2024年4月11日发(作者:)

信息安全测评实施作业指导书

测评层面:IIS 后台系统

测评项 操作步骤 预期结果

1、判定条件

结合要求和实际业务情

况判断符合要求,根据

1、为不同维护人员创建账号:进入“控制面板->管理工

应按照用户分配账

号。避免用户账号和

设备间通信使用的账

号共

1 享(对于 IIS 用户定

IIS 自身操作用户,

二、IIS 发布应用访

问用户)

系统的要求,设定不同

具->计算机管理” ,在“系统工具->本地用户和组” :的账户和账户组。

根据系统的要求, 设定不同的账户和账户组.对应设置 2、检测操作

IIS系统管理员的权限。

2、为创建账号设置权限:进入 IIS管理器->相应网站“属

性”->“目录安全性”->“匿名访问和身份验证控制”的

验证” 。 “基本身份验证”包含: “集成 windows 身

“基本身份验证” 、 “.NET Passport 身份验证” ;可

依据维护人员进行不同权限访问控制配置。

进入“控制面板->管理

工具->计算机管理” ,

在“系统工具->本地用

统的要求,设定不同的

进入 IIS 管理器->相应

网站“属性”->“目录

安全性”->“匿名访问

和身份验证控制”查看

相应配置。

应删除或锁定与设备

2 运行、维护等工作无

关的账号。

1、参考配置操作

进入“控制面板->管理工具->计算机管理” ,在“系统

工具->本地用户和组” :删除或锁定与设备运行、维护

等与工作无关的账号。

1、判定条件

结合要求和实际业务情

况判断符合要求,删除

或锁定与设备运行、维

没有使用的还有:backup OPERATOrs等13个组,不知道是

做什么的,没有在使用,也没有禁用。用户只有administrator

和qdlyj,其他的已经删除。无其他账号。

测评结果

1、 用户有:administrator和qdlyj

组有:administrator和qdlyj都在administrator组中。其

他的组还有:users、IIS_IUSER在使用的组,没有使用

的还有:backup OPERATOrs等13个组,不知道是做什

么的。,没有在使用,也没有禁用。

2、选的是匿名身份验证。其他的都已经禁用。

义分为两个层次:一、“编辑” :其中分为“匿名访问身份”及“基本(Basic)户和组” :查看根据系

份验证” 、 “Windows 域服务器的摘要身份验证” 、 账户和账户组。

IIS安装后生成帐号: IUSR_主机名、IWAM_主机名、

ASPNET 三用户,依据应用情况建议只保留系统维护帐

号。

信息服务的内置帐户。如果删除影响页面浏览,建议保

留。

_主机名: 启动 IIS 进程帐户, 用于启动进程

护等与工作无关的账

号。

2、检测操作

工具->计算机管理” ,

在“系统工具->本地用

户和组” :查看是否删

_主机名:Internet 来宾帐户, 匿名访问 Internet 进入“控制面板->管理

外应用程序的 Internet 信息服务的内置帐户。建议保留。 除或锁定与设备运行、

: 计算机帐户, 用于运行 维护等与工作无关的账

辅助进程(aspnet_)的帐户。IIS系统安

装后会默认支持 ASP,如网站无动态内容, 可禁用该帐

户, 如网站有动态内容需保留此账户。

号。如网站无动态内容,

系统只保留管理员、

IUSR_主机名、IWAM_

主机名、维护人员账号,

无其他账号,如网站有

动态内容系统保留管理

员、IUSR_主机名、

IWAM_主机名、

ASPNET、

维护人员账号,无其他

账号。

禁用超级用户启用

IIS

在控制面板->管理工具->服务,选择“www 服务”属

性,在设置启

动属性中指定使用一个普通账号启动本服务。

查看,控制面板->管理

工具->服务,选择“www

服务”属性,查看服务

启动的账号。

本地系统的账户都可以启动,设置的是自动启动。

3