Sichern der Internetinformationsdienste 6.0
Auf dieser Seite
Einführung
Webserver sind häufig Ziele für verschiedene Arten von Angriffen. Solche Angriffe können schädliche Auswirkungen auf Unternehmensgewinne, Produktivität und Kundenkontakte haben. Darüber hinaus sind Angriffe immer unangenehm und ärgerlich. Die Sicherheit Ihres Webservers ist für den Erfolg Ihres Unternehmens von großer Bedeutung.
Im Folgenden finden Sie Informationen zur Sicherung eines Webservers, auf dem die Internetinformationsdienste (IIS) 6.0 unter dem Betriebssystem Microsoft Windows Server 2003 Standard Edition ausgeführt werden. Zunächst werden einige der gängigsten Bedrohungen für die Webserversicherheit beschrieben. Im Anschluss folgen Anweisungen zur Sicherung Ihrer Webserver gegen derartige Angriffe.
Folgende Änderungen in IIS 6.0 gegenüber früheren Versionen vermindern die Gefahr, die von böswilligen Angreifern ausgeht:
| • | IIS 6.0 wird bei der Installation von Windows Server 2003 Standard Edition nicht standardmäßig installiert. |
| • | Bei der Erstinstallation von IIS 6.0 werden vom Webserver lediglich statische Webseiten (HTML) zur Verfügung gestellt. Dadurch werden die Risiken der Übermittlung von dynamischen oder ausführbaren Inhalten verringert. |
| • | Der WWW-Publishingdienst wird als einziger Dienst bei der Erstinstallation von IIS 6.0 aktiviert. Sie können alle benötigten Dienste je nach Bedarf aktivieren. |
| • | ASP und ASP.NET sind bei der Erstinstallation von IIS 6.0 in der Standardeinstellung deaktiviert. |
Für zusätzlichen Schutz entsprechen sämtliche Sicherheitskonfigurationen in der Standardeinstellung von IIS 6.0 denjenigen, die vom IIS Lockdown-Tool vorgenommen werden, oder übertreffen diese. Die Angriffsfläche früherer Versionen von IIS wurde mithilfe des IIS Lockdown-Tools verringert, das zum Deaktivieren unnötiger Dienste und Funktionen verwendet wird. Weitere Informationen zum IIS Lockdown-Tool finden Sie auf der Tools-Seite, das im Microsoft Download Center unter http://www.microsoft.com/germany/technet/sicherheit/tools/locktool.mspx verfügbar ist.
Da in den IIS 6.0-Standardeinstellungen einige der von Webdiensten verwendeten Funktionen deaktiviert sind, finden Sie im Folgenden Erläuterungen, anhand derer zusätzliche Funktionen des Webservers unter Reduzierung der Angriffsanfälligkeit des Servers konfiguriert werden können.
Sie erhalten Anleitungen zu folgenden Aspekten, die für das Erhöhen der Sicherheit Ihres Webservers relevant sind:
| • | Verringern der potenziellen Angriffsfläche Ihres Webservers |
| • | Konfigurieren der Benutzer- und Gruppenkonten für anonymen Zugriff |
| • | Sichern von Dateien und Verzeichnissen vor nicht autorisiertem Zugriff |
| • | Sichern von Websites und virtuellen Verzeichnissen vor nicht autorisiertem Zugriff |
| • | Konfigurieren von SSL (Secure Sockets Layer) auf Ihrem Webserver |
Wichtig Alle ausführlichen Anweisungen in diesem Dokument wurden unter Verwendung des Standardmenüs entwickelt, das angezeigt wird, wenn Sie auf die Schaltfläche Start klicken. Wenn Sie das Startmenü geändert haben, können sich die Arbeitsschritte leicht unterscheiden.
Wenn Sie die folgenden Vorgänge durchführen, kann Ihr Webserver dynamische Inhalte in Form von ASP-Seiten übermitteln und ist dennoch gegen folgende Arten von Angriffen geschützt, die auf Server für Internetdienste ausgeführt werden:
| • | Versuche, Informationen über den Aufbau Ihrer Website zu erlangen. Sie können diese Gefahr reduzieren, indem Sie nicht verwendete Ports und Protokolle sperren bzw. deaktivieren. |
| • | DoS-Angriffe (Denial-of-Service – Dienstverweigerung), bei denen versucht wird, Ihren Webserver mit einer Vielzahl von Anfragen zu überlasten. Diese Gefahr kann durch das Anwenden von Patches und die Aktualisierung der Software reduziert werden. |
| • | Nicht autorisierte Zugriffe von Benutzern ohne die erforderlichen Berechtigungen, die häufig vereitelt werden können, indem Sie die Berechtigungen für die Website und für NTFS entsprechend konfigurieren. |
| • | Ausführung von bösartigem Code auf Ihrem Webserver. Diese Gefahr kann verringert werden, indem Sie den Zugriff auf Systemprogramme und -befehle verhindern. |
| • | Anhebung der Berechtigungen, durch die ein böswilliger Benutzer Zugriff auf ein Konto mit erweiterten Berechtigungen erhalten kann und somit in der Lage ist, Programme auszuführen. Sie können dieses Risiko minimieren, indem Sie Dienst- und Benutzerkonten mit eingeschränkten Berechtigungen verwenden. |
| • | Schäden durch Viren, Würmer und Trojaner. Diese Gefahr kann durch das Deaktivieren nicht verwendeter Funktionen, die Verwendung von Konten mit sehr wenigen Berechtigungen und die unverzügliche Installation der neuesten Sicherheitspatches verringert werden. |
Hinweis Das Sichern eines Webservers ist ein komplexer und kontinuierlicher Prozess. Daher kann eine vollständige Sicherheit nicht garantiert werden.
Ziel dieses Dokuments
Anhand der einführenden Informationen dieses Dokuments können Sie die ersten Schritte zur Konfiguration eines sichereren Webservers durchführen. Um jedoch den Webserver so sicher wie möglich zu machen, müssen Sie sich einen Überblick über die auf dem Server ausgeführten Anwendungen verschaffen. Dieses Dokument beinhaltet keine Informationen zu anwendungsspezifischen Sicherheitskonfigurationen.
Vorbereitung
Im folgenden Abschnitt werden die in diesem Dokument beschriebenen Systemvoraussetzungen und die Eigenschaften des Webservers erläutert.
Systemanforderungen
Der in diesem Dokument als Beispiel herangezogene Webserver verfügt über folgende Systemvoraussetzungen:
| • | Auf dem Server wird Windows Server 2003 Standard Edition ausgeführt. |
| • | Das Betriebssystem ist auf einer NTFS-Partition installiert. Weitere Informationen finden Sie, wenn Sie im Hilfe- und Supportcenter für Windows Server 2003 nach "NTFS" suchen. |
| • | Alle für Windows Server 2003 erforderlichen Patches und Updates wurden auf den Server angewendet. Um sicherzustellen, dass die aktuellen Sicherheitsupdates auf Ihrem Webserver installiert sind, können Sie die Webseite Microsoft Update von Microsoft unter http://windowsupdate.microsoft.com öffnen und Ihren Server mit Microsoft Update auf verfügbare Updates überprüfen. |
| • | Die Windows Server 2003-Sicherheitsmaßnahmen wurden auf den Server angewendet. Weitere Informationen zum Sichern von Windows Server 2003 finden Sie im Windows Server 2003-Sicherheitshandbuch unter http://www.microsoft.com/germany/technet/sicherheit/prodtech/windowsserver2003/w2003hg/s3sgch01.mspx. |
Eigenschaften des Webservers
Der hier als Beispiel herangezogene Webserver verfügt über folgende Systemvoraussetzungen:
| • | Auf dem Webserver wird IIS 6.0 im Arbeitsprozess-Isolationsmodus ausgeführt. |
| • | Der Webserver dient als Host für eine Website. |
| • | Der Webserver befindet sich hinter einer Firewall, die HTTP-Datenverkehr nur über Port 80 und HTTPS-Datenverkehr nur über Port 443 zulässt. |
| • | Der Server ist eine dedizierter Webserver. Der Server wird nur als Webserver verwendet und nicht als Datei-, Druck- oder Datenbankserver, auf dem Microsoft SQL Server ausgeführt wird. |
| • | Anonymer Zugriff auf die Website ist zugelassen. |
| • | Der Webserver stellt HTML- und ASP-Seiten zur Verfügung. |
| • | Auf dem Webserver sind keine FrontPage 2002-Servererweiterungen konfiguriert. |
| • | Die Anwendungen auf dem Webserver erfordern keine Datenbankanbindung. |
| • | Der Webserver unterstützt die Protokolle FTP (für das Übertragen von Dateien), SMTP (E-Mail) und NNTP (Newsgroup) nicht. |
| • | Auf dem Webserver wird Internet Security and Acceleration Server (ISA) nicht verwendet. |
| • | Der Administrator muss sich zur Verwaltung des Webservers lokal anmelden. |
Verringern der Angriffsfläche des Webservers
Sichern Sie Ihren Webserver zunächst, indem Sie die potenzielle Angriffsfläche Ihres Webservers verringern. Aktivieren Sie z. B. die für einen ordnungsgemäßen Betrieb des Webservers erforderlichen Komponenten, Dienste und Ports.
Deaktivieren von SMB und NetBIOS
Bei bestimmten Angriffen wird versucht, die im Netzwerk verwendeten IP-Adressen potenzieller Angriffsziele zu ermitteln. Deaktivieren Sie sämtliche Netzwerkprotokolle außer TCP (Transmission Control Protocol), um die Wahrscheinlichkeit erfolgreicher Angriffe dieser Art auf Ports für Internetdienste Ihres Webservers zu verringern. SMB (Server Message Block) und NetBIOS sind auf den Netzwerkadaptern des Webservers nicht erforderlich.
In diesem Abschnitt finden Sie ausführliche Anweisungen für die folgenden Aufgaben zum Verringern der Angriffsfläche Ihres Webservers:
| • | Deaktivieren von SMB für eine Internetverbindung |
| • | Deaktivieren von NetBIOS über TCP/IP |
Hinweis Durch die Deaktivierung von SMB und NetBIOS kann der Server nicht mehr als Datei- oder Druckserver fungieren, und es ist keine Netzwerksuche und keine Remoteverwaltung des Webservers möglich. Wenn es sich bei dem Server um einen dedizierten Webserver handelt, an dem sich Administratoren lokal anmelden müssen, haben diese Einschränkungen keine Auswirkungen auf den Serverbetrieb.
SMB verwendet die folgenden Ports:
| • | TCP-Port 139 |
| • | TCP- und UDP-Port 445 (SMB Direct Host) |
NetBIOS verwendet die folgenden Ports:
| • | TCP- und UDP-Port 137 (NetBIOS-Namensdienst) |
| • | TCP- und UDP-Port 138 (NetBIOS-Datagrammdienst) |
| • | TCP- und UDP-Port 139 (NetBIOS-Sitzungsdienst) |
Wenn lediglich NetBIOS deaktiviert wird, ist eine SMB-Kommunikation weiterhin möglich, da SMB den TCP-Port 445 (auch als SMB Direct Host bezeichnet) verwendet, wenn kein Standard-NetBIOS-Port verfügbar ist. NetBIOS und SMB müssen separat deaktiviert werden.
Anforderungen
Zum Durchführen dieser Aufgaben wird Folgendes benötigt:
| • | Anmeldeinformationen. Sie müssen als ein Mitglied der Gruppe Administratoren auf dem Webserver angemeldet sein. |
| • | Tools. Arbeitsplatz, Systemprogramme und Geräte-Manager. |
So deaktivieren Sie SMB für eine Internetverbindung
1. | Klicken Sie auf Start, dann auf Systemsteuerung, und doppelklicken Sie anschließend auf Netzwerkverbindungen. |
2. | Klicken Sie mit der rechten Maustaste auf Ihre Internetverbindung, und klicken Sie auf Eigenschaften. |
3. | Deaktivieren Sie das Kontrollkästchen Client für Microsoft-Netzwerke. |
4. | Deaktivieren Sie das Kontrollkästchen Datei- und Druckerfreigabe für Microsoft-Netzwerke, und klicken Sie anschließend auf OK. |
So deaktivieren Sie NetBIOS über TCP/IP
1. | Klicken Sie auf Start, anschließend mit der rechten Maustaste auf Arbeitsplatz, und klicken Sie auf Verwalten. |
2. | Doppelklicken Sie auf Systemprogramme, und wählen Sie anschließend Geräte-Manager aus. |
3. | Klicken Sie mit der rechten Maustaste auf Geräte-Manager, klicken Sie auf Ansicht und anschließend auf Ausgeblendete Geräte anzeigen. |
4. | Doppelklicken Sie auf Nicht-PnP-Treiber. |
5. | Klicken Sie mit der rechten Maustaste auf NetBIOS über TCP/IP, klicken Sie auf Deaktivieren (dargestellt in der folgenden Abbildung) und dann auf Ja.
Hinweis Die Abbildungen in diesem Dokument stellen eine Testumgebung dar und können von der Darstellung auf Ihrem Bildschirm abweichen. |
Über das vorherige Verfahren wird SMB auf TCP-Port 445 und UDP-Port 445 deaktiviert. Außerdem wird der Treiber Nbt.sys deaktiviert. Der Computer muss neu gestartet werden.
Überprüfen der neuen Einstellungen
Führen Sie folgende Schritte durch, um zu überprüfen, ob die entsprechenden Sicherheitseinstellungen auf Ihren Webserver angewendet wurden.
So überprüfen Sie, ob SMB deaktiviert ist
1. | Klicken Sie auf Start, Einstellungen und anschließend auf Netzwerk- und DFÜ-Verbindungen. |
2. | Klicken Sie mit der rechten Maustaste auf Ihre Internetverbindung, und klicken Sie auf Eigenschaften. |
3. | Stellen Sie sicher, dass die Kontrollkästchen Client für Microsoft-Netzwerke und Datei- und Druckerfreigabe für Microsoft-Netzwerke deaktiviert sind, und klicken Sie anschließend auf OK. |
So überprüfen Sie, ob NetBIOS deaktiviert ist
1. | Klicken Sie auf Start, anschließend mit der rechten Maustaste auf Arbeitsplatz, und klicken Sie auf Verwalten. |
2. | Doppelklicken Sie auf Systemprogramme, und wählen Sie anschließend Geräte-Manager aus. |
3. | Klicken Sie mit der rechten Maustaste auf Geräte-Manager, klicken Sie auf Ansicht und anschließend auf Ausgeblendete Geräte anzeigen. |
4. | Doppelklicken Sie auf Nicht-PnP-Treiber, und klicken Sie dann mit der rechten Maustaste auf NetBios über TCP/IP. Die Auswahl Aktivieren wird jetzt im Kontextmenü angezeigt. Das bedeutet, dass NetBIOS über TCP/IP zurzeit deaktiviert ist. |
5. | Klicken Sie auf OK, um den Geräte-Manager zu schließen. |
Auswahl der wichtigsten IIS-Komponenten und -Dienste
IIS 6.0 beinhaltet zusätzlich zum WWW-Dienst Unterkomponenten und Dienste, wie z. B. FTP und SMTP. Um die Angriffsrisiken auf bestimmte Dienste und Unterkomponenten zu verringern, wird von Microsoft empfohlen, nur diejenigen Dienste und Unterkomponenten auszuwählen, die für die ordnungsgemäße Ausführung von Websites und -anwendungen erforderlich sind.
In der folgenden Tabelle finden Sie die empfohlenen Einstellungen unter Software für IIS-Unterkomponenten und -Dienste auf dem für dieses Beispiel verwendeten Webserver.
Tabelle 1: Empfohlene Einstellungen für IIS-Unterkomponenten und -Dienste
| Unterkomponente oder Dienst | Standardeinstellung | Webservereinstellung |
Servererweiterung für den Intelligenten Hintergrundübertragungsdienst (Background Intelligent Transfer Service, BITS) | Deaktiviert | Keine Änderung |
Gemeinsame Dateien | Aktiviert | Keine Änderung |
FTP-Dienst | Deaktiviert | Keine Änderung |
FrontPage 2002-Servererweiterungen | Deaktiviert | Keine Änderung |
Internetinformationsdienste-Manager | Aktiviert | Keine Änderung |
Internetdrucken | Deaktiviert | Keine Änderung |
NNTP-Dienst | Deaktiviert | Keine Änderung |
SMTP-Dienst | Aktiviert | Deaktiviert |
WWW-Dienst | Aktiviert | Keine Änderung |
Servererweiterung für den Intelligenten Hintergrundübertragungsdienst (Background Intelligent Transfer Service, BITS) | Deaktiviert | Keine Änderung |
Anforderungen
Zum Durchführen dieser Aufgabe wird Folgendes benötigt:
| • | Anmeldeinformationen. Sie müssen als ein Mitglied der Gruppe Administratoren auf dem Webserver angemeldet sein. |
| • | Tools. Software. |
So konfigurieren Sie IIS-Komponenten und -Dienste
1. | Klicken Sie auf Start, dann auf Systemsteuerung und anschließend auf Software. |
2. | Klicken Sie auf Windows-Komponenten hinzufügen oder entfernen. |
3. | Klicken Sie auf der Seite Assistent für Windows-Komponenten unter Komponenten auf Anwendungsserver und anschließend auf Details. |
4. | Klicken Sie auf Internetinformationsdienste (IIS) und anschließend auf Details. |
5. | Aktivieren oder deaktivieren Sie entsprechend der vorherigen Tabelle die IIS-Komponenten und -Dienste. |
6. | Beenden Sie den Assistenten für Windows-Komponenten, indem Sie den Anweisungen auf dem Bildschirm folgen. |
Überprüfen der neuen Einstellungen
Führen Sie folgende Schritte durch, um zu überprüfen, ob die entsprechenden Sicherheitseinstellungen auf Ihren Webserver angewendet wurden.
So überprüfen Sie, ob IIS-Komponenten und -Dienste ausgewählt wurden
1. | Klicken Sie auf Start, dann auf Systemsteuerung, und doppelklicken Sie anschließend auf Verwaltung. |
2. | Der Internetinformationsdienst-Manager wird nun im Verwaltungsmenü angezeigt. |
Aktivieren von notwendigen Webdiensterweiterungen
Ein Webserver erfordert für die Übermittlung dynamischer Inhalte Webdiensterweiterungen. Für jede Art dynamischen Inhalts ist eine entsprechende Webdiensterweiterung erforderlich. Aus Sicherheitsgründen ist es in IIS 6.0 möglich, einzelne Webdiensterweiterungen zu aktivieren oder zu deaktivieren, sodass nur die für Ihre Inhalte erforderlichen Erweiterungen aktiviert sind.
Vorsicht Aktivieren Sie nicht alle Webdiensterweiterungen. Obwohl dies die höchstmögliche Kompatibilität mit vorhandenen Websites und -anwendungen sicherstellt, wird dadurch die Angriffsfläche Ihres Webservers bedeutend erhöht. Möglicherweise müssen Sie Ihre Websites und -anwendungen manuell überprüfen, um sicherzustellen, dass lediglich die erforderlichen Webdiensterweiterungen aktiviert werden.
Angenommen der Webserver ist so konfiguriert, dass die Datei Default.asp als Standardseite angezeigt wird. Obwohl die Standardseite konfiguriert ist, müssen Sie den Active Server Pages-Webdienst aktivieren, um die ASP-Seite anzeigen zu können.
Anforderungen
Zum Durchführen dieser Aufgabe wird Folgendes benötigt:
| • | Anmeldeinformationen. Sie müssen als ein Mitglied der Gruppe Administratoren auf dem Webserver angemeldet sein. |
| • | Tools. Internetinformationdienst-Manager (iis.msc). |
So aktivieren Sie die Active Server Pages-Webdiensterweiterung
1. | Klicken Sie auf Start, Systemsteuerung und anschließend auf Verwaltung, und doppelklicken Sie dann auf Internetinformationsdienste-Manager. |
2. | Doppelklicken Sie auf den lokalen Computer, und klicken Sie auf Webdiensterweiterungen. |
3. | Klicken Sie auf Active Server Pages und anschließend auf Zulassen (dargestellt in der folgenden Abbildung).
|
Überprüfen der neuen Einstellungen
Führen Sie folgende Schritte durch, um zu überprüfen, ob die entsprechenden Sicherheitseinstellungen auf Ihren Webserver angewendet wurden.
So überprüfen Sie, ob die Active Server Pages-Webdiensterweiterung aktiviert ist
1. | Öffnen Sie einen Texteditor, geben Sie ASP Test Page ein, und speichern Sie die Datei unter dem Namen Default.asp im Verzeichnis C:\inetpub\wwwroot. |
2. | Geben Sie in Internet Explorer im Feld Adresse folgende URL ein: http://localhost Drücken Sie dann die EINGABETASTE. Der Text "ASP Test Page" sollte im Browser angezeigt werden. |
3. | Löschen Sie die Datei C:\inetpub\wwwroot\Default.asp. |
Konfigurieren von Konten
Es wird von Microsoft empfohlen, nicht verwendete Konten zu entfernen, da ein Angreifer diese entdecken und über sie Zugriff auf Daten und Webanwendungen auf Ihrem Server erhalten könnte. Fordern Sie stets sichere Kennwörter an. Unsichere Kennwörter erhöhen die Wahrscheinlichkeit erfolgreicher Brute-Force- oder Wörterbuchangriffe, bei denen der Angreifer versucht, Kennwörter zu erraten. Verwenden Sie Konten, die nur über die erforderlichen Mindestberechtigungen verfügen. Andernfalls kann ein Angreifer Zugriff auf nicht autorisierte Ressourcen erhalten, indem er ein Konto mit hohen Berechtigungen verwendet.
In diesem Abschnitt finden Sie ausführliche Anweisungen für die folgenden Aufgaben:
| • | Deaktivieren nicht verwendeter Konten |
| • | Isolieren von Anwendungen mithilfe von Anwendungspools |
Deaktivieren nicht verwendeter Konten
Nicht verwendete Konten und deren Berechtigungen können von Angreifern für den Zugriff auf den Server verwendet werden. Daher sollten die lokalen Konten auf dem Server regelmäßig überwacht und nicht verwendete Konten deaktiviert werden. Deaktivieren Sie zunächst Konten auf einem Testserver, um sicherzustellen, dass die Deaktivierung auf einem Produktionsserver keine negativen Auswirkungen auf den Anwendungsbetrieb hat. Wenn die Deaktivierung des Kontos auf dem Testserver keine Probleme verursacht, deaktivieren Sie es auf dem Produktionsserver.
Hinweis Wenn Sie ein nicht verwendetes Konto nicht deaktivieren sondern löschen möchten, sollten Sie beachten, dass ein gelöschtes Konto nicht wiederhergestellt werden kann, und dass das Administratorkonto und das Gastkonto nicht gelöscht werden können. Stellen Sie außerdem sicher, das Konto zunächst auf einem Testserver und erst anschließend auf dem Produktionsserver zu löschen.
In diesem Abschnitt finden Sie ausführliche Anweisungen für die folgenden Verfahren:
| • | Deaktivieren des Gastkontos |
| • | Umbenennen des Administratorkontos |
| • | Umbenennen des Kontos "IUSR_ComputerName" |
Deaktivieren des Gastkontos
Das Gastkonto wird für anonyme Verbindungen mit dem Webserver verwendet. In der Standardinstallation von Windows Server 2003 ist das Gastkonto deaktiviert. Stellen Sie sicher, dass das Gastkonto weiterhin deaktiviert ist, um anonyme Verbindungen mit Ihrem Server zu unterbinden.
Anforderungen
Zum Durchführen dieser Aufgabe wird Folgendes benötigt:
| • | Anmeldeinformationen. Sie müssen als ein Mitglied der Gruppe Administratoren auf dem Webserver angemeldet sein. |
| • | Tools. Computerverwaltung |
So deaktivieren Sie das Gastkonto
1. | Klicken Sie auf Start, anschließend mit der rechten Maustaste auf Arbeitsplatz, und klicken Sie auf Verwalten. |
2. | Doppelklicken Sie auf Lokale Benutzer und Gruppen, und klicken Sie anschließend auf den Ordner Benutzer. Das Gastkonto sollte mit einem roten X angezeigt werden, d. h., dass es deaktiviert ist (dargestellt in der folgenden Abbildung). Wenn das Gastkonto nicht deaktiviert ist, fahren Sie mit Schritt 3 fort, um es zu deaktivieren.
|
3. | Klicken Sie mit der rechten Maustaste auf das Konto Gast, und klicken Sie dann auf Eigenschaften. |
4. | Aktivieren Sie auf der Registerkarte Allgemein das Kontrollkästchen Konto ist deaktiviert, und klicken Sie anschließend auf OK. |
Das Gastkonto sollte mit einem roten X angezeigt werden.
Umbenennen des Administratorkontos
Das lokale Administratorkonto ist aufgrund seiner hohen Privilegien ein Ziel böswilliger Benutzer. Benennen Sie das Administratorkonto aus Sicherheitsgründen um, und weisen Sie ihm ein sicheres Kennwort zu.
Anforderungen
Zum Durchführen dieser Aufgabe wird Folgendes benötigt:
| • | Anmeldeinformationen. Sie müssen als ein Mitglied der Gruppe Administratoren auf dem Webserver angemeldet sein. |
| • | Tools. Arbeitsplatz. |
So benennen Sie das Administratorkonto um und weisen ein sicheres Kennwort zu
1. | Klicken Sie auf Start, anschließend mit der rechten Maustaste auf Arbeitsplatz, und klicken Sie auf Verwalten. |
2. | Doppelklicken Sie auf Lokale Benutzer und Gruppen, und klicken Sie anschließend auf den Ordner Benutzer. |
3. | Klicken Sie mit der rechten Maustaste auf das Konto Administrator und dann auf Umbenennen. |
4. | Geben Sie im Feld einen neuen Namen ein, und drücken Sie die EINGABETASTE. |
5. | Drücken Sie auf dem Desktop STRG+ALT+ENTF, und klicken Sie anschließend auf Kennwort ändern. |
6. | Geben Sie den neuen Namen für das Administratorkonto im Feld Benutzername ein. |
7. | Geben Sie das aktuelle Kennwort im Feld Altes Kennwort ein, und geben Sie dann ein neues Kennwort im Feld Neues Kennwort ein. Geben Sie das neue Kennwort erneut im Feld Neues Kennwort bestätigen ein, und klicken Sie anschließend auf OK. |
Vorsicht Verwenden Sie zum Ändern des Kennworts im Kontextmenü nicht das Menüelement Kennwort festlegen, es sei denn Sie haben das Kennwort vergessen und verfügen nicht über eine Kennwortrücksetzdiskette. Diese Methode kann zum Verlust von Daten führen, die durch dieses Kennwort geschützt sind.
Umbenennen des Kontos für anonyme Internetbenutzer
Das standardmäßige anonyme Internetbenutzerkonto IUSR_<Computername> wird bei der IIS-Installation erstellt. Der Wert für <Computername> ist der NetBIOS-Name Ihres Servers bei der Installation von IIS. Durch das Umbenennen dieses Kontos wird die Wahrscheinlichkeit für erfolgreiche Bruteforce-Angriffe verringert.
Anforderungen
Zum Durchführen dieser Aufgaben wird Folgendes benötigt:
| • | Anmeldeinformationen. Sie müssen als ein Mitglied der Gruppe Administratoren auf dem Webserver angemeldet sein. |
| • | Tools. Arbeitsplatz. |
So benennen Sie das Konto für anonyme Internetbenutzer um
1. | Klicken Sie auf Start, anschließend mit der rechten Maustaste auf Arbeitsplatz, und klicken Sie auf Verwalten. |
2. | Doppelklicken Sie auf Lokale Benutzer und Gruppen, und klicken Sie anschließend auf den Ordner Benutzer. |
3. | Klicken Sie mit der rechten Maustaste auf das Konto IUSR_<Computername> und anschließend auf Umbenennen. |
4. | Geben Sie in das Feld den neuen Kontonamen ein, und drücken Sie die EINGABETASTE. |
So ändern Sie den Wert des Kontos für anonyme Benutzer in der IIS-Metabasis
1. | Klicken Sie auf Start, Systemsteuerung und anschließend auf Verwaltung. Doppelklicken Sie auf Internetinformationsdienste-Manager. |
2. | Klicken Sie mit der rechten Maustaste auf den lokalen Computer und dann auf Eigenschaften. |
3. | Aktivieren Sie das Kontrollkästchen Direktes Bearbeiten der Metabasis ermöglichen, und klicken Sie anschließend auf OK. |
4. | Suchen Sie den Speicherort der Datei MetaBase.xml. Standardmäßig ist die Datei unter C:\Windows\system32\inetsrv gespeichert. |
5. | Klicken Sie mit der rechten Maustaste auf die Datei MetaBase.xml, und klicken Sie anschließend auf Bearbeiten. |
6. | Suchen Sie nach der Eigenschaft AnonymousUserName, und geben Sie den neuen Namen des IUSR-Kontos ein. |
7. | Klicken Sie im Menü Datei auf Beenden und anschließend auf Ja. |
Überprüfen der neuen Einstellungen
Führen Sie folgende Schritte durch, um zu überprüfen, ob die entsprechenden Sicherheitseinstellungen auf Ihren Webserver angewendet wurden.
So überprüfen Sie, ob ein Konto deaktiviert ist
1. | Drücken Sie STRG+ALT+ENTF, und klicken Sie auf Abmelden, um sich vom Server abzumelden. |
2. | Geben Sie im Dialogfeld Windows-Anmeldung im Feld Benutzername den Namen des deaktivierten Kontos ein, geben Sie das Kennwort für das deaktivierte Konto ein, und klicken Sie dann auf OK. Die folgende Nachricht wird angezeigt: Ihr Konto wurde deaktiviert. Wenden Sie sich an Ihren Systemadministrator. |
So überprüfen Sie, ob ein Konto umbenannt wurde
1. | Drücken Sie STRG+ALT+ENTF, und klicken Sie auf Abmelden, um sich vom Server abzumelden. |
2. | Geben Sie im Dialogfeld Windows-Anmeldung im Feld Benutzername den vorherigen Namen des umbenannten Kontos ein, geben Sie das Kennwort für das umbenannte Konto ein, und klicken Sie dann auf OK. Die folgende Nachricht wird angezeigt: Sie konnten nicht angemeldet werden. Überprüfen Sie Benutzernamen und Domäne, und geben Sie das Kennwort erneut ein. Bei Kennwörtern wird die Groß-/Kleinschreibung beachtet. |
3. | Klicken Sie auf OK, und geben Sie im Feld Benutzername den neuen Namen des umbenannten Kontos ein. |
4. | Geben Sie das Kennwort für das umbenannte Konto ein, und klicken Sie dann auf OK. |
Mit dem umbenannten Konto sollten Sie sich auf dem Computer anmelden können.
Isolieren von Anwendungen mithilfe von Anwendungspools
Mithilfe von IIS 6.0 können Sie Anwendungen in Anwendungspools isolieren. Ein Anwendungspool ist eine Gruppe von einem oder mehreren URLs, die von einem Arbeitsprozess oder einer Reihe von Arbeitsprozessen übermittelt werden. Mithilfe von Anwendungspools kann die Verlässlichkeit und Sicherheit eines Webservers verbessert werden, da die Anwendungen voneinander unabhängig arbeiten.
Jeder auf einem Windows-Betriebssystem ausgeführte Prozess verfügt über eine Prozessidentität, die festlegt, wie dieser auf die Ressourcen des Computers zugreift. Auch zu jedem Anwendungspool gehört eine Prozessidentität, bei der es sich um ein Konto handelt, das mit den Mindestberechtigungen für Ihre Anwendung ausgeführt wird. Diese Prozessidentität kann verwendet werden, um anonymen Zugriff auf Ihre Website oder Ihre Anwendungen zuzulassen.
Anforderungen
Zum Durchführen dieser Aufgaben wird Folgendes benötigt:
| • | Anmeldeinformationen. Sie müssen als ein Mitglied der Gruppe Administratoren auf dem Webserver angemeldet sein. |
| • | Tools. Arbeitsplatz. |
So erstellen Sie einen Anwendungspool
1. | Klicken Sie auf Start, Systemsteuerung und anschließend auf Verwaltung. Doppelklicken Sie auf Internetinformationsdienste-Manager. |
2. | Doppelklicken Sie auf den lokalen Computer, klicken Sie mit der rechten Maustaste auf Anwendungspools, klicken Sie auf Neu und anschließend auf Anwendungspool. |
3. | Geben Sie in das Feld Anwendungspoolkennung eine neue Kennung für den Anwendungspool ein (in der folgenden Beispielabbildung wird "ContosoAppPool" als Kennung verwendet).
|
4. | Wählen Sie unter Einstellungen des Anwendungspools die Option Standardeinstellungen für neuen Anwendungspool verwenden aus, und klicken Sie und anschließend auf OK. |
So weisen Sie einem Anwendungspool eine Website oder Anwendung zu
1. | Klicken Sie auf Start, Systemsteuerung und anschließend auf Verwaltung. Doppelklicken Sie auf Internetinformationsdienste-Manager. |
2. | Klicken Sie mit der rechten Maustaste auf die einem Anwendungspool zuzuweisende Website oder Anwendung, und klicken Sie anschließend auf Eigenschaften. |
3. | Klicken Sie je nach ausgewähltem Anwendungstyp auf die Registerkarte Stammverzeichnis, Virtuelles Verzeichnis oder Verzeichnis. |
4. | Stellen Sie beim Zuweisen eines Verzeichnisses oder virtuellen Verzeichnisses sicher, dass das Feld Anwendungsname den richtigen Namen der Website oder Anwendung enthält. - oder - Wenn im Feld Anwendungsname kein Name angegeben ist, klicken Sie auf Erstellen, und geben Sie einen Namen für die Website oder Anwendung ein. |
5. | Klicken Sie im Listenfeld Anwendungspool auf den Namen des Anwendungspools, dem die Website oder Anwendung zugewiesen werden soll (dargestellt in der folgenden Abbildung), und klicken Sie anschließend auf OK.
|
Überprüfen der neuen Einstellungen
Führen Sie folgende Schritte durch, um zu überprüfen, ob die entsprechenden Sicherheitseinstellungen auf Ihren Webserver angewendet wurden.
So überprüfen Sie, ob ein Anwendungspool erstellt wurde
1. | Melden Sie sich mit dem Administratorkonto am Server an. |
2. | Klicken Sie auf Start, Systemsteuerung und anschließend auf Verwaltung. Doppelklicken Sie auf Internetinformationsdienste-Manager. |
3. | Doppelklicken Sie auf den lokalen Computer und anschließend auf Anwendungspools, und überprüfen Sie, ob der erstellte Anwendungspool unter dem Knoten Anwendungspools angezeigt wird. |
4. | Klicken Sie mit der rechten Maustaste auf den erstellten Anwendungspool und anschließend auf Eigenschaften. |
5. | Klicken Sie auf die Registerkarte Identität, stellen Sie sicher, dass die Identität des Anwendungspools auf das vordefinierte Sicherheitskonto Netzwerkdienst eingestellt ist, und klicken Sie anschließend auf OK. |
So überprüfen Sie, ob eine Website oder Anwendung einem bestimmten Anwendungspool zugewiesen wurde
1. | Melden Sie sich mit dem Administratorkonto am Server an. |
2. | Klicken Sie auf Start, Systemsteuerung und anschließend auf Verwaltung. Doppelklicken Sie auf Internetinformationsdienste-Manager. |
3. | Doppelklicken Sie auf den lokalen Computer und anschließend auf Websites, klicken Sie mit der rechten Maustaste auf die zu überprüfende Website und anschließend auf Eigenschaften. |
4. | Klicken Sie je nach ausgewähltem Anwendungstyp auf die Registerkarte Stammverzeichnis, Virtuelles Verzeichnis oder Verzeichnis. |
5. | Stellen Sie sicher, dass Sie im Listenfeld Anwendungspool der Name des Anwendungspools vorhanden ist, dem die Website zugewiesen werden soll, und klicken Sie anschließend auf Abbrechen. |
Konfigurieren der Sicherheit für Dateien und Verzeichnisse
Verwenden Sie zum Schutz vertraulicher Dateien und Verzeichnisse eine sichere Zugriffskontrolle. In der Regel ist es effektiver, den Zugriff auf bestimmte Konten zuzulassen, anstatt ihn zu verweigern. Legen Sie den Zugriff stets auf Verzeichnisebene fest. Werden einem Ordner Dateien hinzugefügt, werden die Berechtigungen des Ordners übernommen. Daher sind keine weiteren Schritte erforderlich.
In diesem Abschnitt finden Sie ausführliche Anweisungen für die folgende Aufgaben zum Konfigurieren der Sicherheit für Dateien und Verzeichnisse:
| • | Verschieben von und Einstellen der Berechtigungen für IIS-Protokolldateien |
| • | Konfigurieren der IIS-Metabasisberechtigungen |
| • | Deaktivieren der Komponente FileSystemObject |
Verschieben von und Einstellen der Berechtigungen für IIS-Protokolldateien
Um die Sicherheit der IIS-Protokolldateien zu erhöhen, sollten die Dateien auf ein Laufwerk außerhalb des Systems verschoben werden, das für die Verwendung des NTFS-Dateisystems formatiert ist. Dabei sollte es sich nicht um den gleichen Speicherort wie für die Inhalte der Website handeln. Durch das Verschieben dieser Dateien wird verhindert, dass mit bestimmten Angriffsarten der Inhalt der Protokolldateien gelesen werden kann. Protokolldateien sollten auch gesichert werden, um Überwachungsaufzeichnungen von möglichen Angriffen auf den Server zu ermöglichen. Das Speichern von Protokolldateien auf einer Festplatte außerhalb des Systems kann auch die Leistung des Servers verbessern.
Anforderungen
Zum Durchführen dieser Aufgaben wird Folgendes benötigt:
| • | Anmeldeinformationen. Sie müssen als ein Mitglied der Gruppe Administratoren auf dem Webserver angemeldet sein. |
| • | Tools. Arbeitsplatz und Internetinformationdienste-Manager (Iis.msc). |
So verschieben Sie den Speicherort der IIS-Protokolldateien auf eine Partition außerhalb des Systems
1. | Klicken Sie auf Start, anschließend mit der rechten Maustaste auf Arbeitsplatz, und klicken Sie dann auf Explorer. |
2. | Wechseln Sie in das Verzeichnis, in das Sie die IIS-Protokolldateien verschieben möchten. |
3. | Klicken mit der rechten Maustaste auf das übergeordnete Verzeichnis, klicken Sie auf Neu und anschließend auf Ordner. |
4. | Geben Sie einen Namen für den Ordner ein (z. B. ContosoIISLogs), und drücken Sie die EINGABETASTE. |
5. | Klicken Sie auf Start, Systemsteuerung und anschließend auf Verwaltung. Doppelklicken Sie auf Internetinformationsdienste-Manager. |
6. | Klicken Sie mit der rechten Maustaste auf die Website und anschließend auf Eigenschaften. |
7. | Klicken Sie auf die Registerkarte Website und anschließend im Bereich Protokollierung aktivieren auf Eigenschaften. |
8. | Klicken Sie auf der Registerkarte Allgemeine Eigenschaften auf Durchsuchen, und wechseln Sie zu dem für die Speicherung der IIS-Protokolle erstellten Ordner. |
9. | Klicken Sie dreimal auf OK. |
Hinweis Wenn sich im ursprünglichen Speicherort unter Windows\System32\Logfiles bereits IIS-Protokolldateien befinden, müssen diese manuell zum neuen Speicherort verschoben werden. Dies wird von IIS nicht automatisch durchgeführt.
So richten Sie ACLs für IIS-Protokolldateien ein
1. | Klicken Sie auf Start, anschließend mit der rechten Maustaste auf Arbeitsplatz, und klicken Sie dann auf Explorer. |
2. | Wechseln Sie in den Ordner mit den Protokolldateien. |
3. | Klicken Sie mit der rechten Maustaste auf den Ordner, klicken Sie auf Eigenschaften und anschließend auf die Registerkarte Sicherheit. |
4. | Klicken Sie im oberen Fensterbereich auf Administratoren, und stellen Sie sicher, dass die Berechtigungen im unteren Fenster auf Vollzugriff gesetzt sind. |
5. | Klicken Sie im oberen Fensterbereich auf System, und stellen Sie sicher, dass die Berechtigungen im unteren Fenster auf Vollzugriff gesetzt sind. Klicken Sie anschließend auf OK. |
Überprüfen der neuen Einstellungen
Führen Sie folgende Schritte durch, um zu überprüfen, ob die entsprechenden Sicherheitseinstellungen auf Ihren Webserver angewendet wurden.
So überprüfen Sie, ob die Protokolldateien verschoben und die Einstellungen vorgenommen wurden
1. | Klicken Sie auf Start, Suchen und anschließend auf Nach Dateien oder Ordnern. |
2. | Geben Sie im Feld Nach folgenden Dateien oder Ordnern suchen einen partiellen oder vollständigen Dateinamen ein, z. B. LogFiles, wählen Sie im Feld Suchen in einen Speicherort aus, und klicken Sie dann auf Jetzt suchen. Als Suchergebnis wird der neue Speicherort der Protokolldateien angezeigt. |
3. | Drücken Sie die Tastenkombination STRG+ALT+ENTF, und klicken Sie anschließend auf Abmelden. |
4. | Melden Sie auf dem Webserver über ein Konto an, das über keine Zugriffsberechtigung für die Protokolldateien verfügt. |
5. | Klicken Sie auf Start, anschließend mit der rechten Maustaste auf Arbeitsplatz, klicken Sie auf Explorer, und wechseln Sie anschließend in das Verzeichnis LogFiles. |
6. | Klicken Sie mit der rechten Maustaste auf das Verzeichnis LogFiles und dann auf Öffnen. Die folgende Nachricht wird angezeigt: Zugriff verweigert. |
Konfigurieren der IIS-Metabasisberechtigungen
Die IIS-Metabasis ist eine XML-Datei, die einen Großteil der IIS-Konfigurationsinformationen enthält.
Anforderungen
Zum Durchführen dieser Aufgabe wird Folgendes benötigt:
| • | Anmeldeinformationen. Sie müssen als ein Mitglied der Gruppe Administratoren auf dem Webserver angemeldet sein. |
| • | Tools. Arbeitsplatz und die Datei MetaBase.xml. |
So beschränken Sie den Zugriff auf die Datei "MetaBase.xml"
1. | Klicken Sie auf Start, anschließend mit der rechten Maustaste auf Arbeitsplatz, und klicken Sie auf Explorer. |
2. | Wechseln Sie zur Datei Windows\System32\Inetsrv\MetaBase.xml, klicken Sie mit der rechten Maustaste auf die Datei, und klicken Sie dann auf Eigenschaften. |
3. | Klicken Sie auf die Registerkarte Sicherheit, und stellen Sie sicher, dass lediglich Mitglieder der Gruppe Administratoren und des Kontos LocalSystem über Vollzugriff auf die Metabasis verfügen. Entfernen Sie alle weiteren Dateiberechtigungen, und klicken Sie anschließend auf OK. |
Überprüfen der neuen Einstellungen
Führen Sie folgende Schritte durch, um zu überprüfen, ob die entsprechenden Sicherheitseinstellungen auf Ihren Webserver angewendet wurden.
So überprüfen Sie den beschränkten Zugriff auf die Datei "MetaBase.xml"
1. | Drücken Sie die Tastenkombination STRG+ALT+ENTF, und klicken Sie anschließend auf Abmelden. |
2. | Melden Sie auf dem Webserver über ein Konto an, das über keine Zugriffsberechtigung für die Datei MetaBase.xml verfügt. |
3. | Klicken Sie auf Start, anschließend mit der rechten Maustaste auf Arbeitsplatz, klicken Sie auf Explorer, und wechseln Sie zum Speicherort der Datei MetaBase.xml. |
4. | Klicken Sie mit der rechten Maustaste auf die Datei MetaBase.xml, und klicken Sie anschließend auf Öffnen. Die folgende Nachricht wird angezeigt: Zugriff verweigert. |
Deaktivieren der Komponente FileSystemObject
ASP, Windows Script Host und weitere Skriptinganwendungen verwenden die Komponente FileSystemObject (FSO), um Laufwerke, Ordner und Dateien zu erstellen, zu löschen und zu bearbeiten bzw. um Informationen über diese abzurufen. Sie können die FSO-Komponente deaktivieren, sollten dabei jedoch beachten, dass dadurch auch das Wörterbuchobjekt entfernt wird. Stellen Sie außerdem sicher, dass keine andren Programme diese Komponente benötigen.
Anforderungen
Zum Durchführen dieser Aufgabe wird Folgendes benötigt:
| • | Anmeldeinformationen. Sie müssen als ein Mitglied der Gruppe Administratoren auf dem Webserver angemeldet sein. |
| • | Tools. Eingabeaufforderung. |
So deaktivieren Sie die Komponente FileSystemObject
1. | Klicken Sie auf Start, Ausführen, und geben Sie im Feld Öffnen den Befehl cmd ein. Klicken Sie anschließend auf OK. |
2. | Geben Sie cd c:\Windows\system32 ein, und drücken Sie die EINGABETASTE, um zum Verzeichnis C:\Windows\system32 zu wechseln. |
3. | Geben Sie in der Befehlszeile die Zeichenfolge regsvr32 scrrun.dll /u ein, und drücken Sie die Eingabetaste. Die folgende Nachricht wird angezeigt: DllUnregisterServer in scrrun.dll erfolgreich durchgeführt. |
4. | Klicken Sie auf OK. |
5. | Geben Sie in der Eingabeaufforderung den Befehl exit ein, und drücken Sie die EINGABETASTE, um das Fenster zu schließen. |
Sichern von Websites und virtuellen Verzeichnissen
Verschieben Sie die Webstamm- und die virtuellen Verzeichnisse zum Schutz vor Angriffen, bei denen versucht wird, die Verzeichnisse rekursiv zu durchsuchen, auf eine Partition außerhalb des Systems. Solche Angriffe ermöglichen es Angreifern, Programme und Tools des Betriebssystems auszuführen. Da es nicht möglich ist bei solchen Angriffen auf andere Laufwerke zuzugreifen, bietet das Verschieben der Inhalte der Website auf ein anderes Laufwerk zusätzlichen Schutz.
In diesem Abschnitt finden Sie ausführliche Anweisungen für die folgende Aufgaben zum Sichern von Websites und virtuellen Verzeichnissen:
| • | Verschieben der Websiteinhalte auf ein Laufwerk außerhalb des Systems |
| • | Konfigurieren der Websiteberechtigungen |
Verschieben der Websiteinhalte auf ein Laufwerk außerhalb des Systems
Verwenden Sie nicht das Standardverzeichnis \Inetpub\Wwwroot als Speicherort für die Inhalte Ihrer Website. Wenn Ihr System beispielsweise auf dem Laufwerk C: installiert ist, sollten Sie das Verzeichnis der Site und deren Inhalte auf das Laufwerk D: verschieben. So können Sie die Risiken verringern, die mit Directory-Traversal-Angriffen verbunden sind, in denen ein Angreifer versucht, die Verzeichnisstruktur eines Webservers zu durchsuchen. Stellen Sie sicher, dass alle virtuellen Verzeichnisse auf das neue Laufwerk zeigen.
Anforderungen
Zum Durchführen dieser Aufgabe wird Folgendes benötigt:
| • | Anmeldeinformationen. Sie müssen als ein Mitglied der Gruppe Administratoren auf dem Webserver angemeldet sein. |
| • | Tools. Internetinformationdienste-Manager (iis.msc) und die Eingabeaufforderung. |
So verschieben Sie die Websiteinhalte auf ein Laufwerk außerhalb des Systems
1. | Klicken Sie auf Start, Systemsteuerung und anschließend auf Verwaltung. Doppelklicken Sie auf Internetinformationsdienste-Manager. | ||||
2. | Klicken Sie mit der rechten Maustaste auf die Website mit den zu verschiebenden Inhalten und anschließend auf Beenden. | ||||
3. | Klicken Sie auf Start, Ausführen, und geben Sie im Feld Öffnen den Befehl cmd ein. Klicken Sie anschließend auf OK. | ||||
4. | Geben Sie folgenden Befehl an der Eingabeaufforderung ein: xcopy c:\inetpub\wwwroot\<Sitename> <Laufwerk>:\wwwroot\Sitename /s /i /o Dabei entspricht
| ||||
5. | Kehren Sie zum Snap-In Internetinformationsdienste-Manager zurück, klicken Sie mit der rechten Maustaste auf die Website und dann auf Eigenschaften. | ||||
6. | Klicken Sie entsprechend der ausgewählten Anwendung auf eine der Registerkarten Stammverzeichnis, Virtuelles Verzeichnis oder Verzeichnis, geben Sie den neuen Speicherort des Verzeichnisses im Feld Lokaler Pfad ein, und klicken Sie anschließend auf OK. - oder - Wechseln Sie zum neuen Speicherort des Verzeichnisses, in das Sie die Dateien kopiert haben, und klicken Sie dann auf OK. | ||||
7. | Klicken Sie mit der rechten Maustaste auf die Website und anschließend auf Starten. |
Überprüfen der neuen Einstellungen
Führen Sie folgende Schritte durch, um zu überprüfen, ob die entsprechenden Sicherheitseinstellungen auf Ihren Webserver angewendet wurden.
So überprüfen Sie, ob die Websiteinhalte auf ein Laufwerk außerhalb des Systems verschoben wurden
1. | Klicken Sie auf Start, Suchen und anschließend auf Nach Dateien oder Ordnern. |
2. | Geben Sie im Feld Nach folgenden Dateien oder Ordnern suchen einen partiellen oder vollständigen Dateinamen ein, wählen Sie im Feld Suchen in einen Speicherort aus, und klicken Sie dann auf Jetzt suchen. Als Suchergebnis werden die verschobenen Dateien sowohl am neuen als auch am ursprünglichen Speicherort angezeigt. |
So löschen Sie die Websiteinhalte vom Systemlaufwerk
| • | Wechseln Sie zum Verzeichnis C:\Inetpub\Wwwroot\Sitename, und löschen Sie die auf ein Laufwerk außerhalb des Systems verschobenen Dateien. |
So überprüfen Sie, ob die Websiteinhalte vom Systemlaufwerk gelöscht wurden
1. | Klicken Sie auf Start, Suchen und anschließend auf Nach Dateien oder Ordnern. |
2. | Geben Sie im Feld Nach folgenden Dateien oder Ordnern suchen einen partiellen oder vollständigen Dateinamen ein, wählen Sie im Feld Suchen in einen Speicherort aus, und klicken Sie dann auf Jetzt suchen. Als Suchergebnis werden lediglich die verschobenen Dateien angezeigt. |
Konfigurieren der Websiteberechtigungen
Sie können für Ihren Webserver Zugriffsberechtigungen für bestimmte Sites, Verzeichnisse und Dateien konfigurieren. Diese Berechtigungen gelten für alle Benutzer, unabhängig von deren eigentlichen Zugriffsberechtigungen.
Konfigurieren von Berechtigungen für Dateisystemverzeichnisse
IIS 6.0 baut auf NTFS-Berechtigungen auf, mithilfe derer einzelne Dateien und Verzeichnisse vor nicht autorisiertem Zugriff geschützt werden. Anders als Websiteberechtigungen, die für jeden gelten, der auf Ihre Website zugreifen möchte, können Sie NTFS-Berechtigungen verwenden, um festzulegen, welche Benutzer auf Ihre Inhalte zugreifen können und inwieweit diese Benutzer die Inhalte ändern dürfen. Verwenden Sie im Sinne einer erhöhten Sicherheit sowohl Website- als auch NTFS-Berechtigungen.
Über Zugriffssteuerungslisten (Access Control Lists, ACLs) wird festgelegt, welche Benutzer oder Gruppen über die Berechtigung verfügen, auf eine bestimmte Datei zuzugreifen oder diese zu ändern. Sie können, anstatt für jede einzelne Datei ACLs einzurichten, neue Verzeichnisse für jeden Dateityp erstellen, für jedes Verzeichnis ACLs einrichten und anschließend ermöglichen, dass die entsprechenden Verzeichnisberechtigungen von den Dateien übernommen werden.
Anforderungen
Zum Durchführen dieser Aufgaben wird Folgendes benötigt:
| • | Anmeldeinformationen. Sie müssen als ein Mitglied der Gruppe Administratoren auf dem Webserver angemeldet sein. |
| • | Tools. Arbeitsplatz und Internetinformationsdienste-Manager (iis.msc). |
So verschieben Sie Websiteinhalte in einen separaten Ordner
1. | Klicken Sie auf Start, anschließend mit der rechten Maustaste auf Arbeitsplatz, und klicken Sie auf Explorer. |
2. | Suchen Sie nach dem Ordner, der die Websiteinhalte enthält, und klicken Sie anschließend auf das Stammverzeichnis der Websiteinhalte. |
3. | Klicken Sie im Menü Datei auf Neu und anschließend auf Ordner, um einen neuen Ordner im Verzeichnis mit den Websiteinhalten zu erstellen. |
4. | Geben Sie in das Feld den Ordnernamen ein, und drücken Sie die EINGABETASTE. |
5. | Drücken Sie STRG, und wählen Sie anschließend die zu schützenden Seiten aus. |
6. | Klicken Sie mit der rechten Maustaste auf die Seiten und anschließend auf Kopieren. |
7. | Klicken Sie mit der rechten Maustaste auf den neuen Ordner und dann auf Einfügen. |
Hinweis Wenn Sie bereits Verknüpfungen zu diesen Seiten erstellt haben, müssen Sie die Verknüpfungen dem neuen Speicherort der Siteinhalte entsprechend aktualisieren.
So legen Sie Berechtigungen für Webinhalte fest
1. | Klicken Sie auf Start, Systemsteuerung und anschließend auf Verwaltung. Doppelklicken Sie auf Internetinformationsdienste-Manager. | ||||||||||||
2. | Klicken Sie mit der rechten Maustaste auf den Websiteordner, die Website, das Verzeichnis, das virtuelle Verzeichnis oder die Datei, die Sie konfigurieren möchten, und klicken Sie anschließend auf Eigenschaften. | ||||||||||||
3. | Aktivieren oder deaktivieren Sie dem gewünschten Zugriffstyp entsprechend folgende Kontrollkästchen (sofern verfügbar):
| ||||||||||||
4. | Wählen Sie im Listenfeld Ausführberechtigungen die entsprechende Skriptausführungsebene aus:
| ||||||||||||
5. | Klicken Sie auf OK. Wenn für untergeordnete Knoten eines Verzeichnisses andere Websiteberechtigungen konfiguriert wurden, wird das Feld Vererbungsüberschreibungen angezeigt. | ||||||||||||
6. | Wenn das Feld Vererbungsüberschreibungen angezeigt wird, wählen Sie aus der Liste Untergeordnete Knoten die untergeordneten Knoten aus, für die die Webberechtigungen des Verzeichnisses gelten sollen. - oder - Klicken Sie auf Alle auswählen, um die Webberechtigung auf alle untergeordneten Knoten anzuwenden. | ||||||||||||
7. | Wenn mehrere Felder Vererbungsüberschreibungen angezeigt werden, wählen Sie die untergeordneten Knoten aus der Liste Untergeordnete Knoten aus, oder klicken Sie auf Alle auswählen und anschließend auf OK, um die Webberechtigungen für diese Eigenschaften auf die untergeordneten Knoten anzuwenden. |
Wenn für einen untergeordneten Knoten, der zu einem Verzeichnis mit von Ihnen geänderten Websiteberechtigungen gehört, außerdem Websiteberechtigungen für eine bestimmte Option festgelegt wurden, werden die Berechtigungen vom untergeordneten Knoten für das geänderte Verzeichnis übernommen. Wenn die Websiteberechtigungen auf Verzeichnisebene für die untergeordneten Knoten gelten sollen, müssen diese im Feld Vererbungsüberschreibungen ausgewählt werden.
Überprüfen der neuen Einstellungen
Führen Sie folgende Schritte durch, um zu überprüfen, ob die entsprechenden Sicherheitseinstellungen auf Ihren Webserver angewendet wurden.
So überprüfen Sie, ob der Schreibzugriff auf Verzeichnisse mit Websiteinhalten verweigert wird
1. | Drücken Sie die Tastenkombination STRG+ALT+ENTF, und klicken Sie anschließend auf Abmelden. |
2. | Melden Sie sich auf dem Webserver mit einem Konto an, das über Lese- und Ausführungsberechtigungen für das physische oder virtuelle Verzeichnis verfügt. |
3. | Klicken Sie auf Start, mit der rechten Maustaste auf Arbeitsplatz, klicken Sie auf Durchsuchen, und wechseln Sie zu dem Speicherort einer Datei, die Sie auf das physische oder virtuelle Laufwerk kopieren möchten. |
4. | Klicken Sie mit der rechten Maustaste auf die Datei, und klicken Sie dann auf Kopieren. |
5. | Wechseln Sie zum Speicherort des physischen oder virtuellen Verzeichnisses, und klicken Sie mit der rechten Maustaste auf das Verzeichnis. Die Option Einfügen ist im Kontextmenü nicht verfügbar. Dies belegt, dass Sie keinen Schreibzugriff für das Verzeichnis haben. |
Konfigurieren von SSL auf Ihrem Webserver
Konfigurieren Sie SSL-Sicherheitsfunktionen (Secure Sockets Layer) auf Ihrem Webserver, um die Integrität Ihrer Inhalte und die Identität von Benutzern sicherzustellen und um Netzwerkübertragungen zu verschlüsseln. SSL ist in der Regel erforderlich, wenn Sie Kreditkartentransaktionen auf einer Website durchführen möchten. SSL-Sicherheit beruht auf einem Serverzertifikat, mit dem Benutzer Ihre Website authentifizieren können, bevor sie persönliche Informationen wie z. B. Kreditkartennummern übertragen. Jede Website kann lediglich über ein Serverzertifikat verfügen.
Erhalten und Installieren eines Serverzertifikats
Zertifikate werden nicht von Microsoft, sondern von sogenannten Zertifizierungsstellen herausgegeben. Das Serverzertifikat ist in der Regel speziell für Ihren Webserver ausgestellt, d. h. für die Website, auf der Sie SSL konfiguriert haben. Sie müssen eine Anforderung für ein Zertifikat erstellen, diese Anforderung an die Zertifizierungsstelle senden und dann das Zertifikat nach dem Empfang von der Zertifizierungsstelle installieren.
Zertifikate beruhen auf zwei Verschlüsselungsschlüsseln, einem öffentlichen und einem privaten Schlüssel, um die Sicherheit zu erhöhen. Bei der Anforderung eines Serverzertifikats erzeugen Sie den privaten Schlüssel. Das Serverzertifikat, das Sie von der Zertifizierungsstelle erhalten, enthält den öffentlichen Schlüssel.
Anforderungen
Zum Durchführen dieser Aufgaben wird Folgendes benötigt:
| • | Anmeldeinformationen. Sie müssen als ein Mitglied der Gruppe Administratoren am Webserver angemeldet sein. |
| • | Tools. Internetinformationsdienste-Manager (iis.msc) und den Assistenten für Webserverzertifikate. |
So erzeugen Sie eine Anforderung für ein Serverzertifikat
1. | Klicken Sie auf Start, anschließend mit der rechten Maustaste auf Arbeitsplatz, und klicken Sie auf Verwalten. |
2. | Doppelklicken Sie auf den Abschnitt Dienste und Anwendungen und anschließend auf Internetinformationsdienste. |
3. | Klicken Sie mit der rechten Maustaste auf die Website, auf der Sie ein Serverzertifikat installieren möchten, und klicken Sie anschließend auf Eigenschaften. |
4. | Klicken Sie auf die Registerkarte Verzeichnissicherheit. Klicken Sie im Abschnitt Sichere Kommunikation auf Serverzertifikat, um den Assistenten für Webserverzertifikate zu starten, und klicken Sie anschließend auf Weiter. |
5. | Klicken Sie auf Neues Zertifikat erstellen und dann auf Weiter. |
6. | Klicken Sie auf Anforderung jetzt vorbereiten, aber später senden und anschließend auf Weiter. |
7. | Geben Sie im Feld Name einen einfach zu merkenden Namen ein. (Der Standardname ist der Name der Website, für die Sie die Zertifikatanforderung erstellen, z. B. http://www.contoso.com.) |
8. | Geben Sie eine Bitlänge an, und klicken Sie dann auf Weiter. Die Bitlänge des Verschlüsselungsschlüssels legt den Verschlüsselungsgrad fest. Die meisten Zertifizierungsstellen empfehlen ein Minimum von 1024 Bits. |
9. | Geben Sie im Abschnitt Organisation Ihre Organisation und Informationen zur Organisationseinheit ein. Stellen Sie sicher, dass die Informationen stimmen und die Organisationsfelder keine Kommas enthalten. Klicken Sie anschließend auf Weiter. |
10. | Geben Sie im Abschnitt Gemeinsamer Name (CN) der Site den Namen des Hostcomputers einschließlich des Domänennamens ein, und klicken Sie anschließend auf Weiter. |
11. | Geben Sie Ihre geographischen Informationen ein, und klicken Sie anschließend auf Weiter. |
12. | Speichern Sie die Datei als TXT-Datei. (Standarddateiname und -speicherort ist C:\certreq.txt.) Im Folgenden finden Sie ein Beispiel für eine Zertifikatanforderungsdatei. -----BEGIN NEW CERTIFICATE REQUEST----- MIIDATCCAmoCAQAwbDEOMAwGA1UEAxMFcGxhbjgxDDAKBgNVBAsTA1BTUzESMB A1UEChMJTWljcm9zb2Z0MRIwEAYDVQQHEwlDaGFybG90dGUxFzAVBgNVBAgTDk cnRoIENhcm9saW5hMQswCQYDVQQGEwJVUzCBnzANBgkqhkiG9w0BAQEFAAOBjQ gYkCgYEAtW1koGfdt+EoJbKdxUZ+5vE7TF1ZuT+xaK9jEWHESfw11zoRKrHzHN IASnwg3vZ0ACteQy5SiWmFaJeJ4k7YaKUb6chZXG3GqL4YiSKFaLpJX+YRiKMt JzFzict5GVVGHsa1lY0BDYDO2XOAlstGlHCtENHOKpzdYdANRg0CAwEAAaCCAV GgYKKwYBBAGCNw0CAzEMFgo1LjAuMjE5NS4yMDUGCisGAQQBgjcCAQ4xJzAlMA A1UdDwEB/wQEAwIE8DATBgNVHSUEDDAKBggrBgEFBQcDATCB/QYKKwYBBAGCNw AjGB7jCB6wIBAR5aAE0AaQBjAHIAbwBzAG8AZgB0ACAAUgBTAEEAIABTAEMAaA AG4AbgBlAGwAIABDAHIAeQBwAHQAbwBnAHIAYQBwAGgAaQBjACAAUAByAG8Adg AGQAZQByA4GJAGKa0jzBn8fkxScrWsdnU2eUJOMUK5Ms87Q+fjP1/pWN3PJnH7 MBc5isFCjww6YnIjD8c3OfYfjkmWc048ZuGoH7ZoD6YNfv/SfAvQmr90eGmKOF TD+hl1hM08gu2oxFU7mCvfTQ/2IbXP7KYFGEqaJ6wn0Z5yLOByPqblQZAAAAAA MhfC7CIvR0McCQ+CBwuLzD+UJxl+kjgb+qwcOUkGX2PCZ7tOWzcXWNmn/4YHQl GEXu0w67sVc2R9DlsHDNzeXLIOmjUl935qy1uoIR4V5C48YNsF4ejlgjeCFsbC Jb9/2RM= -----END NEW CERTIFICATE REQUEST----- |
13. | Bestätigen Sie Ihre Anforderungsdetails, klicken Sie auf Weiter und anschließend auf Fertig stellen. |
So übermitteln Sie eine Serverzertifikatanforderung
1. | Wenden Sie sich an Ihre Zertifizierungsstelle, um die Anforderungen für die Übermittlung der Anforderung zu ermitteln. |
2. | Kopieren Sie die Inhalte der erstellten TXT-Datei in das für die Zertifizierungsstelle erforderliche Anforderungsformat. |
3. | Senden Sie die Anforderung an die Zertifizierungsstelle. |
Sobald Sie das Zertifikat von der Zertifizierungsstelle erhalten haben, können Sie es auf dem Webserver installieren.
So installieren Sie ein Serverzertifikat
1. | Kopieren Sie die Zertifikatdatei (.cer) in den Ordner C:\Windows\System32\CertLog. |
2. | Klicken Sie auf Start, Systemsteuerung und anschließend auf Verwaltung. Doppelklicken Sie auf Internetinformationsdienste-Manager. |
3. | Klicken Sie mit der rechten Maustaste auf die Website, auf der Sie ein Serverzertifikat installieren möchten, und klicken Sie anschließend auf Eigenschaften. |
4. | Klicken Sie auf die Registerkarte Verzeichnissicherheit. Klicken Sie im Abschnitt Sichere Kommunikation auf Serverzertifikat, um den Assistenten für Webserverzertifikate zu starten, und klicken Sie anschließend auf Weiter. |
5. | Klicken Sie auf Ausstehende Anforderung verarbeiten und Zertifikat installieren und anschließend auf Weiter. |
6. | Wechseln Sie zu dem von der Zertifizierungsstelle erhaltenen Zertifikat. Klicken Sie zweimal auf Weiter, und klicken Sie anschließend auf Fertig stellen. |
Überprüfen der neuen Einstellungen
Führen Sie folgende Schritte durch, um zu überprüfen, ob die entsprechenden Sicherheitseinstellungen auf den lokalen Computer angewendet wurden.
So überprüfen Sie, ob ein Zertifikat auf einem Webserver installiert wurde
1. | Klicken Sie auf Start, Systemsteuerung und anschließend auf Verwaltung. Klicken Sie auf Internetinformationsdienste-Manager. |
2. | Klicken Sie mit der rechten Maustaste auf die Website, deren Zertifikat Sie anzeigen möchten, und klicken Sie anschließend auf Eigenschaften. |
3. | Klicken Sie im Abschnitt Sichere Kommunikation auf der Registerkarte Verzeichnissicherheit auf Zertifikat anzeigen, überprüfen Sie das Zertifikat, und klicken Sie anschließend zweimal auf OK. |
Erzwingen und Aktivieren von SSL-Verbindungen auf Webservern
Nach dem Installieren des Serverzertifikats müssen auf Ihrem Webserver SSL-Verbindungen erzwungen werden. Anschließend müssen die SSL-Verbindungen aktiviert werden.
Hinweis Nachdem Sie festgelegt haben, dass Ihr Webserver SSL-Verbindungen erfordert, müssen alle Links zu dem Server auf die Verwendung von "https" statt "http" aktualisiert werden.
Anforderungen
Zum Durchführen dieser Aufgaben wird Folgendes benötigt:
| • | Anmeldeinformationen. Sie müssen als ein Mitglied der Gruppe Administratoren am Webserver angemeldet sein. |
| • | Tools. Internetinformationdienste-Manager (iis.msc). |
So erzwingen Sie SSL-Verbindungen
1. | Klicken Sie auf Start, Systemsteuerung und anschließend auf Verwaltung. Doppelklicken Sie auf Internetinformationsdienste-Manager. |
2. | Klicken Sie mit der rechten Maustaste auf die Website, für die Sie SSL-Verbindungen erzwingen möchten, und klicken Sie anschließend auf Eigenschaften. |
3. | Klicken Sie auf die Registerkarte Verzeichnissicherheit. Klicken Sie im Abschnitt Sichere Kommunikation auf Bearbeiten. |
4. | Klicken Sie auf Sicheren Kanal voraussetzen (SSL), wählen Sie eine Verschlüsselungsstärke aus, und klicken Sie dann auf OK. Hinweis Wenn Sie eine 128-Bit-Verschlüsselung festlegen, können Clientcomputer mit 40-Bit oder 56-Bit-Browsern nicht mit Ihrer Site kommunizieren, sofern die Browser nicht auf Versionen aktualisiert werden, die eine 128-Bit-Verschlüsselung unterstützen. |
So aktivieren Sie SSL-Verbindungen auf Ihrem Webserver
1. | Klicken Sie auf Start, Systemsteuerung und anschließend auf Verwaltung. Doppelklicken Sie auf Internetinformationsdienste-Manager. |
2. | Klicken Sie mit der rechten Maustaste auf die Website, für die Sie SSL-Verbindungen aktivieren möchten, und klicken Sie anschließend auf Eigenschaften. |
3. | Klicken Sie auf die Registerkarte Website. Überprüfen Sie im Abschnitt Identifikation der Webseite, ob im Feld SSL-Port der numerische Wert 443 eingetragen wurde. |
4. | Klicken Sie auf Erweitert. In der Regel werden zwei Felder angezeigt. Die IP-Adresse und der Port der Website werden im Feld Mehrere Identitäten für diese Website bereits angezeigt. Klicken Sie im Feld Mehrere SSL-Identitäten für diese Website auf Hinzufügen, wenn Port 443 noch nicht aufgelistet wird. Wählen Sie die IP-Adresse des Servers aus, geben Sie den numerischen Wert 443 in das Feld SSL-Port ein. Klicken Sie anschließend auf OK. |
Überprüfen der neuen Einstellungen
Führen Sie folgende Schritte durch, um zu überprüfen, ob die entsprechenden Sicherheitseinstellungen auf Ihren Webserver angewendet wurden.
So überprüfen Sie SSL-Verbindungen auf Ihrem Webserver
1. | Öffnen Sie Ihren Browser, und versuchen Sie unter Verwendung des Standard-HTTP-Protokolls (http://) eine Verbindung mit Ihrem Webserver herzustellen. Geben Sie beispielsweise im Feld Adresse die Adresse http://localhost ein, und drücken Sie die EINGABETASTE. Wenn SSL erzwungen wurde, wird folgende Fehlermeldung angezeigt: Die Seite kann nur über eine sichere Verbindung abgerufen werden. Die Seite, auf die Sie zugreifen möchten, ist über Secure Socket Layer (SSL) gesichert. |
2. | Versuchen Sie erneut, eine Verbindung mit der Seite herzustellen, die Sie anzeigen möchten, indem Sie https://localhost eingeben und die EINGABETASTE drücken. In der Regel wird nun die Standardseite für Ihren Webserver angezeigt. |
Weitere Informationen
Weitere Informationen zur Sicherheit von IIS 6.0 finden Sie unter:
| • | "Security Enhancements in Internet Information Services 6.0" (in englischer Sprache) auf der Microsoft Windows Server 2003-Website unter www.microsoft.com/windowsserver2003/techinfo/overview/iisenhance.mspx. |
| • | "Configuring Application Isolation on Windows Server 2003 and Internet Information Services (IIS) 6.0" (in englischer Sprache) auf der Microsoft TechNet-Website unter www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/ |
| • | TechNet-Webcast "Effectively Using IIS 6.0 Security" auf der Webseite Internet Information Services Webcasts von Microsoft (in englischer Sprache) unter www.microsoft.com/windowsserver2003/iis/support/webcasts.mspx. |
Weitere Informationen über IIS 6.0 finden Sie unter:
| • | Internet Information Services (IIS) 6.0 Resource Kit (in englischer Sprache), verfügbar im Microsoft Download Center unter www.microsoft.com/downloads/details.aspx?familyid=80a1b6e6-829e-49b7-8c02-333d9c148e69&displaylang=en. |
| • | "Technical Overview of Internet Information Services (IIS) 6.0" (in englischer Sprache) auf der Microsoft Windows Server 2003-Website unter www.microsoft.com/windowsserver2003/techinfo/overview/iis.mspx. |