IIS服务器安全配置基线.doc

【IIS服务器安全配置基线】是中国移动通信管理信息系统部为确保IIS服务器安全而制定的一套标准。该文档旨在规范系统管理员对IIS服务器的安全配置，以防止潜在的安全威胁，适用于服务器系统管理员、应用管理员和网络安全管理员。文档涵盖了多个版本的IIS，包括6.0、7.0和2003等。 在【帐号管理】部分，有以下两个重要的安全基线项目： 1. **防止帐号共享**：为了确保责任明确和提高安全性，文档要求每个用户应拥有独立的账号，禁止不同用户间共享账号，也包括IIS操作用户和应用访问用户的区分。管理员需在“控制面板”的“本地用户和组”中设置不同权限的账户，并在IIS管理器中配置身份验证方式，如匿名访问、集成Windows身份验证等。 2. **删除或锁定无关帐号**：任何与设备运行、维护无关的账号应被删除或锁定，以减少潜在的安全风险。管理员应在“电脑管理”中检查并处理这些无关账号。 在【口令】部分，强调了口令的复杂性和生存期： 1. **密码复杂度**：要求口令至少8位，且必须包含数字、小写字母、大写字母和特殊符号四种类型中的至少两种，以增加破解的难度。此外，不允许连续5次设置相同的口令。这可以通过调整Windows系统的密码策略来实现。 2. **密码生存期**：规定维护人员的账户口令生存期不得超过90天，以强制定期更换密码，增强账户安全性。同样，这是通过Windows的帐户策略来设置的。 这些安全基线是确保IIS服务器安全的基本措施，对于任何使用IIS服务的企业或组织来说，都应严格遵循，以保护网络资源免受恶意攻击。同时，对于可能出现的特殊情况，文档还提供了例外条款的申请流程，需书面申请并由相关部门审批。