Dieser Artikel wurde maschinell übersetzt. Wenn Sie die englische Version des Artikels anzeigen möchten, aktivieren Sie das Kontrollkästchen Englisch. Sie können den englischen Text auch in einem Popupfenster anzeigen, indem Sie den Mauszeiger über den Text bewegen.
Übersetzung
Englisch

Bewährte Sicherheitsmethoden für IIS 8

 

Betrifft: Windows Server 2012 R2, Windows Server 2012

Dieses Dokument enthält eine Liste der Vorschläge zur Verbesserung der Sicherheits IhrerIIS 8Webserver. Während die Befolgung dieser Empfehlungen Freiheit von Sicherheitsproblemen nicht garantiert, können diese Empfehlung das Risiko reduziert.

Die Vorschläge werden gruppiert ich die folgenden Kategorien:

  • Führen Sie IIS nicht auf einem Domänencontroller oder einem Sicherungsdomänencontroller.

    Erstens werden keine lokalen Konten auf einem Domänencontroller. Lokale Konten sind wichtig für die Sicherheit des viele Installationen von IIS-Server. Eine IIS-Webserver und Domänencontroller auf dem gleichen Computer ernsthaft platzieren schränkt Ihre Konto-Sicherheitsoptionen. Zweitens kann neue Angriffe, die Ihre Webserver angegriffen wird auch Ihr gesamte Netzwerk gefährden, wenn der Webserver und dem Domänencontroller auf demselben Computer befinden.

  • Installieren Sie nur die IIS-Module, die Sie benötigen.

    IIS 8besteht aus mehr als 40 Module, die können Sie Module hinzufügen, die Sie benötigen, und entfernen alle Module, die Sie nicht benötigen. Wenn Sie nur die Module zu, die Sie benötigen installieren, verringern Sie die Oberfläche, die dem potenziellen Angriffen ausgesetzt ist.

  • Nicht verwendete oder unerwünschte Software-Module und Handler in regelmäßigen Abständen zu entfernen.

    Suchen Sie nach Module und Handler, die Sie nicht mehr verwenden und aus Ihrer IIS-Installation zu entfernen. Sollen Sie die Angriffsfläche von IIS so klein wie möglich zu halten.
     

  • Führen Sie für hohes Volumen-Installationen von IIS andere ressourcenintensive Produkte wie SQL Server oder Exchange auf separaten Computern.

  • Halten Sie antivirus-Software auf dem neuesten Stand.

    Installieren Sie und führen Sie die neueste Version der antivirus-Software auf dem Server.

  • Verschieben derInetpubOrdner auf dem Systemlaufwerk auf ein anderes Laufwerk.

    In der StandardeinstellungIIS 8richtet dieInetpubOrdner auf dem Systemlaufwerk (normalerweise Laufwerk C). Wenn Sie den Ordner in eine andere Partition verschieben, können Sie Speicherplatz auf dem Systemlaufwerk und die Sicherheit verbessern. Weitere Informationen dazu, wie Sie dieInetpubOrdner finden Sie im folgenden Blogbeitrag: Verzeichnisses in ein anderes Laufwerk verschieben.

  • Isolieren von ASP.NET-Webanwendungen.

    Separate anwendungsübergreifend in verschiedenen Standorten mit verschiedenen Anwendungspools.

  • Implementieren Sie das Prinzip der geringsten Rechte.

    Ausführen der Arbeitsprozess als Identität gering privilegierten (virtuelle Anwendungspoolidentität), die pro Standort eindeutig ist.

  • Isolieren von temporären ASP.NET-Ordner.

    Richten Sie einen separaten temporären ASP.NET-Ordner pro Standort, und gewähren Sie nur Zugriff auf entsprechende Prozessidentität.

  • Isolieren Sie Inhalt an.

    Stellen Sie sicher, dass eine Zugriffssteuerungsliste (Access Control List) auf jeder Website-Stammverzeichnis nur Zugriff auf die entsprechenden Prozessidentität.

  • Wenn Sie die Windows-Authentifizierung verwenden, schalten Sie erweiterten Schutz.

    Der erweiterte Schutz schützt Weiterleitung von Anmeldeinformationen und Phishing Angriffe bei Verwendung der Windows-Authentifizierung. Weitere Informationen zu erweiterten Schutz und wie Sie es in IIS aktivieren, finden Sie unterKonfigurieren erweiterter Schutz in IIS 7.5.

  • Denken Sie daran, dass das Konfigurieren der anonymen Authentifizierung zusammen mit einem anderen Authentifizierungstyp für die gleiche Website zu Authentifizierungsproblemen führen kann.

    Wenn Sie die anonyme Authentifizierung und einem anderen Authentifizierungstyp konfigurieren, wird das Ergebnis durch die Reihenfolge bestimmt, in dem die Module ausgeführt werden. Wenn anonyme Authentifizierung und die Windows-Authentifizierung sind führt konfiguriert und anonyme Authentifizierung z. B. zuerst Windows-Authentifizierung nicht ausgeführt wird.

  • Deaktivieren des anonymen Zugriffs auf Verzeichnissen und Ressourcen.

    Wenn Sie einem Benutzer den Zugriff auf Server-Verzeichnisse und Ressourcen gewähren möchten, verwenden Sie eine Authentifizierungsmethode, die nicht anonym ist.

  • Anonyme Schreibvorgänge auf dem Server nicht zulassen.

    Authentifizieren des Benutzers mit einer Methode, die nicht anonym ist, bevor es dem Benutzer ermöglicht, Ihre Website oder FTP-Site hochgeladen.

  • Sicherstellen Sie, dass die Anforderung von Filterregeln aktiviert sind.

    Anfordern der Filter beschränken die Typen von HTTP-Anfragen, dieIIS 8Prozesse. Durch Blockieren bestimmte HTTP-Anforderungen, die Anforderungsdatei filtern können verhindern, dass potenziell gefährliche Anfragen an den Server erreichen. Das Request-Filter-Modul scannt eingehende Anfragen und Anforderungen abgelehnt, die unerwünschte auf Grundlage der Regeln, die Sie eingerichtet werden haben. Websites und FTP-Sites sollten den Schutz dieser Anforderung Filter verfügen, die Regeln bereitstellen. Weitere Informationen zum Filtern der Anforderung finden Sie unterKonfigurieren der Anforderungsfilterung in IIS.

  • Sicherstellen Sie, dass die Anforderung Grenzwerte für Sie geeignete Standardwerte festgelegt sind.

    Überlegen Sie sorgfältig die Werte, die Sie Konfigurationsparameter zuweisen. Beispielsweise stellen Sie sicher, dass ein Obergrenze Wert über einen unteren Grenzwert liegt. Andernfalls kann der Filter nicht ausgelöst werden.

  • Verwenden Sie die integrierten Identitäten (z. B. Netzwerkdienst, lokaler Dienst oder lokales System).

    Für maximale Sicherheit sollte Anwendungspools unter der Identität des Anwendungspools ausgeführt werden, die generiert wird, wenn der Anwendungspool erstellt wird. Die Konten, die in IIS integriert sind, sind Identität des Anwendungspools, Netzwerkdienst, lokaler Dienst und "LocalSystem". Die Standardeinstellung (empfohlen) und sicherste ist die Identität des Anwendungspools.

  • Mithilfe eines Kontos benutzerdefinierte Identität ist akzeptabel, aber Achten Sie darauf, dass Sie ein anderes Konto für alle Anwendungspools zu verwenden.

  • Erstellen Sie regelmäßige Sicherungskopien des IIS-Servers.

    Führen Sie eine vollständige Systemstatus zu sichern, jeden Tag oder zwei. Führen Sie es auch vor wichtigen Softwareupdates oder Ändern der Konfiguration.

  • Berechtigungen für nicht-Administratoren zu beschränken.

    Suchen Sie nach dem Ordner, dass Nichtadministratoren Schreib- und Ausführberechtigungen Skript, und entfernen Sie die Berechtigungen.

  • Aktivieren Sie SSL und verwalten Sie SSL-Zertifikate.

    Erneuern Sie das Zertifikat aus, oder wählen Sie ein neues Zertifikat für den Standort. Ein abgelaufenes Zertifikat ungültig, und kann verhindern, dass Benutzer auf Ihre Website zugreifen.

  • Verwenden Sie SSL, wenn Sie die Standardauthentifizierung verwenden.

    Verwenden Sie die Standardauthentifizierung mit SSL-Bindung, und stellen Sie sicher, dass die Website oder Anwendung festgelegt ist, SSL erforderlich ist. Alternativ verwenden Sie eine andere Methode der Authentifizierung. Wenn Sie die Standardauthentifizierung ohne SSL verwenden, werden die Anmeldeinformationen in Klartext gesendet, die von bösartigem Code abgefangen werden kann. Wenn Sie weiterhin die Standardauthentifizierung verwenden möchten, müssen Sie überprüfen Sie die websitebindungen, um sicherzustellen, dass eine HTTPS-Bindung für die Website verfügbar ist, und konfigurieren Sie die Website, um SSL erforderlich ist.

  • Stellen Sie Regeln, die mehr Berechtigungen als die Standardwerte sind nicht beim Festlegen von Feature Delegierungsregeln.

  • Deaktivieren Sie den Debugmodus für eine klassische ASP-Anwendung.

Anzeigen: