,.NET調(diào)試,源代碼泄露,備份文件泄露,只允許本地的詳細(xì)錯(cuò)誤信息;
四、調(diào)整相關(guān)服務(wù)器設(shè)置,設(shè)置最大連接數(shù)目,設(shè)置.Net應(yīng)用信任等級(jí),設(shè)置應(yīng)用程序池運(yùn)行參數(shù),ISAPI和CGI擴(kuò)展設(shè)置等,使服務(wù)器運(yùn)行更加穩(wěn)定,高效。
[0025]所述權(quán)限和權(quán)利分配包括:
一、網(wǎng)站文件讀寫(xiě)權(quán)限和執(zhí)行權(quán)限分配給不同的文件/目錄,如果同時(shí)分配給同一個(gè)文件/目錄,會(huì)導(dǎo)致直接的上傳執(zhí)行漏洞;
二、敏感設(shè)置文件和系統(tǒng)服務(wù)操作權(quán)限僅限于管理員。
[0026]所述管理規(guī)則包括:
一、多個(gè)用戶(hù)給予不同權(quán)限,便于相互監(jiān)管;
二、定時(shí)更換系統(tǒng)管理員帳號(hào);
三、限定管理員密碼最小長(zhǎng)度和復(fù)雜度信息。
[0027]所述配置的方式還包括:修改IIS banner信息,禁用不必要謂詞命令執(zhí)行。
[0028]本發(fā)明的有益效果為:
本發(fā)明通過(guò)Iis安全基線(xiàn)及其相關(guān)的加固點(diǎn)整理,總結(jié)整理形成相關(guān)的SCM格式基線(xiàn)文檔,即IIS的安全配置基線(xiàn),通過(guò)此基線(xiàn)配置之后的IIS能夠提高整體IIS作為Web中間件的安全性,使IIS的安全性得到較高的提升,使得IIS服務(wù)器更加安全穩(wěn)定。
【具體實(shí)施方式】
[0029]下面結(jié)合【具體實(shí)施方式】對(duì)本發(fā)明進(jìn)一步說(shuō)明:
實(shí)施例1:
一種IIS安全基線(xiàn)配置的方式,所述配置的方式包括以下內(nèi)容:
1)服務(wù)和應(yīng)用程序設(shè)置;
2)IIS組件的配置;
3)權(quán)限和權(quán)利分配;
4)管理規(guī)則設(shè)置。
[0030]實(shí)施例2:
在實(shí)施例1的基礎(chǔ)上,本實(shí)施例所述服務(wù)和應(yīng)用程序設(shè)置包括:
一、只安裝必要的服務(wù)和應(yīng)用組件,無(wú)關(guān)的服務(wù)和應(yīng)用組件不予安裝;
二、指定相關(guān)重要服務(wù)進(jìn)程(如IIS的運(yùn)行進(jìn)程和服務(wù))的權(quán)限;
三、一臺(tái)物理機(jī)器避免其他角色的應(yīng)用,盡量減少資源占用,過(guò)多的資源占用可能導(dǎo)致服務(wù)崩潰。
[0031]實(shí)施例3:
在實(shí)施例1的基礎(chǔ)上,本實(shí)施例所述Iis組件的配置包括: 一、從計(jì)算機(jī)上刪除IIS自帶的所有樣本文件和默認(rèn)網(wǎng)站;
二、保持IIS日志記錄開(kāi)關(guān)及相應(yīng)的日志記錄字段信息完全;
三、禁用可能導(dǎo)致信息泄露的設(shè)置,比如:目錄瀏覽權(quán)限,robots.txt文件,.NET調(diào)試,源代碼泄露,備份文件泄露,只允許本地的詳細(xì)錯(cuò)誤信息;
四、調(diào)整相關(guān)服務(wù)器設(shè)置,設(shè)置最大連接數(shù)目,設(shè)置.Net應(yīng)用信任等級(jí),設(shè)置應(yīng)用程序池運(yùn)行參數(shù),ISAPI和CGI擴(kuò)展設(shè)置等,使服務(wù)器運(yùn)行更加穩(wěn)定,高效。
[0032]實(shí)施例4:
在實(shí)施例1的基礎(chǔ)上,本實(shí)施例所述權(quán)限和權(quán)利分配包括:
一、網(wǎng)站文件讀寫(xiě)權(quán)限和執(zhí)行權(quán)限分配給不同的文件/目錄,如果同時(shí)分配給同一個(gè)文件/目錄,會(huì)導(dǎo)致直接的上傳執(zhí)行漏洞;
二、敏感設(shè)置文件和系統(tǒng)服務(wù)操作權(quán)限僅限于管理員。
[0033]實(shí)施例5:
在實(shí)施例1的基礎(chǔ)上,本實(shí)施例所述管理規(guī)則包括:
一、多個(gè)用戶(hù)給予不同權(quán)限,便于相互監(jiān)管;
二、定時(shí)更換系統(tǒng)管理員帳號(hào);
三、限定管理員密碼最小長(zhǎng)度和復(fù)雜度信息。
[0034]實(shí)施例6:
在1-5任一實(shí)施例的基礎(chǔ)上,本實(shí)施例所述配置的方式還包括:修改IIS banner信息,禁用不必要謂詞命令執(zhí)行。
[0035]完成這些環(huán)境的配置之后就能使IIS的安全性得到較高的提升,使得IIS服務(wù)器更加安全穩(wěn)定。
[0036]以上實(shí)施方式僅用于說(shuō)明本發(fā)明,而并非對(duì)本發(fā)明的限制,有關(guān)技術(shù)領(lǐng)域的普通技術(shù)人員,在不脫離本發(fā)明的精神和范圍的情況下,還可以做出各種變化和變型,因此所有等同的技術(shù)方案也屬于本發(fā)明的范疇,本發(fā)明的專(zhuān)利保護(hù)范圍應(yīng)由權(quán)利要求限定。
【主權(quán)項(xiàng)】
1.一種IIS安全基線(xiàn)配置的方式,其特征在于:所述配置的方式包括以下內(nèi)容: 1)服務(wù)和應(yīng)用程序設(shè)置; 2)IIS組件的配置; 3)權(quán)限和權(quán)利分配; 4)管理規(guī)則設(shè)置。2.根據(jù)權(quán)利要求1所述的一種IIS安全基線(xiàn)配置的方式,其特征在于: 所述服務(wù)和應(yīng)用程序設(shè)置包括: 一、只安裝必要的服務(wù)和應(yīng)用組件,無(wú)關(guān)的服務(wù)和應(yīng)用組件不予安裝; 二、指定相關(guān)重要服務(wù)進(jìn)程的權(quán)限; 三、一臺(tái)物理機(jī)器避免其他角色的應(yīng)用,減少資源占用。3.根據(jù)權(quán)利要求1所述的一種IIS安全基線(xiàn)配置的方式,其特征在于:所述IIS組件的配置包括: 一、從計(jì)算機(jī)上刪除IIS自帶的所有樣本文件和默認(rèn)網(wǎng)站; 二、保持IIS日志記錄開(kāi)關(guān)及相應(yīng)的日志記錄字段信息完全; 三、禁用可能導(dǎo)致信息泄露的設(shè)置,只允許本地的詳細(xì)錯(cuò)誤信息; 四、調(diào)整相關(guān)服務(wù)器設(shè)置,設(shè)置最大連接數(shù)目,設(shè)置.Net應(yīng)用信任等級(jí),設(shè)置應(yīng)用程序池運(yùn)行參數(shù),ISAPI和CGI擴(kuò)展設(shè)置。4.根據(jù)權(quán)利要求1所述的一種IIS安全基線(xiàn)配置的方式,其特征在于:所述權(quán)限和權(quán)利分配包括: 一、網(wǎng)站文件讀寫(xiě)權(quán)限和執(zhí)行權(quán)限分配給不同的文件/目錄; 二、敏感設(shè)置文件和系統(tǒng)服務(wù)操作權(quán)限僅限于管理員。5.根據(jù)權(quán)利要求1所述的一種IIS安全基線(xiàn)配置的方式,其特征在于:所述管理規(guī)則包括: 一、多個(gè)用戶(hù)給予不同權(quán)限,便于相互監(jiān)管; 二、定時(shí)更換系統(tǒng)管理員帳號(hào); 三、限定管理員密碼最小長(zhǎng)度和復(fù)雜度信息。6.根據(jù)權(quán)利要求1-5任一所述的一種IIS安全基線(xiàn)配置的方式,其特征在于:所述配置的方式還包括:修改IIS banner信息,禁用不必要謂詞命令執(zhí)行。
【專(zhuān)利摘要】本發(fā)明公開(kāi)了一種IIS安全基線(xiàn)配置的方式,所述配置的方式包括以下內(nèi)容:服務(wù)和應(yīng)用程序設(shè)置;IIS組件的配置;權(quán)限和權(quán)利分配;管理規(guī)則設(shè)置。本發(fā)明通過(guò)IIS安全基線(xiàn)及其相關(guān)的加固點(diǎn)整理,總結(jié)整理形成相關(guān)的SCM格式基線(xiàn)文檔,即IIS的安全配置基線(xiàn),通過(guò)此基線(xiàn)配置之后的IIS能夠提高整體IIS作為Web中間件的安全性,使IIS的安全性得到較高的提升,使得IIS服務(wù)器更加安全穩(wěn)定。
【IPC分類(lèi)】G06F9/44
【公開(kāi)號(hào)】CN105302571
【申請(qǐng)?zhí)枴緾N201510805021
【發(fā)明人】施克伍
【申請(qǐng)人】浪潮電子信息產(chǎn)業(yè)股份有限公司
【公開(kāi)日】2016年2月3日
【申請(qǐng)日】2015年11月20日