Windows Server 2003-Sicherheitshandbuch

  • Artikel

Kapitel 9: Die Webserverrolle

Aktualisiert: 27.12.2005

Auf dieser Seite

Überblick
Anonymer Zugriff und die Einstellungen für Hochsicherheitsumgebungen
Einstellungen für Überwachungsrichtlinien
Zuweisen von Benutzerrechten
Sicherheitsoptionen
Ereignisprotokolleinstellungen
Zusätzliche Sicherheitseinstellungen
Erstellen der Richtlinie mithilfe des SCW
Zusammenfassung

Überblick

Dieses Kapitel enthält Anleitungen zur Absicherung der Webserver in Ihrer Umgebung, auf denen Microsoft® Windows Server™ 2003 mit SP1 ausgeführt wird. Um eine umfassende Sicherheit für die Webserver und Anwendungen im Intranet ihrer Organisation zu gewährleisten, sollten Sie jeden IIS-Server (Microsoft Internet Information Services) sowie jede Website und jede Anwendung, die auf diesen Servern von Clientcomputern aus ausgeführt werden, schützen. Die Websites und Anwendungen sollten auch vor den Websites und Anwendungen geschützt werden, die auf den anderen IIS-Servern im Intranet ihrer Organisation ausgeführt werden.

Zum Schutz vor böswilligen Benutzern und Angreifern wird IIS von der Standardkonfiguration für Mitglieder der Windows Server 2003-Produktfamilie nicht installiert. Im Falle einer Installation wird IIS in einem hochsicheren „gesperrten“ Modus installiert. IIS sichert z. B. standardmäßig nur statischen Inhalt. Funktionen wie Active Server Pages (ASP), ASP.NET, Server Side Includes (SSI), WebDAV-Veröffentlichungen (Web Distributed Authoring und Versioning) und Microsoft FrontPage®-Servererweiterungen können aufgrund der Gefahr ihrer Ausnutzung durch Angreifer nur verwendet werden, wenn ein Administrator sie aktiviert. Diese Funktionen und Dienste können über den Webdiensterweiterungsknoten im IIS-Manager aktiviert werden. Der IIS-Manager verfügt über eine grafische Benutzeroberfläche, die die Verwaltung von IIS vereinfacht. Sie enthält Ressourcen für die Dateiverwaltung, die Verzeichnisverwaltung, die Konfiguration von Anwendungspools sowie für Sicherheits-, Leistungs- und Zuverlässigkeitsfunktionen.

Sie sollten eine Implementierung der in den folgenden Abschnitten dieses Kapitels beschriebenen Einstellungen in Betracht ziehen, um die Sicherheit von IIS-Webservern, die HTML-Inhalt im Intranet Ihrer Organisation hosten, zu erhöhen. Zur Erhöhung der Sicherheit der Server sollten Sie auch Verfahren zur Sicherheitsüberwachung, -erkennung und -reaktion implementieren, um gegen neue Bedrohungen gewappnet zu sein.

Die meisten Einstellungen in diesem Kapitel werden durch Gruppenrichtlinien konfiguriert und angewendet. Ein inkrementelles Gruppenrichtlinienobjekt, das die Richtlinie für die Mitgliedsserver-Baseline unterstützt, wird mit den jeweiligen Organisationseinheiten verknüpft, um zusätzliche Sicherheit für die Webserver zu gewährleisten. Um dieses Kapitel überschaubarer zu gestalten, werden hier nur die Richtlinieneinstellungen behandelt, die von der Richtlinie für die Mitgliedsserver-Baseline abweichen.

Sofern möglich, werden diese Richtlinieneinstellungen in einer inkrementellen Gruppenrichtlinienvorlage gesammelt, die auf die Webserver-Organisationseinheit angewendet wird. Einige Einstellungen in diesem Kapitel können nicht durch Gruppenrichtlinien angewendet werden. Ausführliche Informationen zur Konfiguration dieser manuellen Einstellungen werden bereitgestellt.

Die folgende Tabelle enthält die Namen der Sicherheitsvorlagen der Webserver für die drei in diesem Handbuch definierten Umgebungen. Diese Sicherheitsvorlagen für Webserver enthalten die Richtlinieneinstellungen für die inkrementelle Webservervorlage. Sie können diese Vorlage zum Erstellen eines neuen Gruppenrichtlinienobjekts verwenden, das mit der Webserver-Organisationseinheit in der jeweiligen Umgebung verknüpft ist. In Kapitel 2, „Absicherungsmechanismen von Windows Server 2003“, finden Sie ausführliche Anweisungen zum Erstellen der Organisationseinheiten und Gruppenrichtlinien und zum darauf folgenden Import in die jeweilige Sicherheitsvorlage der einzelnen Gruppenrichtlinienobjekte.

Tabelle 9.1: Sicherheitsvorlagen für IIS-Server

Älterer Client

Unternehmensclient

Hochsicher (SSLF)

Älterer Client - Webserver.inf

Unternehmensclient - Webserver.inf

Hochsicher - Webserver.inf

Weitere Informationen zu allen Standardeinstellungskonfigurationen finden Sie im Begleithandbuch Bedrohungen und Gegenmaßnahmen: Sicherheitseinstellungen unter Windows Server 2003 und Windows XP, das unter https://www.microsoft.com/germany/technet/sicherheit/topics/serversecurity/tcg/tcgch00.mspx verfügbar ist.

In diesem Handbuch wird dargestellt, wie IIS mit minimalen Funktionen installiert und aktiviert wird. Wenn Sie zusätzliche Funktionen in IIS verwenden möchten, müssen Sie möglicherweise einige Sicherheitseinstellungen anpassen. Wenn Sie zusätzliche Dienste wie z. B. SMTP, FTP oder NNTP installieren, müssen die bereitgestellten Vorlagen und Richtlinien angepasst werden.

Im Onlineartikel „IIS und vordefinierte Konten (IIS 6.0)“ (in englischer Sprache) unter www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/3648346f-e4f5-474b-86c7-5a86e85fa1ff.mspx werden die Konten erklärt, die von den unterschiedlichen IIS-Funktionen verwendet werden, sowie die jeweils erforderlichen Berechtigungen. Um sicherere Einstellungen auf Webservern zu erzielen, auf denen komplexe Anwendungen zur Verfügung gestellt werden, sollten Sie sich die komplette IIS 6.0-Dokumentation (in englischer Sprache) unter https://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/848968f3-baa0-46f9-b1e6-ef81dd09b015.mspx durchlesen.

Zum Seitenanfanq

Anonymer Zugriff und die Einstellungen für Hochsicherheitsumgebungen

Vier der Benutzerrechte, die explizit im Hochsicherheitsszenario in der Richtlinie für die Mitgliedsserver-Baseline definiert sind, dienen dem Schutz vor anonymem Zugriff auf IIS-Websites. Wenn Sie jedoch den anonymen Zugriff in einer Hochsicherheitsumgebung erlauben müssen, müssen Sie wichtige Änderungen an der Organisationseinheitenstruktur und den Gruppenrichtlinienobjekten vornehmen, die in den Kapiteln 2, 3 und 4 dieses Handbuchs beschrieben sind. Sie müssen dann eine neue Organisationseinheit erstellen, die nicht Teil der Hierarchie unter den Mitgliedsserver-Organisationseinheiten ist. Diese Organisationseinheit könnte direkt mit dem Domänenstamm verknüpft werden oder anderen Organisationseinheiten einer Hierarchie untergeordnet werden. Sie sollten jedoch in einem Gruppenrichtlinienobjekt, das Auswirkungen auf die in diese neue Organisationseinheit platzierten IIS-Server hat, keine Benutzerrechte zuweisen. Sie können die IIS-Server in die neue Organisationseinheit verschieben, ein neues Gruppenrichtlinienobjekt erstellen, die Richtlinie für die Mitgliedsserver-Baseline darauf anwenden und danach die Zuweisungen für die Benutzerrechte neu konfigurieren, damit sie von der lokalen Richtlinie und nicht vom domänenbasierten Gruppenrichtlinienobjekt gesteuert werden. Sie sollten also die folgenden Benutzerrechte in diesem neuen Gruppenrichtlinienobjekt auf Nicht definiert setzen.

  • Auf diesen Computer vom Netzwerk aus zugreifen

  • Lokal anmelden zulassen

  • Auslassen der durchsuchenden Prüfung

  • Anmelden als Stapelverarbeitungsauftrag

Durch die zu aktivierenden IIS-Funktionen wird festgelegt, ob Sie auch andere Einstellungen für die Zuweisung von Benutzerrechten auf Nicht definiert setzen müssen.

Zum Seitenanfanq

Einstellungen für Überwachungsrichtlinien

Die Einstellungen für Überwachungsrichtlinien für IIS-Server in den drei in diesem Handbuch definierten Umgebungen werden über die Richtlinie für die Mitgliedsserver-Baseline konfiguriert. Weitere Informationen zur Richtlinie für die Mitgliedsserver-Baseline finden Sie in Kapitel 4, „Die Richtlinie für die Mitgliedsserver-Baseline“. Durch die Einstellungen der Richtlinie für die Mitgliedsserver-Baseline wird sichergestellt, dass alle relevanten Sicherheitsüberwachungsinformationen auf sämtlichen IIS-Servern protokolliert werden.

Zum Seitenanfanq

Zuweisen von Benutzerrechten

Die Einstellungen für die Zuweisung von Benutzerrechten für IIS-Server in den drei in diesem Handbuch definierten Umgebungen werden über die Richtlinie für die Mitgliedsserver-Baseline konfiguriert. Weitere Informationen zur Richtlinie für die Mitgliedsserver-Baseline finden Sie in Kapitel 4, „Die Richtlinie für die Mitgliedsserver-Baseline“. Durch die Einstellungen der Richtlinie für die Mitgliedsserver-Baseline wird sichergestellt, dass alle relevanten Sicherheitsüberwachungsinformationen auf sämtlichen IIS-Servern protokolliert werden.

Zum Seitenanfanq

Sicherheitsoptionen

Die Sicherheitsoptionseinstellungen für IIS-Server in den drei in diesem Handbuch definierten Umgebungen werden über die Richtlinie für die Mitgliedsserver-Baseline konfiguriert. Weitere Informationen zur Richtlinie für die Mitgliedsserver-Baseline finden Sie in Kapitel 4, „Die Richtlinie für die Mitgliedsserver-Baseline“. Durch die Einstellungen der Richtlinie für die Mitgliedsserver-Baseline wird sichergestellt, dass alle relevanten Sicherheitsoptionen auf sämtlichen IIS-Servern einheitlich konfiguriert werden.

Zum Seitenanfanq

Ereignisprotokolleinstellungen

Die Ereignisprotokolleinstellungen für IIS-Server in den drei in diesem Handbuch definierten Umgebungen werden über die Richtlinie für die Mitgliedsserver-Baseline konfiguriert. Weitere Informationen zur Richtlinie für die Mitgliedsserver-Baseline finden Sie in Kapitel 4, „Die Richtlinie für die Mitgliedsserver-Baseline“. Durch die Einstellungen der Richtlinie für die Mitgliedsserver-Baseline wird sichergestellt, dass die entsprechenden Ereignisprotokolleinstellungen auf allen IIS-Servern in einer Organisation einheitlich konfiguriert sind.

Zum Seitenanfanq

Zusätzliche Sicherheitseinstellungen

Ist IIS auf einem Computer unter Windows Server 2003 mit SP1 installiert, dann lässt die Standardeinstellung nur die Übertragung von statischem Webinhalt zu. Wenn Websites und Anwendungen dynamischen Inhalt enthalten oder eine oder mehrere zusätzliche IIS-Komponenten erfordern, muss jede zusätzliche IIS-Funktion einzeln aktiviert werden. Sie sollten darauf achten, dass Sie die Angriffsfläche der einzelnen IIS-Server Ihrer Umgebung minimieren. Wenn die Websites in Ihrer Organisation aus statischem Inhalt bestehen und keine weiteren IIS-Komponenten benötigen, ist die Standard-IIS-Konfiguration ausreichend, um die Angriffsfläche der IIS-Server zu minimieren.

Die Sicherheitseinstellungen, die durch die Richtlinie für die Mitgliedsserver-Baseline bereitgestellt werden, bieten eine deutlich erhöhte Sicherheit für IIS-Server. Es gilt jedoch noch einige zusätzliche Einstellungen zu beachten. Die Einstellungen in den folgenden Abschnitten können nicht über die Gruppenrichtlinie implementiert werden und müssen daher auf allen IIS-Servern manuell vorgenommen werden.

Installieren der notwendigen IIS-Komponenten

IIS 6.0 enthält neben dem WWW-Publishingdienst noch andere Komponenten und Dienste, wie z. B. Dienste zur Bereitstellung von FTP, NNTP und SMTP. Die IIS-Komponenten und -Dienste werden mithilfe des Assistenten für Windows-Komponenten installiert und aktiviert. Dieser kann über die Systemsteuerung und die Option „Software“ gestartet werden. Nach der Installation von IIS müssen Sie alle IIS-Komponenten und -Dienste aktivieren, die von Ihren Websites und Anwendungen benötigt werden.

So installieren Sie Internet Information Services (IIS) 6.0

  1. Doppelklicken Sie in der Systemsteuerung auf Software.

  2. Klicken Sie auf die Schaltfläche Windows-Komponenten hinzufügen/entfernen, um den Assistenten für Windows-Komponenten aufzurufen.

  3. Klicken Sie in der Liste Komponenten auf Anwendungsserver und anschließend auf Details.

  4. Klicken Sie im Dialogfeld Anwendungsserver unter Unterkomponenten des Anwendungsservers auf Internetinformationsdienste (IIS) und anschließend auf Details.

  5. Führen Sie im Dialogfeld Internetinformationsdienste (IIS) in der Liste Unterkomponenten der Internetinformationsdienste (IIS) einen der folgenden Schritte aus:

    • Zum Hinzufügen optionaler Komponenten aktivieren Sie das Kontrollkästchen neben der zu installierenden Komponente.

    • Zum Entfernen optionaler Komponenten deaktivieren Sie das Kontrollkästchen neben der zu entfernenden Komponente.

  6. Klicken Sie auf OK, bis Sie zum Assistenten für Windows-Komponenten zurückgekehrt sind.

  7. Klicken Sie auf Weiter und anschließend auf Fertig stellen.

Sie sollten nur die grundlegenden IIS-Komponenten und -Dienste aktivieren, die von Websites und Anwendungen benötigt werden. Wenn Sie unnötige Komponenten und Dienste aktivieren, wird die Angriffsfläche eines IIS-Servers erhöht. In den folgenden Abbildungen und Tabellen werden Ort und empfohlene Einstellungen für IIS-Komponenten dargestellt.

Die folgende Abbildung zeigt die Unterkomponenten im Dialogfeld Anwendungsserver:

Abbildung 9.1: Dialogfeld „Anwendungsserver“ mit Liste der Unterkomponenten
Bild in voller Größe anzeigen
In der folgenden Tabelle werden die Unterkomponenten des Anwendungsservers kurz beschrieben und Empfehlungen gegeben, wann sie aktiviert werden sollten.

Tabelle 9.2: Empfohlene Einstellungen für die Unterkomponenten des Anwendungsservers

Name der Komponente in der Benutzeroberfläche

Einstellung

Einstellungslogik

Anwendungsserverkonsole

Deaktiviert

Bietet ein MMC-Snap-In (Microsoft Management Console), mit dem Sie alle Komponenten des Webanwendungsservers verwalten können. Diese Komponente ist auf einem dedizierten IIS-Server nicht erforderlich, da der IIS-Server-Manager verwendet werden kann.

ASP.NET

Deaktiviert

Bietet Unterstützung für ASP.NET-Anwendungen. Aktivieren Sie diese Komponente, wenn ein IIS-Server ASP.NET-Anwendungen ausführt.

COM+-Netzwerkzugriff aktivieren

Aktiviert

Ermöglicht einem IIS-Server, für verteilte Anwendungen als Host von COM+-Komponenten zu fungieren. Diese Komponente ist u. a. für FTP, BITS-Servererweiterungen, WWW-Dienst und IIS-Manager erforderlich.

DTC-Netzwerkzugriff aktivieren

Deaktiviert

Ermöglicht einem IIS-Server, als Host für Anwendungen zu fungieren, die an Netzwerkübertragungen über Distributed Transaction Coordinator (DTC) teilnehmen. Deaktivieren Sie diese Komponente, es sei denn, sie ist für die auf dem IIS-Server ausgeführten Anwendungen erforderlich.

Internetinformationsdienste (IIS)

Aktiviert

Bietet Web- und FTP-Basisdienste. Diese Komponente ist für dedizierte IIS-Server erforderlich.

Hinweis: Wenn diese Komponente nicht aktiviert ist, sind alle Unterkomponenten deaktiviert.

Message Queuing

Deaktiviert

Microsoft Message Queuing (MSMQ) bietet eine Middleware-Schicht für Nachrichtenrouting, Speicherung und Weiterleitung für Webanwendungen von Unternehmen.

Die folgende Abbildung zeigt die Unterkomponenten im Dialogfeld Internetinformationsdienste (IIS):

Abbildung 9.2: Dialogfeld „Internetinformationsdienste (IIS)“ mit Liste der Unterkomponenten
Bild in voller Größe anzeigen
In der folgenden Tabelle werden die Unterkomponenten des IIS-Servers kurz beschrieben und Empfehlungen gegeben, wann diese aktiviert werden sollten.

Tabelle 9.3: Empfohlene Einstellungen für die Unterkomponenten des IIS-Servers

Name der Komponente in der Benutzeroberfläche

Einstellung

Einstellungslogik

Servererweiterungen des Background Intelligent Transfer Service (BITS)

Deaktiviert

Mithilfe der BITS-Servererweiterung kann der BITS auf den Clients im Hintergrund Dateien auf den Server hochladen. Sind die Clients mit einer Anwendung ausgestattet, die den BITS zum Hochladen von Dateien auf diesen Server verwendet, müssen Sie die BITS-Servererweiterung aktivieren und konfigurieren. Andernfalls sollten Sie sie deaktiviert lassen. Beachten Sie, dass es bei Windows Update, Microsoft Update, SUS, WSUS und Automatische Updates nicht nötig ist, diese Komponente auszuführen. Sie erfordern die BITS-Clientkomponente, die nicht zu IIS gehört.

Gemeinsame Dateien

Aktiviert

Für IIS sind diese Dateien erforderlich. Daher müssen sie auf IIS-Servern immer aktiviert sein.

FTP-Dienst (File Transfer Protocol)

Deaktiviert

Ermöglicht IIS-Servern das Bereitstellen von FTP-Diensten. Dieser Dienst ist für dedizierte IIS-Server nicht erforderlich.

FrontPage 2002-Servererweiterungen

Deaktiviert

Bietet Frontpage-Support zum Verwalten und Veröffentlichen von Websites. Deaktivieren Sie diesen Dienst auf dedizierten IIS-Servern, wenn von Websites keine FrontPage-Erweiterungen verwendet werden.

Internetinformationsdienste-Manager

Aktiviert

Administrative Schnittstelle für IIS

Internetdrucken

Deaktiviert

Bietet eine webbasierte Druckerverwaltung und ermöglicht die gemeinsame Verwendung von Druckern über HTTP. Diese Komponente ist für dedizierte IIS-Server nicht erforderlich.

NNTP-Dienst

Deaktiviert

Verteilt Artikel über Usenet-Neuigkeiten, fordert diese Artikel an, ruft sie ab oder stellt sie ins Internet. Diese Komponente ist für dedizierte IIS-Server nicht erforderlich.

SMTP-Dienst

Deaktiviert

Unterstützt die Übertragung von elektronischer Post. Diese Komponente ist für dedizierte IIS-Server nicht erforderlich.

WWW-Dienst

Aktiviert

Stellt Clients Webdienste sowie statische und dynamische Inhalte zur Verfügung. Diese Komponente ist für dedizierte IIS-Server erforderlich.

Die folgende Abbildung zeigt die Unterkomponenten im Dialogfeld Message Queuing:

Abbildung 9.3: Dialogfeld „Message Queuing“ mit Liste der Unterkomponenten
Bild in voller Größe anzeigen
In der folgenden Tabelle werden die Unterkomponenten des Message Queuing kurz beschrieben und Empfehlungen gegeben, wann diese aktiviert werden sollten.

Tabelle 9.4: Empfohlene Einstellungen für die Unterkomponenten des Message Queuing

Name der Komponente in der Benutzeroberfläche

Installationsoption

Einstellungslogik

Active Directory-Integration

Deaktiviert

Bietet Integration mit dem Verzeichnisdienst Active Directory®, wenn ein IIS-Server einer Domäne angehört. Diese Komponente ist erforderlich, wenn Websites und Anwendungen, die auf IIS-Servern ausgeführt werden, Microsoft Message Queuing (MSMQ) verwenden.

Allgemein

Deaktiviert

Diese Komponente ist erforderlich, wenn Websites und Anwendungen, die auf IIS-Servern ausgeführt werden, MSMQ verwenden.

Unterstützung für kompatiblen Client

Deaktiviert

Bietet Zugriff auf Active Directory sowie Standorterkennung für kompatible Clients. Diese Komponente ist erforderlich, wenn die Websites und Anwendungen eines IIS-Servers MSMQ verwenden.

HTTP-Unterstützung für MSMQ

Deaktiviert

Ermöglicht das Senden und Empfangen von Nachrichten über den HTTP-Transport. Diese Komponente ist erforderlich, wenn die Websites und Anwendungen eines IIS-Servers MSMQ verwenden.

Routingunterstützung

Deaktiviert

Bietet Nachrichtenübermittlung im Store-and-Forward-Betrieb (Speichern und Weiterleiten) sowie effiziente Routingdienste. Diese Komponente ist erforderlich, wenn Websites und Anwendungen, die auf IIS-Servern ausgeführt werden, MSMQ verwenden.

Auslöser

Deaktiviert

Verknüpft die Ankunft eingehender Nachrichten bei einer Warteschlange mit der Funktionalität in einer COM-Komponente oder einem eigenständigen ausführbaren Programm.

Die folgende Abbildung zeigt die Unterkomponenten des Dialogfelds Servererweiterungen des Background Intelligent Transfer Service (BITS):

Abbildung 9.4: BITS-Servererweiterungen mit Liste der Unterkomponenten
Bild in voller Größe anzeigen
In der folgenden Tabelle werden die Unterkomponenten der BITS-Servererweiterungen kurz beschrieben und Empfehlungen gegeben, wann diese aktiviert werden sollten.

Tabelle 9.5: Empfohlene Einstellungen für die Unterkomponenten der BITS-Servererweiterungen

Name der Komponente in der Benutzeroberfläche

Installationsoption

Einstellungslogik

BITS-Verwaltungskonsolen-Snap-In

Deaktiviert

Installiert ein MMC-Snap-In zur Verwaltung von BITS. Aktivieren Sie diese Komponente, wenn die BITS-Servererweiterung für ISAPI (Internet Server Application Programming Interface, Anwendungsprogrammierschnittstelle für den Internetserver) aktiviert ist.

BITS-Servererweiterungs-ISAPI

Deaktiviert

Installiert die ISAPI für BITS, damit ein IIS-Server Daten mithilfe von BITS übertragen kann. Mithilfe der BITS-Servererweiterungen kann der BITS auf den Clients im Hintergrund Dateien auf den Server hochladen. Sind die Clients mit einer Anwendung ausgestattet, die den BITS zum Hochladen von Dateien auf diesen Server verwendet, müssen Sie die BITS-Servererweiterung aktivieren und konfigurieren. Andernfalls sollten Sie sie deaktiviert lassen. Beachten Sie, dass es bei Windows Update, Microsoft Update, SUS, WSUS und Automatische Updates nicht nötig ist, diese Komponente auszuführen. Sie erfordern die BITS-Clientkomponente, die nicht zu IIS gehört.

Die folgende Abbildung zeigt die Unterkomponenten im Dialogfeld WWW-Dienst:

Abbildung 9.5: Dialogfeld „WWW-Dienst“ mit Liste der Unterkomponenten
Bild in voller Größe anzeigen
In der folgenden Tabelle werden die Unterkomponenten des WWW-Dienstes kurz beschrieben und Empfehlungen gegeben, wann diese aktiviert werden sollten.

Tabelle 9.6: Empfohlene Einstellungen der Unterkomponenten des WWW-Dienstes

Name der Komponente in der Benutzeroberfläche

Installationsoption

Einstellungslogik

Active Server Pages

Deaktiviert

Bietet Unterstützung für ASP. Deaktivieren Sie diese Komponente, wenn keine Websites oder Anwendungen auf den IIS-Servern ASP verwenden, oder deaktivieren Sie sie mithilfe der Webdiensterweiterungen. Weitere Informationen finden Sie im Abschnitt „Aktivieren von notwendigen Webdiensterweiterungen“ in diesem Kapitel.

Internetdaten-Connector

Deaktiviert

Bietet Unterstützung für dynamischen Inhalt, der durch Dateien mit der Erweiterung.idc bereitgestellt wird. Deaktivieren Sie diese Komponente, wenn keine Websites oder Anwendungen auf den IIS-Servern Dateien mit der Erweiterung.idc enthalten, oder deaktivieren Sie sie mithilfe der Webdiensterweiterungen. Weitere Informationen finden Sie im Abschnitt „Aktivieren von notwendigen Webdiensterweiterungen“ in diesem Kapitel.

Remoteverwaltung (HTML)

Deaktiviert

Bietet eine HTML-Schnittstelle zur Verwaltung von IIS. Verwenden Sie stattdessen den IIS-Manager, um die Verwaltung zu erleichtern und die Angriffsfläche eines IIS-Servers zu verringern. Diese Funktion ist für dedizierte IIS-Server nicht erforderlich.

Remotedesktop-Webverbindung

Deaktiviert

Umfasst Steuerungs- und Beispielseiten für Microsoft ActiveX®, um Clientverbindungen für Terminaldienste im Web zu hosten. Verwenden Sie stattdessen den IIS-Manager, um die Verwaltung zu erleichtern und die Angriffsfläche eines IIS-Servers zu verringern. Diese Komponente ist auf einem dedizierten IIS-Server nicht erforderlich.

Serverseitige Includes

Deaktiviert

Bietet Unterstützung für.shtm-,.shtml- und.stm-Dateien. Deaktivieren Sie diese Komponenten, wenn keine Websites oder Anwendungen, die auf dem IIS-Server ausgeführt werden, eingebundene Dateien mit diesen Erweiterungen verwenden.

WebDAV

Deaktiviert

WebDAV erweitert das HTTP/1.1-Protokoll, sodass Clients Ressourcen im Web veröffentlichen, sperren und verwalten können. Deaktivieren Sie diese Komponente auf dedizierten IIS-Servern, oder deaktivieren Sie sie mithilfe der Webdiensterweiterungen. Weitere Informationen finden Sie im Abschnitt „Aktivieren von notwendigen Webdiensterweiterungen“ in diesem Kapitel.

WWW-Dienst

Aktiviert

Stellt Clients Webdienste sowie statische und dynamische Inhalte zur Verfügung. Diese Komponente ist für dedizierte IIS-Server erforderlich.

Aktivieren von notwendigen Webdiensterweiterungen

Viele Websites und Anwendungen, die auf IIS-Servern ausgeführt werden, weisen erweiterte Funktionen auf, die über statische Seiten hinaus gehen, einschließlich der Möglichkeit zum Erzeugen dynamischer Inhalte. Jeder dynamische Inhalt, der über Funktionen bereitgestellt oder erweitert wird, die von einem IIS-Server zur Verfügung gestellt werden, wird mithilfe von Webdiensterweiterungen verarbeitet.

Die erweiterten Sicherheitsfunktionen in IIS 6.0 ermöglichen das Aktivieren oder Deaktivieren einzelner Webdiensterweiterungen. Wie bereits erwähnt, übertragen IIS-Server nach einer neuen Installation nur statischen Inhalt. Die dynamischen Inhaltmöglichkeiten können über den Webdiensterweiterungs-Knoten im IIS-Manager aktiviert werden. Diese Erweiterungen umfassen ASP.NET, SSI, WebDAV und die FrontPage-Servererweiterungen.

Um höchstmögliche Kompatibilität mit vorhandenen Anwendungen sicherzustellen, können alle Webdiensterweiterungen aktiviert werden. Dabei handelt es sich aber auch um die Methode mit dem höchsten Sicherheitsrisiko, da die Angriffsfläche von IIS erhöht wird. Sie sollen nur jene Webdiensterweiterungen aktivieren, die von den auf IIS-Servern in Ihrer Umgebung ausgeführten Websites und Anwendungen benötigt werden. Dieser Ansatz minimiert die Serverfunktionalität und verringert die Angriffsfläche der einzelnen IIS-Server.

Um die Angriffsfläche von IIS-Servern so klein wie möglich zu halten, sind nur notwendige Webdiensterweiterungen auf IIS-Servern in den drei in dieser Anleitung definierten Umgebungen aktiviert.

In der folgenden Tabelle werden vordefinierte Webdiensterweiterungen aufgelistet und Informationen dazu bereitgestellt, wann die einzelnen Erweiterungen aktiviert werden sollten.

Tabelle 9.7: Aktivieren von Webdiensterweiterungen

Webdiensterweiterung

Bedingungen für die Aktivierung

Active Server Pages

Mindestens eine Website oder Anwendung, die auf IIS-Servern ausgeführt wird, enthält ASP-Inhalt.

ASP.NET v1.1.4322

Mindestens eine Website oder Anwendung, die auf IIS-Servern ausgeführt wird, enthält ASP.NET-Inhalt.

Alle unbekannten CGI-Erweiterungen

Mindestens eine Website oder Anwendung, die auf IIS-Servern ausgeführt wird, enthält CGI-Inhalt.

Alle unbekannten ISAPI-Erweiterungen

Mindestens eine Website oder Anwendung, die auf IIS-Servern ausgeführt wird, enthält ISAPI-Erweiterungsinhalt.

FrontPage-Servererweiterungen 2002

Mindestens eine Website, die auf IIS-Servern ausgeführt wird, verwendet FrontPage-Erweiterungen.

Internetdaten-Connector (IDC)

Mindestens eine Website oder Anwendung, die auf IIS-Servern ausgeführt wird, verwendet IDC zum Anzeigen von Datenbankinformationen (dieser Inhalt umfasst.idc- und.idx-Dateien).

Serverseitige Includes (SSI)

Mindestens eine Website, die auf IIS-Servern ausgeführt wird, verwendet SSI-Anweisungen, um IIS-Server anzuweisen, wiederverwendbaren Inhalt (z. B. eine Navigationsleiste, eine Kopf- oder Fußzeile) in verschiedene Webseiten einzufügen.

WebDAV (Web Distributed Authoring and Versioning)

WebDAV-Unterstützung ist auf IIS-Servern für Clients erforderlich, damit diese Webressourcen transparent veröffentlichen und verwalten können.

Ablegen von Inhalt auf einen ausgewiesenen Datenträger

Die Dateien für die Standardwebsites von IIS werden im Verzeichnis <systemroot>\inetpub\wwwroot abgelegt, wobei <systemroot> das Laufwerk ist, auf dem das Windows Server 2003-Betriebssystem installiert ist.

In den drei in diesem Handbuch definierten Umgebungen sind alle Dateien und Ordner, die zu Websites und Anwendungen gehören, auf dedizierten, vom Betriebssystem getrennten Datenträgern abgelegt. Durch diesen Ansatz werden Directory-Traversal-Angriffe verhindert, bei denen ein Angreifer Anforderungen für eine Datei sendet, die sich außerhalb der Verzeichnisstruktur eines IIS-Servers befindet.

Die Datei Cmd. exe befindet sich z. B. im Ordner ***<systemroot>***System32. Ein Angreifer kann nun eine Anforderung an folgenden Speicherort senden:

..\..\Windows\system\cmd.exe

um zu versuchen, die Eingabeaufforderung aufzurufen.

Wenn sich der Websiteinhalt auf einem separaten Datenträger befindet, wäre ein solcher Directory-Traversal-Angriff aus zwei Gründen nicht ausführbar. Erstens wurden die Berechtigungen für Cmd.exe als Teil des Basisbuilds von Windows Server 2003 mit SP1 zurückgesetzt, wodurch der Zugriff auf eine viel kleinere Benutzergruppe begrenzt wird. Zweitens befindet sich die Datei Cmd.exe nicht auf dem gleichen Datenträger wie der Webstamm. Derzeit ist keine Methode bekannt, um mit einem solchen Angriff auf Befehle auf einem anderen Laufwerk zuzugreifen.

Zusätzlich zu den Sicherheitsvorteilen sind Verwaltungsaufgaben wie das Sichern und Wiederherstellen leichter, wenn die Dateien und Ordner von Websites und Anwendungen auf einem dedizierten Datenträger gespeichert werden. Darüber hinaus kann der Einsatz eines separaten, dedizierten physischen Laufwerks Laufwerkskonflikte auf dem Systemdatenträger verringern und die Zugriffsleistung des Laufwerks insgesamt verbessern.

Festlegen von NTFS-Berechtigungen

Computer, auf denen Windows Server 2003 mit SP1 ausgeführt wird, überprüfen NTFS-Dateisystemberechtigungen, um die Zugriffstypen zu bestimmen, über die ein Benutzer oder ein Prozess in Bezug auf eine bestimmte Datei oder einen bestimmten Ordner verfügt. Sie sollten NTFS-Berechtigungen zuweisen, um bestimmten Benutzern Zugriff auf Websites zu gewähren oder zu verweigern, die sich auf IIS-Servern in den drei in dieser Anleitung definierten Umgebungen befinden.

Die NTFS-Berechtigungen haben nur Auswirkungen auf die Konten, denen der Zugriff auf den Website- und Anwendungsinhalt gewährt oder verweigert wurde. NTFS-Berechtigungen sollten in Verbindung mit und nicht anstatt von Webberechtigungen verwendet werden. Die Websiteberechtigungen betreffen alle Benutzer, die auf die Website oder Anwendung zugreifen. Wenn die Webberechtigungen mit den NTFS-Berechtigungen für ein Verzeichnis oder eine Datei in Konflikt stehen, werden restriktivere Einstellungen angewendet.

Sie sollten anonymen Konten explizit den Zugriff auf Websites und Anwendungen verweigern, für die kein anonymer Zugriff erwünscht ist. Anonymer Zugriff erfolgt, wenn ein Benutzer ohne Anmeldeinformationen auf Netzwerkressourcen zugreift. Anonyme Konten umfassen das vordefinierte Konto Gast, die Gruppe „Gäste“ sowie anonyme IIS-Konten. Entfernen Sie außerdem den Schreibzugriff sämtlicher Benutzer mit Ausnahme der IIS-Administratoren.

Die folgende Tabelle enthält einige Empfehlungen zu NTFS-Berechtigungen, die den unterschiedlichen Dateitypen auf einem IIS-Server zugewiesen werden sollten. Die verschiedenen Dateitypen können in einzelnen Ordnern zusammengefasst werden, um das Anwenden von NTFS-Berechtigungen zu vereinfachen.

Tabelle 9.8: Empfohlene Einstellungen für NTFS-Berechtigungen

Dateityp

Empfohlene NTFS-Berechtigungen

CGI-Dateien (.exe,.dll,.cmd,.pl)

Jeder (Ausführen)

Administratoren (Vollzugriff)

System (Vollzugriff)

Skriptdateien (.asp)

Jeder (Ausführen)

Administratoren (Vollzugriff)

System (Vollzugriff)

Dateien hinzufügen (.inc,.shtm,.shtml)

Jeder (Ausführen)

Administratoren (Vollzugriff)

System (Vollzugriff)

Statischer Inhalt (.txt,.gif,.jpg,.htm,.html)

Jeder (Schreibgeschützt)

Administratoren (Vollzugriff)

System (Vollzugriff)

Festlegen von IIS-Websiteberechtigungen

IIS überprüft Websiteberechtigungen, um die Aktionstypen zu bestimmen, die in einer Website auftreten können, wie z. B. Skriptzugriff oder Durchsuchen von Verzeichnissen. Zur Erhöhung der Sicherheit von Websites auf IIS-Servern in den drei in diesem Handbuch definierten Umgebungen sollten Sie Websiteberechtigungen zuweisen.

Die Websiteberechtigungen können zusammen mit den NTFS-Berechtigungen verwendet und für spezifische Sites, Verzeichnisse und Dateien konfiguriert werden. Im Gegensatz zu NTFS-Berechtigungen werden Websiteberechtigungen auf jeden Benutzer angewendet, der versucht, auf eine auf einem IIS-Server ausgeführte Website zuzugreifen. Die Websiteberechtigungen können mithilfe des MMC-Snap-Ins „IIS-Manager“ angewendet werden.

Die folgende Tabelle werden die von IIS 6.0 unterstützten Websiteberechtigungen aufgelistet und Informationen dazu bereitgestellt, wann die jeweilige Berechtigung einer Website zugewiesen werden sollte.

Tabelle 9.9: IIS 6.0-Websiteberechtigungen

Websiteberechtigung

Gewährte Berechtigung

Lesen

Benutzer können den Inhalt und die Eigenschaften von Verzeichnissen oder Dateien anzeigen. Diese Berechtigung ist in der Standardeinstellung ausgewählt.

Schreiben

Benutzer können den Inhalt und die Eigenschaften von Verzeichnissen oder Dateien ändern.

Skriptzugriff

Benutzer können auf Quelldateien zugreifen. Wenn der Lesezugriff aktiviert ist, kann die Quelle gelesen werden. Wenn Schreibzugriff aktiviert ist, kann der Quellcode des Skripts geändert werden. Der Skriptzugriff schließt den Quellcode für Skripte mit ein. Wenn weder der Lese- noch der Schreibzugriff aktiviert sind, ist diese Option nicht verfügbar.

Wichtig: Wenn der Skriptzugriff aktiviert ist, können Benutzer möglicherweise wichtige Informationen anzeigen, wie z. B. einen Benutzernamen und ein Kennwort. Sie können möglicherweise auch den Quellcode ändern, der auf einem IIS-Server ausgeführt wird und dadurch die Sicherheit und die Leistung des Servers erheblich beeinträchtigen.

Verzeichnis durchsuchen

Benutzer können Dateilisten und -sammlungen anzeigen.

Besuche protokollieren

Bei jedem Besuch der Website wird ein Protokolleintrag erstellt.

Ressource indizieren

Ermöglicht dem Indexdienst das Indexieren von Ressourcen, wodurch Suchen in den Ressourcen ausgeführt werden können.

Ausführen

Die folgenden Optionen bestimmen die Ebene der Skriptausführung für Benutzer:

  • Keine. Es dürfen keine ausführbaren Skripts auf dem Server ausgeführt werden.
  • Nur Skripts. Es dürfen nur Skripts auf dem Server ausgeführt werden.
  • Skripts und ausführbare Dateien. Es dürfen sowohl Skripts als auch ausführbare Dateien auf dem Server ausgeführt werden.

Konfigurieren der IIS-Protokollierung

Microsoft empfiehlt in den drei in diesem Handbuch definierten Umgebungen das Aktivieren der IIS-Protokollierung auf IIS-Servern.

Für jede Website oder Anwendung können einzelne Protokolle erstellt werden. Die Informationen der IIS-Protokollierung gehen über die vom Windows-Betriebssystem zur Verfügung gestellten Ereignisprotokoll- oder Leistungsüberwachungsfunktionen hinaus. Die IIS-Protokolle können Informationen, wie z. B. wer eine Site besucht hat, was der Besucher angezeigt hat und wann die Informationen zuletzt angezeigt wurden, enthalten. Die IIS-Protokolle können verwendet werden, um die Popularität des Inhalts zu bewerten, Informationsmängel aufzudecken oder Ressourcen für das Untersuchen von Angriffen zur Verfügung zu stellen.

Das MMC-Snap-In „IIS-Manager“ kann für das Konfigurieren des Protokolldateiformats, des Protokollierungsplans und der zu protokollierenden Informationen verwendet werden. Um die Größe des Protokolls zu begrenzen, sollten Sie die zu protokollierenden Felder sorgfältig auswählen.

Wenn die IIS-Protokollierung aktiviert ist, verwendet IIS das erweiterte W3C-Protokolldateiformat, um in dem für die Website im IIS-Manager angegebenen Verzeichnis tägliche Aktivitätsprotokolle zu erstellen. Zur Erhöhung der Serverleistung sollten Sie Protokolle auf einem systemfremden Stripeset-Datenträger oder gespiegelten Stripeset-Datenträger speichern.

Protokolle können über das Netzwerk auch in einer Remotefreigabe gespeichert werden, indem ein vollständiger UNC-Pfad (Universal Naming Convention) verwendet wird. Eine Remoteprotokollierung ermöglicht Administratoren das Einrichten eines zentralen Speicher- und Sicherungsortes für Protokolldateien. Beim Speichern der Protokolldateien über das Netzwerk könnte jedoch die Serverleistung beeinträchtigt werden.

Für die IIS-Protokollierung kann die Verwendung verschiedener ASCII- oder ODBC-Protokolldateiformate (Open Database Connectivity) festgelegt werden. ODBC-Protokolle können Aktivitätsinformationen in einer SQL-Datenbank speichern. Beachten Sie jedoch, dass der IIS-Dienst bei aktivierter ODBC-Protokollierung den Cache im Kernelmodus deaktiviert. Dadurch kann die gesamte Serverleistung beeinträchtigt werden.

Für IIS-Server, die hunderte Sites hosten, kann die Protokollierungsleistung durch Aktivieren einer zentralen Binärprotokollierung verbessert werden. Die zentrale Binärprotokollierung ermöglicht allen Websites auf einem IIS-Server das Schreiben von Aktivitätsinformationen in eine einzelne Protokolldatei. Diese Methode kann die Verwaltung und Skalierbarkeit des IIS-Protokollierungsprozesses erheblich verbessern, da dadurch die Anzahl der Protokolle, die einzeln gespeichert und analysiert werden müssen, verringert wird. Weitere Informationen zur zentralen Binärprotokollierung finden Sie auf der Seite Zentrale IIS-Binärprotokollierung (in englischer Sprache) unter www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/13a4c0b5-686b-4766-8729-a3402da835f1.mspx.

Wenn die IIS-Protokolle auf IIS-Servern gespeichert werden, verfügen standardmäßig nur Serveradministratoren über die Berechtigung, auf diese Protokolle zuzugreifen. Wenn ein Protokolldateiverzeichnis- oder Dateibesitzer nicht in der Gruppe Lokale Administratoren enthalten ist, gibt die Datei HTTP.sys (der Kernelmodustreiber in IIS 6.0) eine Fehlermeldung im NT-Ereignisprotokoll aus. Diese Fehlermeldung gibt an, dass der Besitzer des Verzeichnisses oder der Datei nicht in der Gruppe Lokale Administratoren enthalten ist und dass die Protokollierung für diese Site ausgesetzt wird, bis der Besitzer der Gruppe Lokale Administratoren hinzugefügt oder das vorhandene Verzeichnis oder die vorhandene Datei gelöscht wird.

Manuelles Hinzufügen von eindeutigen Sicherheitsgruppen zu den Zuweisungen von Benutzerrechten

Für die meisten Zuweisungen von Benutzerrechten, die über die Richtlinie für die Mitgliedsserver-Baseline angewendet wurden, sind die richtigen Sicherheitsgruppen in den Sicherheitsvorlagen angegeben, die diesem Handbuch angefügt sind. Einige Konten und Sicherheitsgruppen konnten jedoch nicht in die Vorlagen aufgenommen werden, da ihre Sicherheits-IDs (SIDs) für einzelne Windows 2003-Domänen spezifisch sind. Zuweisungen von Benutzerrechten, die manuell konfiguriert werden müssen, sind in der folgenden Tabelle angegeben.

Warnung: Die folgende Tabelle enthält Werte für das vordefinierte Administratorkonto. Verwechseln Sie das Administratorkonto nicht mit der vordefinierten Sicherheitsgruppe Administratoren. Wenn Sie die Sicherheitsgruppe Administratoren einem der nachfolgenden Benutzerrechte hinzufügen, die den Zugriff verweigern, müssen Sie sich lokal anmelden, um den Fehler zu beheben.

Außerdem müssen Sie u. U. das vordefinierte Administratorkonto gemäß der Empfehlung in Kapitel 4, „Die Richtlinie für die Mitgliedsserver-Baseline“, umbenennen. Stellen Sie beim Hinzufügen des Administratorkontos zu den Benutzerrechten sicher, dass das umbenannte Konto angegeben wird.

Tabelle 9.10: Manuell hinzugefügte Zuweisungen von Benutzerrechten

Standard für Mitgliedsserver

Älterer Client

Unternehmensclient

Hochsicher (SSLF)

Den Zugriff auf diesen Computer vom Netzwerk aus verweigern

Vordefinierter Administrator; Support_388945a0;

Gast; alle betriebssystemfremden Dienstkonten

Vordefinierter Administrator; Support_388945a0;

Gast; alle betriebssystemfremden Dienstkonten

Vordefinierter Administrator; Support_388945a0;

Gast; alle betriebssystemfremden Dienstkonten

Wichtig: „Alle betriebssystemfremden Dienstkonten“ schließt Dienstkonten mit ein, die unternehmensweit für bestimmte Anwendungen verwendet werden. Dazu gehören allerdings NICHT die Konten LOKALES SYSTEM, LOKALER DIENST und NETZWERKDIENST (die vom Betriebssystem verwendeten vordefinierten Konten).

Sichern von bekannten Konten

Windows Server 2003 verfügt über eine Reihe vordefinierter Benutzerkonten, die nicht gelöscht, aber umbenannt werden können. Die zwei bekanntesten vordefinierten Konten in Windows Server 2003 sind die Konten „Gast“ und „Administrator“.

Das Konto „Gast“ ist auf Mitgliedsservern und Domänencontrollern standardmäßig deaktiviert. Diese Konfiguration sollte nicht geändert werden. Viele verschiedene schädliche Codes verwenden das vordefinierte Administratorkonto bei einem ersten Versuch, einen Server anzugreifen. Daher sollten Sie das vordefinierte Administratorkonto umbenennen und seine Beschreibung ändern, damit sie Angriffen von Remoteservern vorbeugen und Angreifer dieses bekannte Konto nicht nutzen können.

Die Auswirkung dieser Konfigurationsänderung hat sich in den letzten Jahren nach dem Auftreten von Angriffstools verringert, die durch Angabe der Sicherheits-ID (SID) des vordefinierten Administratorkontos dessen wahren Namen in Erfahrung bringen und dadurch Zugriff auf den Server erhalten. Eine Sicherheits-ID ist ein Wert, der jeden Benutzer, jede Gruppe, jedes Computerkonto und jede Anmeldesitzung bei einem Netzwerk eindeutig identifiziert. Die Sicherheits-ID dieses vordefinierten Kontos kann nicht geändert werden. Ihre Betriebsgruppen können allerdings versuchte Angriffe auf dieses Administratorkonto überwachen, wenn Sie es umbenennen und mit einem eindeutigen Namen versehen.

So sichern Sie bekannte Konten auf IIS-Servern

  • Benennen Sie die Administrator- und Gastkonten in jeder Domäne und auf jedem Server um, und ändern Sie die zugehörigen Kennwörter zu langen und komplexen Werten.

  • Verwenden Sie auf jedem Server verschiedene Namen und Kennwörter. Wenn auf allen Domänen und Servern die gleichen Kontonamen und -kennwörter verwendet werden, kann ein Angreifer, der sich Zugriff zu einem Mitgliedsserver verschafft hat, auch auf alle anderen Server zugreifen.

  • Ändern Sie die Standardkontobeschreibungen, um eine einfache Identifizierung der Konten zu verhindern.

  • Notieren Sie die vorgenommenen Änderungen, und bewahren Sie diese Informationen an einem sicheren Ort auf.

Hinweis: Das vordefinierte Administratorkonto kann durch eine Gruppenrichtlinie umbenannt werden. Diese Einstellung wurde in den mit diesem Handbuch bereitgestellten Sicherheitsvorlagen nicht implementiert, da jede Organisation einen eindeutigen Namen für dieses Konto auswählen sollte. Sie können jedoch die Einstellung Konten: Administratorkonto umbenennen so konfigurieren, dass Administratorkonten in den drei in diesem Handbuch definierten Umgebungen umbenannt werden. Diese Richtlinieneinstellung ist Teil der Einstellungen für die Sicherheitsoptionen eines Gruppenrichtlinienobjekts.

Sichern von Dienstkonten

Konfigurieren Sie einen Dienst für die Ausführung im Sicherheitskontext eines Domänenkontos nur, wenn es sich nicht vermeiden lässt. Bei einem physischen Zugriff auf den Server könnten Domänenkontenkennwörter leicht durch Abbilden von geheimen LSA-Schlüsseln aufgedeckt werden. Weitere Informationen zum Sichern von Dienstkonten finden Sie im Planungshandbuch für die Dienste- und Dienstekontensicherheit (in englischer Sprache) unter www.microsoft.com/technet/security/topics/serversecurity/serviceaccount/default.mspx.

Zum Seitenanfanq

Erstellen der Richtlinie mithilfe des SCW

Zum Bereitstellen der notwendigen Sicherheitseinstellungen müssen Sie sowohl den Sicherheitskonfigurations-Assistenten (SCW) sowie die im Rahmen der herunterladbaren Version dieses Handbuchs verfügbaren Sicherheitsvorlagen verwenden, um eine Serverrichtlinie zu erstellen.

Wenn Sie Ihre eigene Richtlinie erstellen, müssen Sie die Abschnitte „Registrierungseinstellungen“ und „Überwachungsrichtlinie“ überspringen. Diese Einstellungen werden von den Sicherheitsvorlagen für die von Ihnen gewählte Umgebung bereitgestellt. Dieser Ansatz ist nötig um sicherzustellen, dass die in den Vorlagen angebotenen Richtlinienelemente Vorrang vor den vom SCW konfigurierten Elementen haben.

Es empfiehlt sich, das Betriebssystem zu Beginn der Konfigurationsarbeit neu zu installieren. Dadurch wird sichergestellt, dass keine älteren Einstellungen oder Software von früheren Konfigurationen verwendet werden. Wenn möglich, sollten Sie ähnliche Hardware wie in Ihrer Bereitstellungsumgebung verwenden, um eine möglichst hohe Kompatibilität zu gewährleisten. Die neue Installation wird als Referenzcomputer bezeichnet.

So erstellen Sie die IIS-Serverrichtlinie

  1. Erstellen Sie auf einem neuen Referenzcomputer eine neue Installation von Windows Server 2003 mit SP1.

  2. Installieren Sie die Komponente für den Sicherheitskonfigurations-Assistenten (SCW) auf dem Computer, indem Sie auf „Systemsteuerung“, „Software“ und „Windows-Komponenten hinzufügen/entfernen“ klicken.

  3. Schließen Sie den Computer an die Domäne an, die sämtliche Sicherheitseinstellungen von den übergeordneten Organisationseinheiten übernehmen.

  4. Installieren und konfigurieren Sie nur die obligatorischen Anwendungen, die sich auf allen Servern mit dieser Rolle befinden. Dazu zählen z. B. rollenspezifische Dienste, Software- und Verwaltungsagenten, Bandsicherungsagenten sowie Antiviren- und Antispywaredienstprogramme.

  5. Starten Sie die grafische Benutzeroberfläche des SCW, wählen die Option zum Erstellen einer neuen Richtlinie, und verweisen Sie auf den Referenzcomputer.

  6. Stellen Sie sicher, dass die ermittelten Serverrollen auf Ihre Umgebung zutreffen, wie z. B. die Rollen der Anwendungsserver und Webserver.

  7. Stellen Sie sicher, dass die erkannten Clientfunktionen für Ihre Umgebung geeignet sind.

  8. Stellen Sie sicher, dass die erkannten Verwaltungsfunktionen für Ihre Umgebung geeignet sind.

  9. Stellen Sie sicher, dass von der Baseline benötigte zusätzliche Dienste, wie etwa Sicherungsagenten oder Antivirensoftware, erkannt werden.

  10. Entscheiden Sie, wie nicht festgelegte Dienste in Ihrer Umgebung zu behandeln sind. Um eine verbesserte Sicherheit zu erzielen, können Sie diese Richtlinieneinstellung auf Deaktivieren setzen. Es empfiehlt sich, diese Konfiguration vor ihrer Bereitstellung auf dem Produktionsnetzwerk zu testen, da es bei der Ausführung von zusätzlichen Diensten auf den Produktionsservern, die auf dem Referenzcomputer nicht dupliziert wurden, zu Problemen kommen kann.

  11. Achten Sie darauf, dass das Kontrollkästchen zum Überspringen des Abschnittsim Abschnitt „Netzwerksicherheit“ deaktiviert ist, und klicken Sie dann auf Weiter. Die zuvor ermittelten Ports und Anwendungen sind als Ausnahmen für die Windows-Firewall konfiguriert.

  12. Aktivieren Sie im Abschnitt „Registrierungseinstellungen“ das Kontrollkästchen zum Überspringen des Abschnitts,und klicken Sie dann auf Weiter. Die Richtlinieneinstellungen werden aus der bereitgestellten INF-Datei importiert.

  13. Aktivieren Sie im Abschnitt „Überwachungsrichtlinie“ das Kontrollkästchen zum Überspringen des Abschnitts,und klicken Sie dann auf Weiter. Die Richtlinieneinstellungen werden aus der bereitgestellten INF-Datei importiert.

  14. Schließen Sie die entsprechende Sicherheitsvorlage mit ein (z. B. „Unternehmensclient - IIS-Server.inf“).

  15. Speichern Sie die Richtlinie unter einem geeigneten Namen (z. B. IIS-Server.xml).

    Hinweis: Die Richtlinie für die Mitgliedsserver-Baseline deaktiviert mehrere andere IIS-bezogene Dienste, einschließlich FTP, SMTP und NNTP. Die Webserverrichtlinie muss geändert werden, wenn einer dieser Dienste auf IIS-Servern in einer der drei in diesem Handbuch definierten Umgebungen aktiviert werden soll.

Testen der Richtlinie mithilfe des SCW

Nach dem Erstellen und Speichern der Richtlinie empfiehlt es sich unbedingt, sie in Ihrer Testumgebung bereitzustellen. Im Idealfall werden Ihre Testserver die gleiche Hardware- und Softwarekonfiguration wie Ihre Produktionsserver aufweisen. Mit diesem Ansatz können Sie mögliche Probleme, wie etwa das Vorhandensein unerwarteter Dienste, die von bestimmten Hardwaregeräten benötigt werden, ermitteln und beheben.

Zum Testen der Richtlinie gibt es zwei Möglichkeiten. Sie können die standardmäßigen SCW-Bereitstellungsgeräte verwenden oder mithilfe eines Gruppenrichtlinienobjekts Richtlinien anwenden.

Beim Verfassen der Richtlinien sollten Sie zunächst die Verwendung der standardmäßigen SCW-Bereitstellungsgeräte in Betracht ziehen. Sie können eine Richtlinie mit dem SCW jeweils auf einen einzelnen Server oder mithilfe von Scwcmd auf eine ganze Servergruppe anwenden. Mithilfe der standardmäßigen Bereitstellungsmethode können Sie aus SCW bereitgestellte Richtlinien einfach zurücknehmen. Dies erweist sich als außerordentlich nützlich, wenn Sie im Testverfahren mehrere Änderungen an Ihren Richtlinien vornehmen.

Die Richtlinie wird getestet, um sicherzustellen, dass ihre Anwendung auf den Zielservern keine negativen Auswirkungen auf wichtige Funktionen hat. Nach Übernahme der Konfigurationsänderungen müssen Sie zunächst die Kernfunktionalität des Computers überprüfen. Ist der Server z. B. als Zertifizierungsstelle (CA) konfiguriert, müssen Sie sicherstellen, dass Clients Zertifikate anfordern und erhalten bzw. eine Zertifikatsperrliste herunterladen können usw.

Wenn Sie mit der Konfiguration von Richtlinien vertraut sind, können Sie Scwcmd verwenden, um wie im folgenden Verfahren veranschaulicht die Richtlinien in Gruppenrichtlinienobjekte umzuwandeln.

Weitere Informationen zum Testen von SCW-Richtlinien finden Sie im Deployment Guide for the Security Configuration Wizard unter www.microsoft.com/technet/prodtechnol/windowsserver2003/library/SCWDeploying/5254f8cd-143e-4559-a299-9c723b366946.mspxsowie in der Security Configuration Wizard Documentation unter https://go.microsoft.com/fwlink/?linkid=43450 (jeweils in englischer Sprache).

Umwandeln und Bereitstellen der Richtlinie

Nachdem Sie die Richtlinie gründlich getestet haben, führen Sie folgende Schritte aus, um sie in ein Gruppenrichtlinienobjekt umzuwandeln und bereitzustellen:

  1. Geben Sie an der Eingabeaufforderung folgenden Befehl ein:

    scwcmd transform /p:<PathToPolicy.xml> /g:<GPODisplayName>

    und drücken Sie anschließend die Eingabetaste. Beispiel:

    scwcmd transform /p:"C:\Windows\Security\msscw\Policies\IIS 
Server.xml" /g:"IIS Policy"

    Hinweis: Die an der Eingabeaufforderung einzugebenden Daten werden hier aufgrund von Anzeigebeschränkungen in mehreren Zeilen angezeigt. Die Daten sollten jedoch in einer Zeile eingegeben werden.

  2. Verknüpfen Sie mithilfe der Gruppenrichtlinien-Verwaltungskonsole das neu erstellte Gruppenrichtlinienobjekt mit der jeweiligen Organisationseinheit.

Beachten Sie, dass für eine erfolgreiche Durchführung dieses Verfahrens die Windows-Firewall auf dem lokalen Computer aktiviert sein muss, wenn die SCW-Sicherheitsrichtliniendatei Windows-Firewall-Einstellungen enthält. Um zu überprüfen, ob die Windows-Firewall aktiviert ist, öffnen Sie die Systemsteuerung, und doppelklicken Sie auf Windows-Firewall.

Anschließend sollten Sie eine endgültige Prüfung vornehmen, um sicherzustellen, dass das Gruppenrichtlinienobjekt die gewünschten Einstellungen anwendet. Prüfen Sie zum Abschluss dieses Verfahrens, dass die entsprechenden Einstellungen vorgenommen wurden und die Funktionalität nicht beeinträchtigt ist.

Zum Seitenanfanq

Zusammenfassung

In diesem Kapitel wurden die Richtlinieneinstellungen behandelt, die in den drei in diesem Handbuch definierten Umgebungen für die Absicherung von IIS-Servern verwendet werden können, auf denen Windows Server 2003 mit SP1 ausgeführt wird. Die meisten Einstellungen werden über ein Gruppenrichtlinienobjekt angewendet, das zur Unterstützung der Richtlinie für die Mitgliedsserver-Baseline entwickelt wurde. Gruppenrichtlinienobjekte können zur Erhöhung der Sicherheit mit den jeweiligen die IIS-Server enthaltenden Organisationseinheiten verknüpft werden.

Einige der erörterten Einstellungen können nicht über Gruppenrichtlinien angewendet werden. Für diese Einstellungen wurden Informationen für die manuelle Konfiguration bereitgestellt.

Weitere Informationen

Die folgenden Links bieten zusätzliche Informationen zur Absicherung von IIS-Servern, auf denen Windows Server 2003 mit SP1 ausgeführt wird.

Zum Seitenanfanq

In diesem Beitrag

Download

Holen Sie sich das Windows Server 2003-Sicherheitshandbuch (engl.)

Benachrichtigung über Neuerungen

Melden Sie sich an, um sich über Updates und neue Versionen zu informieren

Feedback

[Senden Sie uns Ihre Kommentare oder Vorschläge](secwish@microsoft.com?subject=windows server 2003 security guide)

Zum Seitenanfanq

10 von 19