Microsoft Security Tool Kit: Ein vorhandenes Windows NT 4.0-System absichern

Microsoft Windows NT Server 4.0, Enterprise Edition

Microsoft Windows NT Workstation 4.0

Microsoft Windows NT Server 4.0

Da Webserver besonders empfindlich für Sicherheitsangriffe sind, sollte der Internet Information Server (IIS) deaktiviert werden, wenn der Server nicht als Webserver genutzt wird.

Es ist äußerst wichtig festzustellen, welche Anwendungen und Servicepacks auf dem System installiert sind. Microsoft empfiehlt ganz besonders festzustellen, welche Servicepacks für Betriebssystem, Internet Explorer und IIS installiert sind.

Sie sollten das Tool HFNetChk verwenden, um festzustellen welche Sicherheits-Hotfixes im Moment installiert sind.

Installieren Sie das Windows NT 4.0 Service Pack 6a.
Informationen zur Installation von Servicepacks unter Windows NT 4.0 finden Sie unter Windows NT 4.0 SP6a Readme (englischsprachig) und Windows NT 4.0 SP6a über den Systems Management Server 1.2 und 2.0 verteilen (englischsprachig).

Sie haben bei der Absicherung des Internet Explorers ein paar Möglichkeiten:

Installieren Sie den Internet Explorer 5.01 SP2 um den minimalen Anforderungen an eine grundlegende Sicherheit zu genügen.

Installieren Sie den Internet Explorer 5.5 SP2, wenn Sie die erweiterten Funktionen dieser neueren Browserversion nutzen möchten.

Installieren Sie den Internet Explorer 6.0 SP1 und den kumulativen Patch aus dem Microsoft Knowledge Base Artikel 810847 (englischsprachig) oder höher (dies wird empfohlen), wenn Sie die erweiterten Funktionen dieser neueren Browserversion nutzen möchten.

Installieren Sie entweder das Windows NT 4.0 Server Option Pack oder das Windows NT Workstation 4.0 Option Pack, wenn der IIS installiert ist und ausgeführt wird, oder wenn Sie dies für die Zukunft planen. Das Optionpack aktualisiert die IIS-Version auf die Version 4.0.

Installieren Sie Windows NT 4.0 Service Pack 6a erneut, um die durch die Installation des Windows NT 4.0 Optionpack entstandenen Dateien zu aktualisieren.

Installieren Sie das Security Rollup aus dem Microsoft Knowledge Base Artikel 29944 (englischsprachig) und alle grundlegenden Post-SRP Sicherheits-Hotfixes. Diese müssen über die folgenden Schritte nach der Installation des Servicepack 6a installiert werden.

Installieren Sie das WPost-Windows NT 4.0 Service Pack 6a Security Roll-up.

Installieren Sie alle Post-SRP Sicherheits-Hotfixes. Verwenden Sie hierzu, wie unten beschrieben, Qchain.

Installieren Sie das IIS 4.0 Security Roll-up Package, wenn Sie die Verwendung dieses Dienstes planen. Bedenken Sie: Wenn Sie das Betriebssystem ohne Netzwerkverbindung installieren, und der IIS ausgeführt wird, sollten Sie erst nach der vollständigen Ausführung dieses Schrittes eine Netzwerkverbindung erstellen.

Installieren Sie die Windows Media Player 6.4 Patches.

IIS Lockdown:
Mit diesem Tool können Sie IIS 4.0 oder 5.0 Webserver für einen sicheren Betrieb konfigurieren. Es enthält Vorlagen für die Serverrollen Microsoft Exchange, Commerce Server, BizTalk, Small Business Server, SharePoint Portal Server, FrontPage Server Extensions und SharePoint Team Server. Das Tool stellt eine Rückgängig-Funktion zur Verfügung, so dass jeweils die letzte Änderung am IIS wieder entfernt werden kann. Es überwacht alle am IIS-Webserver eingehenden Anfragen und lässt nur die passieren, die mit den vom Administrator erstellten Regeln übereinstimmen. Dies führt zu einer deutlichen Steigerung der Sicherheit auf dem Server und stellt sicher, dass er nur auf gültige Anfragen antwortet. Der Administrator kann mit dem Tool Anfragen basierend auf deren Länge, Zeichensatz, Inhalt und anderen Faktoren filtern. Es wird ein Standartfiltersatz zur Verfügung gestellt. Dieser kann für die Bedürfnisse auf einem bestimmten Server angepasst werden.

Verwenden Sie das Tool HFNetChk, um festzustellen welche Sicherheits-Hotfixes für das Betriebssystem Windows NT 4.0 und den Internet Information Server 4.0, SQL Server 7.0, SQL Server 2000 (inklusive der Microsoft Data Engine-MSDE) und den Internet Explorer 5.01 oder höher installiert wurden.
Wenn Sie das Tool Hfnetchk nach der oben beschriebenen Einrichtung einer grundlegenden Sicherheit ausführen, werden von Hfnetchk viele Sicherheits-Hotfixes als nicht installiert angezeigt. Das ist richtig, und entspricht unseren Erwartungen. Dieses Dokument beschreibt nur eine Grundlage, auf der Sie aufbauen können. Wir empfehlen Ihnen alle weiterhin notwendigen Schritte vorzunehmen, um sicherzustellen das alle kritischen Sicherheitspatches installiert sind.
Sie sollten die abzusichernden Computer täglich mit dem Tool prüfen, und zwar so oft bis Sie sicher sind alle von diesem vorgeschlagenen Hotfixes installiert zu haben. Sie können den Prüfzeitraum danach vergrößern. Wenn Sie neue Sicherheits-Hotfixes verteilen, sollten Sie aber weiterhin Prüfungen durchführen, um fehlende Hotfixes zu erkennen.

Abonnieren Sie den Microsoft Sicherheitsbenachrichtigungsdienst. Hierbei handelt es sich um einen kostenlosen EMail-Benachrichtigungsdienst, der seine Abonnenten über die Sicherheit von Microsoft Produkten informiert.

Laden Sie Sich über die Windows Update Webseite eine Liste der aktuellen kritischen Updates herunter.

Wenn Sie Hotfixes auf mehrere Systeme verteilen, verwenden Sie das Tool Qchain um Hotfixes zusammenzufassen. So müssen Sie bei der Installation von mehreren Hotfixes nur einen Neustart durchführen.