【正文】 屏蔽或者允許指定地址范圍的用戶訪問。. Web 服務(wù)訪問控制Web 服務(wù)系統(tǒng)提供配置文件對訪問用戶進(jìn)行限制。而對 Document Root 以及其下的目錄，亦應(yīng)限制除 Web 服務(wù) ID 使用者外，其余用戶均不具列出目錄內(nèi)所有檔案之權(quán)限。目的是防止 Web 服務(wù)程序?qū)ο到y(tǒng)機(jī)密信息的讀寫操作，從而造成對信息的泄漏或者破壞。嚴(yán)格禁止普通用戶對 Web 系統(tǒng)資源的訪問。這些 Web 系統(tǒng)資源應(yīng)該屬于 Web 管理員擁有。8 / 40 服務(wù)安全設(shè)置. Web 系統(tǒng)資源保護(hù)Web 系統(tǒng)資源是指 Web 服務(wù)的所在目錄和文件。如果需要使用網(wǎng)絡(luò)服務(wù)，如 FTP 協(xié)助 Web 服務(wù)內(nèi)容管理，必須嚴(yán)格按照 FTP 服務(wù)器加固規(guī)范進(jìn)行安全設(shè)置，并且嚴(yán)格限制用戶權(quán)限。事件日志應(yīng)保存在安全保護(hù)的目錄或者其它的安全主機(jī)系統(tǒng)中。禁止普通用戶通過網(wǎng)絡(luò)登陸到主機(jī)系統(tǒng)。此外，必須針對 Web 應(yīng)用服務(wù)的特點進(jìn)行安全設(shè)置。首先，作為接受廣泛用戶網(wǎng)絡(luò)訪問的 Web 應(yīng)用服務(wù)器，必須設(shè)置成為安全的堡壘主機(jī)，按照主機(jī)平臺加固規(guī)范對 Web 服務(wù)器平臺的操作系統(tǒng)進(jìn)行安全設(shè)置，關(guān)閉所有非必要的網(wǎng)絡(luò)服務(wù)、應(yīng)用程序和系統(tǒng)組件等；其次，對于 HTTP Web 服務(wù)進(jìn)行安全設(shè)置，包括服務(wù)資源權(quán)限設(shè)置、用戶帳號設(shè)置、遠(yuǎn)程管理安全設(shè)置、日志設(shè)置等。并且對典型的 HTTP Web 服務(wù)應(yīng)用提出了具體的安全配置建議，如 Microsoft IIS Web 服務(wù)、Apache Web 服務(wù)。為了提高中國移動企業(yè) Web 服務(wù)的安全性，降低由于 Web 服務(wù)配置不規(guī)范而造成的安全風(fēng)險，特針對中國移動企業(yè)的重要典型 Web 服務(wù)提出了規(guī)范的配置安全加固建議。1 / 40密 級：文檔編號：項目代號：中國移動 WEB 服務(wù)器安全配置手冊Version 中國移動通信有限公司二零零四年十二月2 / 40擬 制:審 核:批 準(zhǔn):會 簽:標(biāo)準(zhǔn)化:3 / 40版本控制版本號 日期 參與人員 更新說明分發(fā)控制編號 讀者 文檔權(quán)限 與文檔的主要關(guān)系1 創(chuàng)建、修改、讀取 負(fù)責(zé)編制、修改、審核2 批準(zhǔn) 負(fù)責(zé)本文檔的批準(zhǔn)程序3 標(biāo)準(zhǔn)化審核 作為本項目的標(biāo)準(zhǔn)化負(fù)責(zé)人，負(fù)責(zé)對本文檔進(jìn)行標(biāo)準(zhǔn)化審核4 讀取5 讀取4 / 40目 錄第 1 章. 目的 ...................................................................6第 2 章. 范圍 ...................................................................6第 3 章. WEB 服務(wù)安全加固原則 ...................................................7. WEB主機(jī)平臺安全設(shè)置 ......................................................7. 主機(jī)安全標(biāo)準(zhǔn)加固規(guī)范 ............................................7. 用戶權(quán)限設(shè)置 ....................................................7. 事件日志設(shè)置 ....................................................7. 關(guān)閉非必要的服務(wù)和程序 ..........................................7. WEB服務(wù)安全設(shè)置 ..........................................................8. Web 系統(tǒng)資源保護(hù) ................................................8. Web 服務(wù)權(quán)限設(shè)置 ................................................8. Web 服務(wù)訪問控制 ................................................8. 機(jī)密信息保護(hù) ....................................................8. 日志設(shè)置 ........................................................9. 去除不必要的服務(wù)腳本 ............................................9第 4 章. IIS WEB 服務(wù)安全配置建議 ..............................................10. 審核策略設(shè)置 ............................................................10. 用戶權(quán)限分配 ............................................................10. 拒絕通過網(wǎng)絡(luò)訪問該計算機(jī) .......................................10. 安全選項 ................................................................11. 事件日志設(shè)置 ............................................................11. 系統(tǒng)服務(wù) ................................................................11. HTTP SSL.......................................................12. IIS Admin 服務(wù) .................................................12. 萬維網(wǎng)發(fā)布服務(wù) .................................................13. 其它安全設(shè)置 ............................................................13. 僅安裝必要的 IIS 組件 ..........................................14. 僅啟用必要的 Web 服務(wù)擴(kuò)展 ......................................14. 在專用磁盤卷中放置內(nèi)容 .........................................15. 設(shè)置 NTFS 權(quán)限 .................................................15. 設(shè)置 IIS Web 站點權(quán)限 ..........................................16. 配置 IIS 日志 ..................................................17. 向用戶權(quán)限分配手動添加唯一的安全組 .............................19. 保護(hù)眾所周知帳戶的安全 .........................................19. 保護(hù)服務(wù)帳戶的安全 .............................................20. 用 IPSec 過濾器阻斷端口 ........................................20. 參考材料 ................................................................22第 5 章. APACHE WEB 服務(wù)安全配置建議 ...........................................24. 審核策略設(shè)置 ............................................................245 / 40. 用戶權(quán)限分配 ............................................................24. 拒絕通過網(wǎng)絡(luò)訪問該計算機(jī) .......................................24. 安全選項 ................................................................26. 絕對不要以 root 身份執(zhí)行守護(hù)程序 ...............................26. 次序的規(guī)則 .....................................................26. 符號連結(jié) .......................................................27. Apache 下的索引 ................................................27. 事件日志設(shè)置 ............................................................28. 系統(tǒng)服務(wù) ................................................................28. HTTP SSL.......................................................28. 其它安全設(shè)置 ............................................................31. 升級到最新的版本 ...............................................31. 建立 Chroot 環(huán)境 ...............................................32. 參考材料 ................................................................396 / 40第 1 章. 目的本文的目標(biāo)是為中移動企業(yè)范圍內(nèi)的 Web 服務(wù)應(yīng)用提供安全配置的規(guī)范建議。Web 應(yīng)用服務(wù)是互聯(lián)網(wǎng) WWW 應(yīng)用的重要基礎(chǔ)，在中國移動企業(yè)范圍內(nèi)安裝和使用了大量的各種 Web 服務(wù)應(yīng)用。第 2 章. 范圍本文針對通用的 HTTP Web 服務(wù)器的主機(jī)平臺安全配置、HTTP 服務(wù)安全配置提出了規(guī)范加固的要求。Web 服務(wù)器的加固方法包括了兩個層面的工作，這就是平臺安全配置和HTTP Web 服務(wù)安全配置。7 / 40第 3 章. Web 服務(wù)安全加固原則 主機(jī)平臺安全設(shè)置. 主機(jī)安全標(biāo)準(zhǔn)加固規(guī)范必須對 Web 服務(wù)器主機(jī)平臺進(jìn)行規(guī)范的安全加固，參照《中國移動操作系統(tǒng)安全配置手冊》建立安全可靠的 Web 應(yīng)用服務(wù)的主機(jī)運(yùn)行環(huán)境。. 用戶權(quán)限設(shè)置清晰的區(qū)分并定義主機(jī)管理員、Web 應(yīng)用服務(wù)管理員以及 Web 應(yīng)用開發(fā)人員的帳號，并明確的定義其訪問 Web 應(yīng)用服務(wù)器的方式。. 事件日志設(shè)置主機(jī)系統(tǒng)日志應(yīng)記錄 Web 應(yīng)用服務(wù)的啟動、關(guān)閉等操作，以及主機(jī)管理員、Web 應(yīng)用服務(wù)管理員、和應(yīng)用開發(fā)人員的行為等。. 關(guān)閉非必要的服務(wù)和程序主機(jī)系統(tǒng)應(yīng)關(guān)閉所有非必要的服務(wù)，例如 SMTP、 FTP、DNS 等。刪除所有非必要的系統(tǒng)組件、應(yīng)用程序，如 C 編譯程序等。 Web 系統(tǒng)資源應(yīng)該安裝在獨立的目錄或者文件系統(tǒng)中。根據(jù)需要，嚴(yán)格控制其它用戶對這些資源的訪問。. Web 服務(wù)權(quán)限設(shè)置此項是限制 Web 服務(wù)程序?qū)τ谙到y(tǒng)資源的訪問權(quán)限。對于 Web 服務(wù) ID 方式的系統(tǒng)，應(yīng)嚴(yán)格限制 Web 服務(wù) ID 其擁有系統(tǒng)管理員的權(quán)限，禁止其擁有非必要的系統(tǒng)特權(quán)；限制其所能訪問的目錄，根據(jù)需要，控制其資源的讀權(quán)限；禁止對 Document Root 以及其它系統(tǒng)目錄的寫權(quán)限。對于 Web 服務(wù)程序方式的系統(tǒng)，嚴(yán)格控制 Web 服務(wù)程序?qū)ο到y(tǒng)目錄和文件的執(zhí)行、讀寫權(quán)限。Web 服務(wù)的缺省配置一般不做任何的用戶訪問限制，允許來自所有地址范圍的訪問。. 機(jī)密信息保護(hù)Web 系統(tǒng)必須具備 SSL 的安全加密機(jī)制。. 日志設(shè)置Web 系統(tǒng)必須定義 Web 活動日志，記錄 Web Server 的活動。日志必須保存指定時間，以備系統(tǒng)審計和安全分析之用。去除 Web 系統(tǒng)中與業(yè)務(wù)應(yīng)用無關(guān)的各種服務(wù)腳本。另外，對于正式上線的 Web 服務(wù)器，亦應(yīng)移除所有相關(guān)的支持檔案與范例檔案，以避免惡意人員利用范例檔案入侵。有關(guān) MSBP 的詳細(xì)信息，請參閱 Windows 2022/2022 安全配置手冊中建立服務(wù)器安全基準(zhǔn)部分。本手冊中定義的三種環(huán)境中的 IIS 服務(wù)器的大多數(shù)用戶權(quán)限分配都是通過 MSBP 配置的。. 拒絕通過網(wǎng)絡(luò)訪問該計算機(jī)表 1：設(shè)置成員服務(wù)器默認(rèn)值 舊客戶端 企業(yè)客戶端 高安全性SUPPORT_388945a0 匿名登錄；內(nèi)置管理員帳戶；Support_388945a0；Guest；所有非操作系統(tǒng)服務(wù)帳戶匿名登錄；內(nèi)置管理員帳戶；Suppor