[研究]IIS 10套用GCB設定路徑圖解(5)IIS記錄
2025-11-04
Windows Server 從Windows Server 2016開始,IIS為10.0版,後續 Windows Server 2019, Windows Server 2022, Windows Server 2025 也都是 10.0版,大版本號碼相同,小版本可能不同,畫面幾乎相同。
政府組態基準(Government Configuration Baseline,簡稱GCB)
TWGCB-04-014_Microsoft IIS 10政府組態基準說明文件v1.1_1141002
https://www.nics.nat.gov.tw/core_business/cybersecurity_defense/GCB/GCB_Documentation/
| 類別項次 | 類別 | 項數 | 起訖項次編號 | 合計 |
| 1 | 基本設定 | 7 | No.1 ~ 7 | 53 |
| 2 | 設定驗證與授權 | 5 | No.8 ~ 12 | |
| 3 | ASP.NET設定建議 | 12 | No.13 ~ 24 | |
| 4 | 要求篩選與其他限制模組 | 11 | No.25 ~ 35 | |
| 5 | IIS記錄 | 4 | No.36 ~ 39 | |
| 6 | FTP要求 | 2 | No.40 ~ 41 | |
| 7 | 傳輸加密 | 12 | No.42 ~ 53 |
IIS 10.0 政府組態基準列表
| 項次 | TWGCB-ID | 類別 | 原則設定名稱 | 說明 | 設定位置 | 設定路徑 | GCB設定值 |
| 36 | TWGCB-04-014-0036 | 要求篩選與其他限制模組 | IIS記錄檔位置 | ▪這項原則設定決定IIS記錄檔存放位置 ▪記錄檔中含有IIS運作時之相關回應訊息,當網站服務異常或發生資安事件時,記錄檔可提供系統運作細節資訊供管理者參考。將記錄檔存放在受管制之非系統磁碟區中,將有助於降低發生系統磁碟區故障、惡意變更與刪除及遺失記錄之風險 ▪預設存放位置為:%SystemDrive%\inetpub\logs\LogFiles |
伺服器 | IIS管理員\伺服器\IIS\記錄\動作\開啟功能\記錄檔\目錄 | 記錄檔存放至受管制的非系統磁碟區 |
預設和 GCB 期望不同,必須要改。
********************************************************************************
| 項次 | TWGCB-ID | 類別 | 原則設定名稱 | 說明 | 設定位置 | 設定路徑 | GCB設定值 |
| 37 | TWGCB-04-014-0037 | 要求篩選與其他限制模組 | 記錄檔選取欄位 | ▪這項原則設定IIS紀錄檔之選取欄位 ▪IIS預設已啟用記錄檔功能,並允許管理者依需求自訂記錄項目,例如HTTP要求/回應標頭、伺服器變數及用戶端相關資訊 |
伺服器 | IIS管理員\伺服器\IIS\記錄\動作\開啟功能\記錄檔\選取欄位 | 啟用,並依需求選取記錄欄位 |
GCB 沒有強制要選那些,可以算預設符合。
********************************************************************************
| 項次 | TWGCB-ID | 類別 | 原則設定名稱 | 說明 | 設定位置 | 設定路徑 | GCB設定值 |
| 38 | TWGCB-04-014-0038 | 要求篩選與其他限制模組 | 記錄檔格式 | ▪這項原則設定決定記錄檔之格式 ▪記錄檔的格式選項如下: (1)IIS:設定IIS使用Microsoft IIS記錄檔格式來記錄站台的相關資訊。此格式會由HTTP.sys處理,而且是「固定」的ASCII文字格式,這表示無法自訂要記錄的欄位。欄位會以逗號分隔,而時間使用本地時間記錄 (2)NCSA:設定IIS使用「國家超級計算應用中心」(NCSA)通用記錄檔格式來記錄站台的相關資訊。此格式會由HTTP.sys處理,而且是「固定」的ASCII文字格式,這表示您無法自訂要記錄的欄位。欄位會以空格分隔,而時間會使用Coordinated Universal Time(UTC)位移記錄成本地時間 (3)W3C:使用全球資訊網協會(W3C)擴充記錄檔格式來記錄站台的相關資訊。此格式會由HTTP.sys處理,而且是「可自訂」的ASCII文字格式,這表示可以指定要記錄的欄位。若要在「W3C記錄欄位」對話方塊中指定要記錄的欄位,請按一下「記錄」頁上的「選取欄位」。欄位會以空格分隔,而時間會使用Coordinated Universal Time (UTC)記錄 (4)自訂:設定IIS在自訂記錄模組使用自訂格式。選取此選項時,「記錄」頁面會停用,因為自訂記錄無法在IIS管理員中設定 ▪記錄檔格式預設為W3C |
伺服器 | IIS管理員\伺服器\IIS\記錄\動作\開啟功能\記錄檔\格式 | W3C |
預設值和 GCB 相同。
********************************************************************************
| 項次 | TWGCB-ID | 類別 | 原則設定名稱 | 說明 | 設定位置 | 設定路徑 | GCB設定值 |
| 39 | TWGCB-04-014-0039 | 要求篩選與其他限制模組 | 記錄事件目的地 | ▪這項原則設定決定將網站訊息僅記錄在IIS記錄檔、或只寫入ETW(Event Tracing for Windows)事件記錄、或兩者都寫入 ▪將網站訊息寫到Windows內之事件檢視器,管理者可使用標準查詢工具檢視即時記錄內容,亦可完整掌握整個網站之運作情形 |
伺服器 | IIS管理員\伺服器\IIS\記錄\動作\開啟功能\記錄事件目的地 | 記錄檔和ETW事件二者 |
********************************************************************************
在 Windows 上,ETW 是指 Event Tracing for Windows,中文通常翻譯為 Windows 事件追蹤 或 Windows 事件追蹤機制。可以用「Windows 事件檢視器 (Event Viewer) 」檢視其內容。
********************************************************************************
下圖,完整預設畫面
(完)
相關
[研究]IIS 10套用GCB設定路徑圖解(1)基本設定
[研究]IIS 10套用GCB設定路徑圖解(2)設定驗證與授權
[研究]IIS 10套用GCB設定路徑圖解(3)ASP.NET設定建議
[研究]IIS 10套用GCB設定路徑圖解(4)要求篩選與其他限制模組
[研究]IIS 10套用GCB設定路徑圖解(5)IIS記錄
[研究]IIS 10套用GCB設定路徑圖解(6)FTP要求
[研究]IIS 10套用GCB設定路徑圖解(7)傳輸加密
沒有留言:
張貼留言