Bundesamt für Sicherheit in der Informationstechnik

M 4.282 Sichere Konfiguration der IIS-Basis-Komponente unter Windows Server 2003

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Die Internet Information Services (IIS) 6.0 sind eine wichtige Komponente von Windows Server 2003, ohne die viele wichtige Funktionen des Betriebssystems nicht oder nur eingeschränkt zur Verfügung stehen. Die IIS wurden seit Version 5 um neue Technologien erweitert, modularisiert und größtenteils aus dem Betriebssystemkern ausgegliedert. Dieses neue Systemdesign macht die IIS robuster und das Betriebssystem weniger anfällig. Die IIS sind in Windows Server 2003 im Kontext eines Anwendungsservers für Web-basierte Anwendungen integriert. Dementsprechend heißt die Komponente in Windows Server 2003 Anwendungsserver. Die IIS sind eine Teilkomponente des Anwendungsservers. Die Komponente Anwendungsserver ist nach einer Standardinstallation des Betriebssystems vollständig deaktiviert.

Die im Folgenden beschriebenen Empfehlungen gehen nicht näher auf die sichere Installation eines Anwendungsservers oder Intranet/Internet-Servers (siehe hierzu B 5.10 Internet Information Server ) ein. Sie sollten stattdessen immer dann angewendet werden, wenn eine andere Windows Server 2003 Komponente oder eine zusätzliche Applikation die Installation der IIS als Hilfsdienst anfordert. Diese Maßnahme weist auf die einzelnen Punkte hin, die bei einer sicheren Konfiguration der IIS-Basis-Komponente beachtet werden müssen. Konkrete Einstellungen zu den hier aufgeführten Hinweisen sind unter den Hilfsmitteln zum IT-Grundschutz (siehe Absichern der IIS-Basis-Komponente unter Windows Server 2003 in Hilfsmittel zum Windows Server 2003)zu finden.

Welche Komponenten können installiert werden?

Auf dem Server sollten nur der COM+-Netzwerkzugriff sowie die Internetinformationsdienste (IIS) aktiviert sein. Für letztere ist die Aktivierung auf Gemeinsame Dateien, Informationsdienste-Manager und WWW-Dienst einzuschränken; optional darf lediglich noch Internetdrucken verwendet werden.

Weitere IIS-Dienste neben dem HTTP-Server

Unter Anwendungsserver sind die verbreiteten Protokolle SMTP, NNTP und FTP sowie der Message-Queuing-Dienst aufgelistet. Einige Werkzeuge und Serveranwendungen fordern deren Installation an. Mit diesen Protokollen und Diensten sind weitere Gefährdungen verbunden, so dass neben den hier genannten Empfehlungen noch weitere Maßnahmen gemäß den Ergebnissen der Modellierung nach IT-Grundschutz umzusetzen sind (siehe auch M 5.131 Absicherung von IP-Protokollen unter Windows Server 2003 ).

Auf einem Domänencontroller für Active Directory sollten nur die notwendigen IIS-Dienste und -Protokolle installiert sein.

Absichern der Basiskonfiguration

Die Installationsroutine der IIS legt im Stammverzeichnis des Systemlaufwerks die Verzeichnisse C:\Inetpub und C:\Inetpub\wwwroot an. Beide Ordner sollten umbenannt werden. Die Sicherheitsgruppe Benutzer ist aus den Sicherheitseinstellungen von C:\Inetpub\wwwroot und allen darunter liegenden Ordnern zu entfernen. Der Ordner AdminScripts sollte in ein benutzerdefiniertes Verzeichnis verschoben werden. Generell ist auf alle Beispiel- und Testskripte auf dem produktiven Server zu verzichten, egal ob sie aus eigener Feder, aus dem Internet oder aus Softwareentwicklungspaketen stammen.

Dieselben Vorkehrungen gelten auch für folgende Ordner, sofern diese vorhanden sind:

  • C:\inetpub\ftproot (FTP-Server)
  • C:\inetpub\mailroot (SMTP-Server)
  • C:\inetpub\nntpfile (NNTP-Server)

Alle virtuellen Standardserver, die Standardwebsite und die Standard-FTP-Site sind zu beenden, wenn sie nicht benötigt werden. Es ist zu empfehlen, die Standardwebsite grundsätzlich deaktiviert zu lassen und neue Websites nur für klar definierte Einsatzzwecke hinzuzufügen, z. B. für WebDAV-Freigaben.

Viele virtuelle Verzeichnisse im Internetinformationsdienste-Manager verweisen auf Funktionen des Betriebssystems, beispielsweise Internetdrucken oder Zertifikatsdienste. Die Basisverzeichnisse sind daher meist Systemordnern des Betriebssystems zugeordnet. Daher sollte generell die Sicherheitsgruppe Benutzer aus den Sicherheitseinstellungen der jeweiligen Basisverzeichnisse entfernt werden. Wenn bestimmte Ressourcen auch für Benutzer zur Verfügung stehen sollen, z. B. Internetdrucken oder das IIS-basierte Ändern des Benutzerkennworts, so ist ein entsprechendes Berechtigungskonzept zu planen und umzusetzen. Allgemeines zu Berechtigungen in Webservern wird in M 4.360 Sichere Konfiguration eines Webservers beschrieben.

Umgang mit dynamischen Inhalten

Die Zertifizierungsdienste und andere Windows-Komponenten enthalten z. T. grafische Benutzeroberflächen, die mit ASP laufen. Es ist daher nicht immer möglich, ASP zu deaktivieren. In Windows Server 2003 sind die Einflussmöglichkeiten von ASP auf das Betriebssystem standardmäßig stark eingeschränkt (aktiviertes IISLockdown). Unter kontrollierten Bedingungen ist daher ohne größeren Aufwand ein sicherer Betrieb dieser Komponenten möglich. Dies bedeutet vor allem, dass ASP ausschließlich für administrative und infrastrukturelle Zwecke aktiviert wird. Zudem existieren ein geeignetes Administrationskonzept und eine entsprechende Sicherheitsrichtlinie. Der Zugriff auf Benutzerebene wird eingeschränkt, protokolliert und kontrolliert. Ansonsten ergeben sich weitere Risiken, für die entsprechende Maßnahmen umgesetzt werden müssen (siehe B 5.10 Internet Information Server ). Zum ausführen von dynamische Inhalte startet IIS eigenständige Prozesse. Mehrere Anwendungen sollten durch ein geeignete Prozessmanagement isoliert voneinander betrieben werden.

Zugriff einschränken und absichern

Der Zugriff auf die virtuellen Server und Verzeichnisse ist standardmäßig nicht eingeschränkt, obwohl die IIS-Dienste nur vom lokalen Computer oder von bestimmten Clients im Netz abgefragt werden. Außerdem wird die Klartextübermittlung von Kennwörtern nicht verhindert. Daher sollten restriktivere Einstellungen als Grundeinstellung vorgegeben werden.

Authentisierungsmethoden

Im LAN stellt die Integrierte Windows-Authentifizierung die sicherste und komfortabelste Methode dar. Sie funktioniert mit den meisten gängigen Browsern, z. B. Internet Explorer und Firefox. Ist ein Teil des LAN durch einen Sicherheits-Gateway abgeschirmt, so muss die Unterstützung für die Integrierte Windows-Authentifizierung überprüft werden.

Sofern die Sicherheitsrichtlinie es zulässt und Gefährdungen (siehe G 5.133 Unautorisierte Benutzung web-basierter Administrationswerkzeuge ) ausreichend berücksichtigt werden, kann in bestimmten Bereichen auf Digest-Authentifizierung (verschlüsseltes Senden der Anmeldeinformationen nach RFC 2617 unter Verwendung von Domänencontrollern) ausgewichen werden. Ist dies nicht möglich, muss die gesamte Verbindung über einen verschlüsselten Kanal aufgebaut werden (siehe unten).

Voraussetzungen für Digest-Authentifizierung sind

  • Active Directory mit der Windows-Server-2003-Schemaerweiterung
  • Windows Server 2003 auf allen Domänencontrollern der lokalen Active-Directory-Site
  • HTTP-1.1-Unterstützung auf Clients (z. B. MS Internet Explorer ab Version 5)
  • HTTP-1.1-Unterstützung auf Sicherheits-Gateways

In Windows Server 2003 wurde Digest als Security Service Provider Interface (SSPI) integriert (erweiterte Digest-Authentifizierung). Voraussetzung ist, dass sowohl IIS als auch Domänencontroller unter Windows Server 2003 laufen. Auf dem Server mit IIS muss das SSPI für Digest mit Hilfe eines Skriptes erzwungen werden, da Windows Server 2003 auf das ältere Digest-Modul von Windows 2000 zurückschaltet oder die Authentisierung ganz fehlschlägt, sobald die Konfiguration der Windows-Domäne nicht homogen ist.

Der Aufruf auf der Kommandozeile lautet:

cscript adsutil.vbs SET W3SVC/UseDigestSSP wahr

Das Konfigurationsskript adsutil.vbs befindet sich im Verzeichnis AdminScripts. Informationen zum Verwenden von Skripten sind in M 2.367 Einsatz von Kommandos und Skripten ab Windows Server 2003 zu finden.

Verschlüsselung in einem sicherem Kanal (SSL/TLS)

Der sichere Kanal ist oft der einzige Weg, um bei Administrationswerkzeugen von Drittherstellern eine verschlüsselte Kennwortübertragung zu erreichen.

Jede Webseite, nachfolgend virtueller Server genannt, muss mit einem gültigen Zertifikat ausgestattet sein und die verschlüsselte Kommunikation über einen sicheren Kanal ermöglichen.

Für Server mit hohem oder sehr hohem Schutzbedarf kann die Anforderung von Clientzertifikaten aktiviert werden. Mit Hilfe weiterer Systeme wie z. B. Chipkarten besteht damit die Möglichkeit, eine zwei-Faktor-Authentisierung zu realisieren.

Überwachung

Auf allen virtuellen Servern und Webseiten muss im Eigenschaften-Dialogfenster die Protokollierung aktiviert werden. Die Standardeinstellung von einer Protokolldatei pro Tag sollte belassen werden, sofern die Sicherheitsrichtlinie für den Server keine längerfristigen Protokolle vorschreibt. Ab Windows Server 2003 mit Service Pack 1 sollte zudem die Metabase-Überwachung eingestellt werden. Dazu dient das Konfigurationsskript iiscnfg.vbs.

Der Kommandozeilenaufruf

iiscnfg.vbs /enableaudit W3SVC/<Bezeichner>/ROOT

aktiviert die Überwachung auf der Webseite-Konfiguration und den untergeordneten virtuellen Verzeichnissen. Der <Bezeichner> ist die Nummer des virtuellen Servers. Diese ist im Internetinformationsdienste-Manager unter dem Knoten Websites neben den aufgelisteten Websites dokumentiert. Schließlich muss die Gruppenrichtlinie für die Objektüberwachung auf dem Server aktiviert bzw. wirksam sein (siehe auch M 2.365 Planung der Systemüberwachung unter Windows Server 2003 ).

Dokumentation

Es sollte mindestens dokumentiert werden, welcher Server Zugriffspunkt für welches administrative Werkzeug ist, welche Authentisierungsmethoden dafür eingestellt sind und auf welche weiteren Ressourcen das Werkzeug gegebenenfalls Zugriff benötigt. Abweichungen von den genannten Grundeinstellungen bzw. vom Installationsstandard sollten dokumentiert und begründet werden.

Prüffragen:

  • Sind auf allen Windows Servern nur die notwendigen IIS -Dienste und -Protokolle installiert?

  • Wurde die Basiskonfiguration der der IIS-Basis-Komponente unter Windows Server 2003 abgesichert und der Zugriff auf die virtuellen Server und Verzeichnisse eingeschränkt?

  • Wurde die Protokollierung unter Windows Server 2003 auf allen virtuellen Servern und Webseiten aktiviert?

  • Ist die Konfiguration der IIS-Basis-Komponente unter Windows Server 2003 dokumentiert?

Stand: 13. EL Stand 2013