Windows Server 2003-Sicherheitshandbuch
Kapitel 9: Die Webserverrolle
Auf dieser SeiteÜberblickDieses Kapitel enthält Anleitungen zur Absicherung der Webserver in Ihrer Umgebung, auf denen Microsoft® Windows Server™ 2003 mit SP1 ausgeführt wird. Um eine umfassende Sicherheit für die Webserver und Anwendungen im Intranet ihrer Organisation zu gewährleisten, sollten Sie jeden IIS-Server (Microsoft Internet Information Services) sowie jede Website und jede Anwendung, die auf diesen Servern von Clientcomputern aus ausgeführt werden, schützen. Die Websites und Anwendungen sollten auch vor den Websites und Anwendungen geschützt werden, die auf den anderen IIS-Servern im Intranet ihrer Organisation ausgeführt werden. Zum Schutz vor böswilligen Benutzern und Angreifern wird IIS von der Standardkonfiguration für Mitglieder der Windows Server 2003-Produktfamilie nicht installiert. Im Falle einer Installation wird IIS in einem hochsicheren „gesperrten“ Modus installiert. IIS sichert z. B. standardmäßig nur statischen Inhalt. Funktionen wie Active Server Pages (ASP), ASP.NET, Server Side Includes (SSI), WebDAV-Veröffentlichungen (Web Distributed Authoring und Versioning) und Microsoft FrontPage®-Servererweiterungen können aufgrund der Gefahr ihrer Ausnutzung durch Angreifer nur verwendet werden, wenn ein Administrator sie aktiviert. Diese Funktionen und Dienste können über den Webdiensterweiterungsknoten im IIS-Manager aktiviert werden. Der IIS-Manager verfügt über eine grafische Benutzeroberfläche, die die Verwaltung von IIS vereinfacht. Sie enthält Ressourcen für die Dateiverwaltung, die Verzeichnisverwaltung, die Konfiguration von Anwendungspools sowie für Sicherheits-, Leistungs- und Zuverlässigkeitsfunktionen. Sie sollten eine Implementierung der in den folgenden Abschnitten dieses Kapitels beschriebenen Einstellungen in Betracht ziehen, um die Sicherheit von IIS-Webservern, die HTML-Inhalt im Intranet Ihrer Organisation hosten, zu erhöhen. Zur Erhöhung der Sicherheit der Server sollten Sie auch Verfahren zur Sicherheitsüberwachung, -erkennung und -reaktion implementieren, um gegen neue Bedrohungen gewappnet zu sein. Die meisten Einstellungen in diesem Kapitel werden durch Gruppenrichtlinien konfiguriert und angewendet. Ein inkrementelles Gruppenrichtlinienobjekt, das die Richtlinie für die Mitgliedsserver-Baseline unterstützt, wird mit den jeweiligen Organisationseinheiten verknüpft, um zusätzliche Sicherheit für die Webserver zu gewährleisten. Um dieses Kapitel überschaubarer zu gestalten, werden hier nur die Richtlinieneinstellungen behandelt, die von der Richtlinie für die Mitgliedsserver-Baseline abweichen. Sofern möglich, werden diese Richtlinieneinstellungen in einer inkrementellen Gruppenrichtlinienvorlage gesammelt, die auf die Webserver-Organisationseinheit angewendet wird. Einige Einstellungen in diesem Kapitel können nicht durch Gruppenrichtlinien angewendet werden. Ausführliche Informationen zur Konfiguration dieser manuellen Einstellungen werden bereitgestellt. Die folgende Tabelle enthält die Namen der Sicherheitsvorlagen der Webserver für die drei in diesem Handbuch definierten Umgebungen. Diese Sicherheitsvorlagen für Webserver enthalten die Richtlinieneinstellungen für die inkrementelle Webservervorlage. Sie können diese Vorlage zum Erstellen eines neuen Gruppenrichtlinienobjekts verwenden, das mit der Webserver-Organisationseinheit in der jeweiligen Umgebung verknüpft ist. In Kapitel 2, „Absicherungsmechanismen von Windows Server 2003“, finden Sie ausführliche Anweisungen zum Erstellen der Organisationseinheiten und Gruppenrichtlinien und zum darauf folgenden Import in die jeweilige Sicherheitsvorlage der einzelnen Gruppenrichtlinienobjekte. Tabelle 9.1: Sicherheitsvorlagen für IIS-Server
Weitere Informationen zu allen Standardeinstellungskonfigurationen finden Sie im Begleithandbuch Bedrohungen und Gegenmaßnahmen: Sicherheitseinstellungen unter Windows Server 2003 und Windows XP, das unter http://www.microsoft.com/germany/technet/sicherheit/topics/serversecurity/tcg/tcgch00.mspx verfügbar ist. In diesem Handbuch wird dargestellt, wie IIS mit minimalen Funktionen installiert und aktiviert wird. Wenn Sie zusätzliche Funktionen in IIS verwenden möchten, müssen Sie möglicherweise einige Sicherheitseinstellungen anpassen. Wenn Sie zusätzliche Dienste wie z. B. SMTP, FTP oder NNTP installieren, müssen die bereitgestellten Vorlagen und Richtlinien angepasst werden. Im Onlineartikel „IIS und vordefinierte Konten (IIS 6.0)“ (in englischer Sprache) unter www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/3648346f-e4f5-474b-86c7-5a86e85fa1ff.mspx werden die Konten erklärt, die von den unterschiedlichen IIS-Funktionen verwendet werden, sowie die jeweils erforderlichen Berechtigungen. Um sicherere Einstellungen auf Webservern zu erzielen, auf denen komplexe Anwendungen zur Verfügung gestellt werden, sollten Sie sich die komplette IIS 6.0-Dokumentation (in englischer Sprache) unter http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/848968f3-baa0-46f9-b1e6-ef81dd09b015.mspx durchlesen. Anonymer Zugriff und die Einstellungen für HochsicherheitsumgebungenVier der Benutzerrechte, die explizit im Hochsicherheitsszenario in der Richtlinie für die Mitgliedsserver-Baseline definiert sind, dienen dem Schutz vor anonymem Zugriff auf IIS-Websites. Wenn Sie jedoch den anonymen Zugriff in einer Hochsicherheitsumgebung erlauben müssen, müssen Sie wichtige Änderungen an der Organisationseinheitenstruktur und den Gruppenrichtlinienobjekten vornehmen, die in den Kapiteln 2, 3 und 4 dieses Handbuchs beschrieben sind. Sie müssen dann eine neue Organisationseinheit erstellen, die nicht Teil der Hierarchie unter den Mitgliedsserver-Organisationseinheiten ist. Diese Organisationseinheit könnte direkt mit dem Domänenstamm verknüpft werden oder anderen Organisationseinheiten einer Hierarchie untergeordnet werden. Sie sollten jedoch in einem Gruppenrichtlinienobjekt, das Auswirkungen auf die in diese neue Organisationseinheit platzierten IIS-Server hat, keine Benutzerrechte zuweisen. Sie können die IIS-Server in die neue Organisationseinheit verschieben, ein neues Gruppenrichtlinienobjekt erstellen, die Richtlinie für die Mitgliedsserver-Baseline darauf anwenden und danach die Zuweisungen für die Benutzerrechte neu konfigurieren, damit sie von der lokalen Richtlinie und nicht vom domänenbasierten Gruppenrichtlinienobjekt gesteuert werden. Sie sollten also die folgenden Benutzerrechte in diesem neuen Gruppenrichtlinienobjekt auf Nicht definiert setzen.
Durch die zu aktivierenden IIS-Funktionen wird festgelegt, ob Sie auch andere Einstellungen für die Zuweisung von Benutzerrechten auf Nicht definiert setzen müssen. Einstellungen für ÜberwachungsrichtlinienDie Einstellungen für Überwachungsrichtlinien für IIS-Server in den drei in diesem Handbuch definierten Umgebungen werden über die Richtlinie für die Mitgliedsserver-Baseline konfiguriert. Weitere Informationen zur Richtlinie für die Mitgliedsserver-Baseline finden Sie in Kapitel 4, „Die Richtlinie für die Mitgliedsserver-Baseline“. Durch die Einstellungen der Richtlinie für die Mitgliedsserver-Baseline wird sichergestellt, dass alle relevanten Sicherheitsüberwachungsinformationen auf sämtlichen IIS-Servern protokolliert werden. Zuweisen von BenutzerrechtenDie Einstellungen für die Zuweisung von Benutzerrechten für IIS-Server in den drei in diesem Handbuch definierten Umgebungen werden über die Richtlinie für die Mitgliedsserver-Baseline konfiguriert. Weitere Informationen zur Richtlinie für die Mitgliedsserver-Baseline finden Sie in Kapitel 4, „Die Richtlinie für die Mitgliedsserver-Baseline“. Durch die Einstellungen der Richtlinie für die Mitgliedsserver-Baseline wird sichergestellt, dass alle relevanten Sicherheitsüberwachungsinformationen auf sämtlichen IIS-Servern protokolliert werden. SicherheitsoptionenDie Sicherheitsoptionseinstellungen für IIS-Server in den drei in diesem Handbuch definierten Umgebungen werden über die Richtlinie für die Mitgliedsserver-Baseline konfiguriert. Weitere Informationen zur Richtlinie für die Mitgliedsserver-Baseline finden Sie in Kapitel 4, „Die Richtlinie für die Mitgliedsserver-Baseline“. Durch die Einstellungen der Richtlinie für die Mitgliedsserver-Baseline wird sichergestellt, dass alle relevanten Sicherheitsoptionen auf sämtlichen IIS-Servern einheitlich konfiguriert werden. EreignisprotokolleinstellungenDie Ereignisprotokolleinstellungen für IIS-Server in den drei in diesem Handbuch definierten Umgebungen werden über die Richtlinie für die Mitgliedsserver-Baseline konfiguriert. Weitere Informationen zur Richtlinie für die Mitgliedsserver-Baseline finden Sie in Kapitel 4, „Die Richtlinie für die Mitgliedsserver-Baseline“. Durch die Einstellungen der Richtlinie für die Mitgliedsserver-Baseline wird sichergestellt, dass die entsprechenden Ereignisprotokolleinstellungen auf allen IIS-Servern in einer Organisation einheitlich konfiguriert sind. Zusätzliche SicherheitseinstellungenIst IIS auf einem Computer unter Windows Server 2003 mit SP1 installiert, dann lässt die Standardeinstellung nur die Übertragung von statischem Webinhalt zu. Wenn Websites und Anwendungen dynamischen Inhalt enthalten oder eine oder mehrere zusätzliche IIS-Komponenten erfordern, muss jede zusätzliche IIS-Funktion einzeln aktiviert werden. Sie sollten darauf achten, dass Sie die Angriffsfläche der einzelnen IIS-Server Ihrer Umgebung minimieren. Wenn die Websites in Ihrer Organisation aus statischem Inhalt bestehen und keine weiteren IIS-Komponenten benötigen, ist die Standard-IIS-Konfiguration ausreichend, um die Angriffsfläche der IIS-Server zu minimieren. Die Sicherheitseinstellungen, die durch die Richtlinie für die Mitgliedsserver-Baseline bereitgestellt werden, bieten eine deutlich erhöhte Sicherheit für IIS-Server. Es gilt jedoch noch einige zusätzliche Einstellungen zu beachten. Die Einstellungen in den folgenden Abschnitten können nicht über die Gruppenrichtlinie implementiert werden und müssen daher auf allen IIS-Servern manuell vorgenommen werden. Installieren der notwendigen IIS-KomponentenIIS 6.0 enthält neben dem WWW-Publishingdienst noch andere Komponenten und Dienste, wie z. B. Dienste zur Bereitstellung von FTP, NNTP und SMTP. Die IIS-Komponenten und -Dienste werden mithilfe des Assistenten für Windows-Komponenten installiert und aktiviert. Dieser kann über die Systemsteuerung und die Option „Software“ gestartet werden. Nach der Installation von IIS müssen Sie alle IIS-Komponenten und -Dienste aktivieren, die von Ihren Websites und Anwendungen benötigt werden. So installieren Sie Internet Information Services (IIS) 6.0
Sie sollten nur die grundlegenden IIS-Komponenten und -Dienste aktivieren, die von Websites und Anwendungen benötigt werden. Wenn Sie unnötige Komponenten und Dienste aktivieren, wird die Angriffsfläche eines IIS-Servers erhöht. In den folgenden Abbildungen und Tabellen werden Ort und empfohlene Einstellungen für IIS-Komponenten dargestellt. Die folgende Abbildung zeigt die Unterkomponenten im Dialogfeld Anwendungsserver:  Abbildung 9.1: Dialogfeld „Anwendungsserver“ mit Liste der Unterkomponenten In der folgenden Tabelle werden die Unterkomponenten des Anwendungsservers kurz beschrieben und Empfehlungen gegeben, wann sie aktiviert werden sollten. Tabelle 9.2: Empfohlene Einstellungen für die Unterkomponenten des Anwendungsservers
Die folgende Abbildung zeigt die Unterkomponenten im Dialogfeld Internetinformationsdienste (IIS):  Abbildung 9.2: Dialogfeld „Internetinformationsdienste (IIS)“ mit Liste der Unterkomponenten In der folgenden Tabelle werden die Unterkomponenten des IIS-Servers kurz beschrieben und Empfehlungen gegeben, wann diese aktiviert werden sollten. Tabelle 9.3: Empfohlene Einstellungen für die Unterkomponenten des IIS-Servers
Die folgende Abbildung zeigt die Unterkomponenten im Dialogfeld Message Queuing:  Abbildung 9.3: Dialogfeld „Message Queuing“ mit Liste der Unterkomponenten In der folgenden Tabelle werden die Unterkomponenten des Message Queuing kurz beschrieben und Empfehlungen gegeben, wann diese aktiviert werden sollten. Tabelle 9.4: Empfohlene Einstellungen für die Unterkomponenten des Message Queuing
Die folgende Abbildung zeigt die Unterkomponenten des Dialogfelds Servererweiterungen des Background Intelligent Transfer Service (BITS): In der folgenden Tabelle werden die Unterkomponenten der BITS-Servererweiterungen kurz beschrieben und Empfehlungen gegeben, wann diese aktiviert werden sollten. Tabelle 9.5: Empfohlene Einstellungen für die Unterkomponenten der BITS-Servererweiterungen
Die folgende Abbildung zeigt die Unterkomponenten im Dialogfeld WWW-Dienst: In der folgenden Tabelle werden die Unterkomponenten des WWW-Dienstes kurz beschrieben und Empfehlungen gegeben, wann diese aktiviert werden sollten. Tabelle 9.6: Empfohlene Einstellungen der Unterkomponenten des WWW-Dienstes
Aktivieren von notwendigen WebdiensterweiterungenViele Websites und Anwendungen, die auf IIS-Servern ausgeführt werden, weisen erweiterte Funktionen auf, die über statische Seiten hinaus gehen, einschließlich der Möglichkeit zum Erzeugen dynamischer Inhalte. Jeder dynamische Inhalt, der über Funktionen bereitgestellt oder erweitert wird, die von einem IIS-Server zur Verfügung gestellt werden, wird mithilfe von Webdiensterweiterungen verarbeitet. Die erweiterten Sicherheitsfunktionen in IIS 6.0 ermöglichen das Aktivieren oder Deaktivieren einzelner Webdiensterweiterungen. Wie bereits erwähnt, übertragen IIS-Server nach einer neuen Installation nur statischen Inhalt. Die dynamischen Inhaltmöglichkeiten können über den Webdiensterweiterungs-Knoten im IIS-Manager aktiviert werden. Diese Erweiterungen umfassen ASP.NET, SSI, WebDAV und die FrontPage-Servererweiterungen. Um höchstmögliche Kompatibilität mit vorhandenen Anwendungen sicherzustellen, können alle Webdiensterweiterungen aktiviert werden. Dabei handelt es sich aber auch um die Methode mit dem höchsten Sicherheitsrisiko, da die Angriffsfläche von IIS erhöht wird. Sie sollen nur jene Webdiensterweiterungen aktivieren, die von den auf IIS-Servern in Ihrer Umgebung ausgeführten Websites und Anwendungen benötigt werden. Dieser Ansatz minimiert die Serverfunktionalität und verringert die Angriffsfläche der einzelnen IIS-Server. Um die Angriffsfläche von IIS-Servern so klein wie möglich zu halten, sind nur notwendige Webdiensterweiterungen auf IIS-Servern in den drei in dieser Anleitung definierten Umgebungen aktiviert. In der folgenden Tabelle werden vordefinierte Webdiensterweiterungen aufgelistet und Informationen dazu bereitgestellt, wann die einzelnen Erweiterungen aktiviert werden sollten. Tabelle 9.7: Aktivieren von Webdiensterweiterungen
Ablegen von Inhalt auf einen ausgewiesenen DatenträgerDie Dateien für die Standardwebsites von IIS werden im Verzeichnis <systemroot>\inetpub\wwwroot abgelegt, wobei <systemroot> das Laufwerk ist, auf dem das Windows Server 2003-Betriebssystem installiert ist. In den drei in diesem Handbuch definierten Umgebungen sind alle Dateien und Ordner, die zu Websites und Anwendungen gehören, auf dedizierten, vom Betriebssystem getrennten Datenträgern abgelegt. Durch diesen Ansatz werden Directory-Traversal-Angriffe verhindert, bei denen ein Angreifer Anforderungen für eine Datei sendet, die sich außerhalb der Verzeichnisstruktur eines IIS-Servers befindet. Die Datei Cmd. exe befindet sich z. B. im Ordner <systemroot>System32. Ein Angreifer kann nun eine Anforderung an folgenden Speicherort senden: ..\..\Windows\system\cmd.exe um zu versuchen, die Eingabeaufforderung aufzurufen. Wenn sich der Websiteinhalt auf einem separaten Datenträger befindet, wäre ein solcher Directory-Traversal-Angriff aus zwei Gründen nicht ausführbar. Erstens wurden die Berechtigungen für Cmd.exe als Teil des Basisbuilds von Windows Server 2003 mit SP1 zurückgesetzt, wodurch der Zugriff auf eine viel kleinere Benutzergruppe begrenzt wird. Zweitens befindet sich die Datei Cmd.exe nicht auf dem gleichen Datenträger wie der Webstamm. Derzeit ist keine Methode bekannt, um mit einem solchen Angriff auf Befehle auf einem anderen Laufwerk zuzugreifen. Zusätzlich zu den Sicherheitsvorteilen sind Verwaltungsaufgaben wie das Sichern und Wiederherstellen leichter, wenn die Dateien und Ordner von Websites und Anwendungen auf einem dedizierten Datenträger gespeichert werden. Darüber hinaus kann der Einsatz eines separaten, dedizierten physischen Laufwerks Laufwerkskonflikte auf dem Systemdatenträger verringern und die Zugriffsleistung des Laufwerks insgesamt verbessern. Festlegen von NTFS-BerechtigungenComputer, auf denen Windows Server 2003 mit SP1 ausgeführt wird, überprüfen NTFS-Dateisystemberechtigungen, um die Zugriffstypen zu bestimmen, über die ein Benutzer oder ein Prozess in Bezug auf eine bestimmte Datei oder einen bestimmten Ordner verfügt. Sie sollten NTFS-Berechtigungen zuweisen, um bestimmten Benutzern Zugriff auf Websites zu gewähren oder zu verweigern, die sich auf IIS-Servern in den drei in dieser Anleitung definierten Umgebungen befinden. Die NTFS-Berechtigungen haben nur Auswirkungen auf die Konten, denen der Zugriff auf den Website- und Anwendungsinhalt gewährt oder verweigert wurde. NTFS-Berechtigungen sollten in Verbindung mit und nicht anstatt von Webberechtigungen verwendet werden. Die Websiteberechtigungen betreffen alle Benutzer, die auf die Website oder Anwendung zugreifen. Wenn die Webberechtigungen mit den NTFS-Berechtigungen für ein Verzeichnis oder eine Datei in Konflikt stehen, werden restriktivere Einstellungen angewendet. Sie sollten anonymen Konten explizit den Zugriff auf Websites und Anwendungen verweigern, für die kein anonymer Zugriff erwünscht ist. Anonymer Zugriff erfolgt, wenn ein Benutzer ohne Anmeldeinformationen auf Netzwerkressourcen zugreift. Anonyme Konten umfassen das vordefinierte Konto Gast, die Gruppe „Gäste“ sowie anonyme IIS-Konten. Entfernen Sie außerdem den Schreibzugriff sämtlicher Benutzer mit Ausnahme der IIS-Administratoren. Die folgende Tabelle enthält einige Empfehlungen zu NTFS-Berechtigungen, die den unterschiedlichen Dateitypen auf einem IIS-Server zugewiesen werden sollten. Die verschiedenen Dateitypen können in einzelnen Ordnern zusammengefasst werden, um das Anwenden von NTFS-Berechtigungen zu vereinfachen. Tabelle 9.8: Empfohlene Einstellungen für NTFS-Berechtigungen
Festlegen von IIS-WebsiteberechtigungenIIS überprüft Websiteberechtigungen, um die Aktionstypen zu bestimmen, die in einer Website auftreten können, wie z. B. Skriptzugriff oder Durchsuchen von Verzeichnissen. Zur Erhöhung der Sicherheit von Websites auf IIS-Servern in den drei in diesem Handbuch definierten Umgebungen sollten Sie Websiteberechtigungen zuweisen. Die Websiteberechtigungen können zusammen mit den NTFS-Berechtigungen verwendet und für spezifische Sites, Verzeichnisse und Dateien konfiguriert werden. Im Gegensatz zu NTFS-Berechtigungen werden Websiteberechtigungen auf jeden Benutzer angewendet, der versucht, auf eine auf einem IIS-Server ausgeführte Website zuzugreifen. Die Websiteberechtigungen können mithilfe des MMC-Snap-Ins „IIS-Manager“ angewendet werden. Die folgende Tabelle werden die von IIS 6.0 unterstützten Websiteberechtigungen aufgelistet und Informationen dazu bereitgestellt, wann die jeweilige Berechtigung einer Website zugewiesen werden sollte. Tabelle 9.9: IIS 6.0-Websiteberechtigungen
Konfigurieren der IIS-ProtokollierungMicrosoft empfiehlt in den drei in diesem Handbuch definierten Umgebungen das Aktivieren der IIS-Protokollierung auf IIS-Servern. Für jede Website oder Anwendung können einzelne Protokolle erstellt werden. Die Informationen der IIS-Protokollierung gehen über die vom Windows-Betriebssystem zur Verfügung gestellten Ereignisprotokoll- oder Leistungsüberwachungsfunktionen hinaus. Die IIS-Protokolle können Informationen, wie z. B. wer eine Site besucht hat, was der Besucher angezeigt hat und wann die Informationen zuletzt angezeigt wurden, enthalten. Die IIS-Protokolle können verwendet werden, um die Popularität des Inhalts zu bewerten, Informationsmängel aufzudecken oder Ressourcen für das Untersuchen von Angriffen zur Verfügung zu stellen. Das MMC-Snap-In „IIS-Manager“ kann für das Konfigurieren des Protokolldateiformats, des Protokollierungsplans und der zu protokollierenden Informationen verwendet werden. Um die Größe des Protokolls zu begrenzen, sollten Sie die zu protokollierenden Felder sorgfältig auswählen. Wenn die IIS-Protokollierung aktiviert ist, verwendet IIS das erweiterte W3C-Protokolldateiformat, um in dem für die Website im IIS-Manager angegebenen Verzeichnis tägliche Aktivitätsprotokolle zu erstellen. Zur Erhöhung der Serverleistung sollten Sie Protokolle auf einem systemfremden Stripeset-Datenträger oder gespiegelten Stripeset-Datenträger speichern. Protokolle können über das Netzwerk auch in einer Remotefreigabe gespeichert werden, indem ein vollständiger UNC-Pfad (Universal Naming Convention) verwendet wird. Eine Remoteprotokollierung ermöglicht Administratoren das Einrichten eines zentralen Speicher- und Sicherungsortes für Protokolldateien. Beim Speichern der Protokolldateien über das Netzwerk könnte jedoch die Serverleistung beeinträchtigt werden. Für die IIS-Protokollierung kann die Verwendung verschiedener ASCII- oder ODBC-Protokolldateiformate (Open Database Connectivity) festgelegt werden. ODBC-Protokolle können Aktivitätsinformationen in einer SQL-Datenbank speichern. Beachten Sie jedoch, dass der IIS-Dienst bei aktivierter ODBC-Protokollierung den Cache im Kernelmodus deaktiviert. Dadurch kann die gesamte Serverleistung beeinträchtigt werden. Für IIS-Server, die hunderte Sites hosten, kann die Protokollierungsleistung durch Aktivieren einer zentralen Binärprotokollierung verbessert werden. Die zentrale Binärprotokollierung ermöglicht allen Websites auf einem IIS-Server das Schreiben von Aktivitätsinformationen in eine einzelne Protokolldatei. Diese Methode kann die Verwaltung und Skalierbarkeit des IIS-Protokollierungsprozesses erheblich verbessern, da dadurch die Anzahl der Protokolle, die einzeln gespeichert und analysiert werden müssen, verringert wird. Weitere Informationen zur zentralen Binärprotokollierung finden Sie auf der Seite Zentrale IIS-Binärprotokollierung (in englischer Sprache) unter www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/13a4c0b5-686b-4766-8729-a3402da835f1.mspx. Wenn die IIS-Protokolle auf IIS-Servern gespeichert werden, verfügen standardmäßig nur Serveradministratoren über die Berechtigung, auf diese Protokolle zuzugreifen. Wenn ein Protokolldateiverzeichnis- oder Dateibesitzer nicht in der Gruppe Lokale Administratoren enthalten ist, gibt die Datei HTTP.sys (der Kernelmodustreiber in IIS 6.0) eine Fehlermeldung im NT-Ereignisprotokoll aus. Diese Fehlermeldung gibt an, dass der Besitzer des Verzeichnisses oder der Datei nicht in der Gruppe Lokale Administratoren enthalten ist und dass die Protokollierung für diese Site ausgesetzt wird, bis der Besitzer der Gruppe Lokale Administratoren hinzugefügt oder das vorhandene Verzeichnis oder die vorhandene Datei gelöscht wird. Manuelles Hinzufügen von eindeutigen Sicherheitsgruppen zu den Zuweisungen von BenutzerrechtenFür die meisten Zuweisungen von Benutzerrechten, die über die Richtlinie für die Mitgliedsserver-Baseline angewendet wurden, sind die richtigen Sicherheitsgruppen in den Sicherheitsvorlagen angegeben, die diesem Handbuch angefügt sind. Einige Konten und Sicherheitsgruppen konnten jedoch nicht in die Vorlagen aufgenommen werden, da ihre Sicherheits-IDs (SIDs) für einzelne Windows 2003-Domänen spezifisch sind. Zuweisungen von Benutzerrechten, die manuell konfiguriert werden müssen, sind in der folgenden Tabelle angegeben. Warnung: Die folgende Tabelle enthält Werte für das vordefinierte Administratorkonto. Verwechseln Sie das Administratorkonto nicht mit der vordefinierten Sicherheitsgruppe Administratoren. Wenn Sie die Sicherheitsgruppe Administratoren einem der nachfolgenden Benutzerrechte hinzufügen, die den Zugriff verweigern, müssen Sie sich lokal anmelden, um den Fehler zu beheben. Außerdem müssen Sie u. U. das vordefinierte Administratorkonto gemäß der Empfehlung in Kapitel 4, „Die Richtlinie für die Mitgliedsserver-Baseline“, umbenennen. Stellen Sie beim Hinzufügen des Administratorkontos zu den Benutzerrechten sicher, dass das umbenannte Konto angegeben wird. Tabelle 9.10: Manuell hinzugefügte Zuweisungen von Benutzerrechten
Wichtig: „Alle betriebssystemfremden Dienstkonten“ schließt Dienstkonten mit ein, die unternehmensweit für bestimmte Anwendungen verwendet werden. Dazu gehören allerdings NICHT die Konten LOKALES SYSTEM, LOKALER DIENST und NETZWERKDIENST (die vom Betriebssystem verwendeten vordefinierten Konten). Sichern von bekannten KontenWindows Server 2003 verfügt über eine Reihe vordefinierter Benutzerkonten, die nicht gelöscht, aber umbenannt werden können. Die zwei bekanntesten vordefinierten Konten in Windows Server 2003 sind die Konten „Gast“ und „Administrator“. Das Konto „Gast“ ist auf Mitgliedsservern und Domänencontrollern standardmäßig deaktiviert. Diese Konfiguration sollte nicht geändert werden. Viele verschiedene schädliche Codes verwenden das vordefinierte Administratorkonto bei einem ersten Versuch, einen Server anzugreifen. Daher sollten Sie das vordefinierte Administratorkonto umbenennen und seine Beschreibung ändern, damit sie Angriffen von Remoteservern vorbeugen und Angreifer dieses bekannte Konto nicht nutzen können. Die Auswirkung dieser Konfigurationsänderung hat sich in den letzten Jahren nach dem Auftreten von Angriffstools verringert, die durch Angabe der Sicherheits-ID (SID) des vordefinierten Administratorkontos dessen wahren Namen in Erfahrung bringen und dadurch Zugriff auf den Server erhalten. Eine Sicherheits-ID ist ein Wert, der jeden Benutzer, jede Gruppe, jedes Computerkonto und jede Anmeldesitzung bei einem Netzwerk eindeutig identifiziert. Die Sicherheits-ID dieses vordefinierten Kontos kann nicht geändert werden. Ihre Betriebsgruppen können allerdings versuchte Angriffe auf dieses Administratorkonto überwachen, wenn Sie es umbenennen und mit einem eindeutigen Namen versehen. So sichern Sie bekannte Konten auf IIS-Servern
Sichern von DienstkontenKonfigurieren Sie einen Dienst für die Ausführung im Sicherheitskontext eines Domänenkontos nur, wenn es sich nicht vermeiden lässt. Bei einem physischen Zugriff auf den Server könnten Domänenkontenkennwörter leicht durch Abbilden von geheimen LSA-Schlüsseln aufgedeckt werden. Weitere Informationen zum Sichern von Dienstkonten finden Sie im Planungshandbuch für die Dienste- und Dienstekontensicherheit (in englischer Sprache) unter www.microsoft.com/technet/security/topics/serversecurity/serviceaccount/default.mspx. Erstellen der Richtlinie mithilfe des SCWZum Bereitstellen der notwendigen Sicherheitseinstellungen müssen Sie sowohl den Sicherheitskonfigurations-Assistenten (SCW) sowie die im Rahmen der herunterladbaren Version dieses Handbuchs verfügbaren Sicherheitsvorlagen verwenden, um eine Serverrichtlinie zu erstellen. Wenn Sie Ihre eigene Richtlinie erstellen, müssen Sie die Abschnitte „Registrierungseinstellungen“ und „Überwachungsrichtlinie“ überspringen. Diese Einstellungen werden von den Sicherheitsvorlagen für die von Ihnen gewählte Umgebung bereitgestellt. Dieser Ansatz ist nötig um sicherzustellen, dass die in den Vorlagen angebotenen Richtlinienelemente Vorrang vor den vom SCW konfigurierten Elementen haben. Es empfiehlt sich, das Betriebssystem zu Beginn der Konfigurationsarbeit neu zu installieren. Dadurch wird sichergestellt, dass keine älteren Einstellungen oder Software von früheren Konfigurationen verwendet werden. Wenn möglich, sollten Sie ähnliche Hardware wie in Ihrer Bereitstellungsumgebung verwenden, um eine möglichst hohe Kompatibilität zu gewährleisten. Die neue Installation wird als Referenzcomputer bezeichnet. So erstellen Sie die IIS-Serverrichtlinie
Testen der Richtlinie mithilfe des SCWNach dem Erstellen und Speichern der Richtlinie empfiehlt es sich unbedingt, sie in Ihrer Testumgebung bereitzustellen. Im Idealfall werden Ihre Testserver die gleiche Hardware- und Softwarekonfiguration wie Ihre Produktionsserver aufweisen. Mit diesem Ansatz können Sie mögliche Probleme, wie etwa das Vorhandensein unerwarteter Dienste, die von bestimmten Hardwaregeräten benötigt werden, ermitteln und beheben. Zum Testen der Richtlinie gibt es zwei Möglichkeiten. Sie können die standardmäßigen SCW-Bereitstellungsgeräte verwenden oder mithilfe eines Gruppenrichtlinienobjekts Richtlinien anwenden. Beim Verfassen der Richtlinien sollten Sie zunächst die Verwendung der standardmäßigen SCW-Bereitstellungsgeräte in Betracht ziehen. Sie können eine Richtlinie mit dem SCW jeweils auf einen einzelnen Server oder mithilfe von Scwcmd auf eine ganze Servergruppe anwenden. Mithilfe der standardmäßigen Bereitstellungsmethode können Sie aus SCW bereitgestellte Richtlinien einfach zurücknehmen. Dies erweist sich als außerordentlich nützlich, wenn Sie im Testverfahren mehrere Änderungen an Ihren Richtlinien vornehmen. Die Richtlinie wird getestet, um sicherzustellen, dass ihre Anwendung auf den Zielservern keine negativen Auswirkungen auf wichtige Funktionen hat. Nach Übernahme der Konfigurationsänderungen müssen Sie zunächst die Kernfunktionalität des Computers überprüfen. Ist der Server z. B. als Zertifizierungsstelle (CA) konfiguriert, müssen Sie sicherstellen, dass Clients Zertifikate anfordern und erhalten bzw. eine Zertifikatsperrliste herunterladen können usw. Wenn Sie mit der Konfiguration von Richtlinien vertraut sind, können Sie Scwcmd verwenden, um wie im folgenden Verfahren veranschaulicht die Richtlinien in Gruppenrichtlinienobjekte umzuwandeln. Weitere Informationen zum Testen von SCW-Richtlinien finden Sie im Deployment Guide for the Security Configuration Wizard unter www.microsoft.com/technet/prodtechnol/windowsserver2003/library/SCWDeploying/5254f8cd-143e-4559-a299-9c723b366946.mspxsowie in der Security Configuration Wizard Documentation unter http://go.microsoft.com/fwlink/?linkid=43450 (jeweils in englischer Sprache). Umwandeln und Bereitstellen der RichtlinieNachdem Sie die Richtlinie gründlich getestet haben, führen Sie folgende Schritte aus, um sie in ein Gruppenrichtlinienobjekt umzuwandeln und bereitzustellen:
Beachten Sie, dass für eine erfolgreiche Durchführung dieses Verfahrens die Windows-Firewall auf dem lokalen Computer aktiviert sein muss, wenn die SCW-Sicherheitsrichtliniendatei Windows-Firewall-Einstellungen enthält. Um zu überprüfen, ob die Windows-Firewall aktiviert ist, öffnen Sie die Systemsteuerung, und doppelklicken Sie auf Windows-Firewall. Anschließend sollten Sie eine endgültige Prüfung vornehmen, um sicherzustellen, dass das Gruppenrichtlinienobjekt die gewünschten Einstellungen anwendet. Prüfen Sie zum Abschluss dieses Verfahrens, dass die entsprechenden Einstellungen vorgenommen wurden und die Funktionalität nicht beeinträchtigt ist. ZusammenfassungIn diesem Kapitel wurden die Richtlinieneinstellungen behandelt, die in den drei in diesem Handbuch definierten Umgebungen für die Absicherung von IIS-Servern verwendet werden können, auf denen Windows Server 2003 mit SP1 ausgeführt wird. Die meisten Einstellungen werden über ein Gruppenrichtlinienobjekt angewendet, das zur Unterstützung der Richtlinie für die Mitgliedsserver-Baseline entwickelt wurde. Gruppenrichtlinienobjekte können zur Erhöhung der Sicherheit mit den jeweiligen die IIS-Server enthaltenden Organisationseinheiten verknüpft werden. Einige der erörterten Einstellungen können nicht über Gruppenrichtlinien angewendet werden. Für diese Einstellungen wurden Informationen für die manuelle Konfiguration bereitgestellt. Weitere InformationenDie folgenden Links bieten zusätzliche Informationen zur Absicherung von IIS-Servern, auf denen Windows Server 2003 mit SP1 ausgeführt wird.
|
In diesem Beitrag
|
