Bundesamt für Sicherheit in der Informationstechnik

M 5.132 Sicherer Einsatz von WebDAV unter Windows Server 2003

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Leiter IT

Mit Hilfe von Web Distributed Authoring and Versioning (WebDAV) ist es möglich, Dateien eines Windows 2000 Servers/Windows Servers 2003 über eine HTTP-fähige Netzverbindung bereitzustellen. WebDAV ist unter Windows Server 2003 vor allem deshalb eine bessere Alternative zu FTP , weil sie eine geschützte Authentisierung von Windows-Benutzerkonten ermöglicht. Auch einige zusätzlich erhältliche Serverapplikationen bieten eine WebDAV-Schnittstelle, z. B. Microsoft Exchange Server und Windows Sharepoint Services. Geeignete WebDAV-Clients sind der Maßnahme M 4.282 Sichere Konfiguration der IIS-Basis-Komponente unter Windows Server 2003 zu entnehmen.

Die Planung des Einsatzes von WebDAV sollte wenigstens folgende Punkte berücksichtigen:

  • Auf dem Server werden Internet Information Services (IIS) benötigt.
  • Über WebDAV-Freigaben können am Client zwar Dateien direkt auf dem Server bearbeitet werden (die Dateien werden dann automatisch gesperrt), ausführbare Programme können jedoch nicht direkt vom Server gestartet werden. Generell muss die geplante Client-Software erst auf Verträglichkeit mit WebDAV-Verbindungen hin getestet werden.
    Wie exponiert ist der WebDAV-Zugang (Intranet/Extranet/Internet)? Oder wird er nur sporadisch im LAN verwendet, z. B. für administrative Zwecke? Diese Fragen haben Einfluss auf die Sicherheitsanforderungen an den Authentisierungsprozess (z. B. anonym, Basis-Authentisierung über https, Kerberos usw.) und über die Art der Benutzerverwaltung. Auch die Anforderungen an die Absicherung des Servers an sich sind davon betroffen. Ergebnis der Frage kann sein, dass WebDAV mit anonymem Zugriff im Internet veröffentlicht werden soll und eine hohe Besucherzahl erwartet wird. Dann wäre der gesamte Server mit den Maßnahmen für öffentliche Webserver abzusichern (siehe Baustein B 5.10 Internet Information Server ). Ein designbedingter Aspekt hierbei ist, dass bei Windows Server 2003 WebDAV auf demselben Server aktiviert werden muss, der die gewünschten Dateien bereithält. Im Hinblick auf Sicherheits-Gateways und DMZ -Szenarien ist keine Trennung zwischen Dateiserver und WebDAV-Server möglich.
    Ein anderes Ergebnis kann sein, dass gelegentlich ein Administrator auf kurzem Wege eine Softwareimage-Datei von einem Helpdesk-Server der Active-Directory-Domäne herunterladen muss. In diesem Fall könnte der Administrator bedarfsweise eine WebDAV-Freigabe erstellen und sich mittels seines Domänen-Benutzerkontos (Kerberos-Authentisierung) die WebDAV-Freigabe auf einen Laufwerksbuchstaben verbinden. Sofern M 4.282 Sichere Konfiguration der IIS-Basis-Komponente unter Windows Server 2003 bereits umgesetzt worden ist, wäre der weitere Aufwand gering.
  • Sollen die Daten während der Übertragung verschlüsselt werden? Den einfachsten und zugleich einen sicheren Weg für eine Ende-zu-Ende-Verschlüsselung stellt ein sicherer Kanal mittels HTTPS dar, welcher im IIS konfiguriert wird. Nicht alle WebDAV-Clients unterstützen jedoch HTTPS optimal. Alternativ kann auch die Nutzung von VPN oder IPSec in Betracht gezogen werden, wobei der Aufwand verglichen zum Sicherheitsgewinn deutlich höher liegt. In jedem Fall ist ein Verfahren zu wählen, mit dem eine Ende-zu-Ende-Verschlüsselung sichergestellt werden kann.
  • Wenn kein sicherer Kanal (HTTPS) zur Verschlüsselung verwendet werden kann, dann müssen die geplanten WebDAV-Clients wenigstens Digest-Authentisierung oder die integrierte Windows-Authentisierung (NTLMv2 oder Kerberos) unterstützen. Das trifft auch zu, wenn VPN anstelle von HTTPS verwendet wird. Der Authentisierungsvorgang kann sonst nicht ausreichend geschützt werden.
  • Nach einer Standardinstallation von Windows Server 2003 ist der Webclient-Dienst aus Sicherheitsgründen deaktiviert. Es ist zu empfehlen, diese Standardeinstellung zu belassen und am Server darauf zu verzichten. Für den reinen Dateitransfer zu administrativen Zwecken genügt ein HTTP/HTTPS-Browser für den Zugriff auf WebDAV-Freigaben. Für die Authentisierungsmechanismen des HTTP/HTTPS-Browsers und die Verschlüsselung gelten die gleichen Anforderungen wie bei einem WebDAV-Client (die meisten Browser unterstützen die in Punkt 4. genannten Authentisierungsmechanismen).

Verwenden von Laufwerksbuchstaben und Verschlüsselung

Windows XP enthält einen WebDAV-Redirector, der eine WebDAV-Freigabe einem Laufwerksbuchstaben zuordnen kann. Dies kann aus Gründen der Kompatibilität zu älteren Programmen nützlich sein. Jedoch funktioniert diese Zuordnung nicht über HTTPS-Verbindungen. Ist die Verwendung von Laufwerksbuchstaben und HTTPS notwendig, müssen hierfür Programme von Drittanbietern in Betracht gezogen werden. Eine unverschlüsselte Verbindung lediglich über HTTP ist nicht zu empfehlen.

Alternativ zu HTTPS ist auch mit EFS eine Verschlüsselung der übertragenen Daten möglich. Die Daten werden auf dem Client verschlüsselt und dann in verschlüsselter Form zum Server übertragen, wo sie auch verschlüsselt abgelegt werden. Diese Möglichkeit beschränkt sich auf Windows 2000/XP und auf eine Dateigröße von bis zu 60 Megabyte. Das Verfahren mit EFS ist in normalen IT-Umgebungen nicht zu empfehlen, da hierbei zusätzliche Risiken entstehen (G 4.54 Verlust des Schutzes durch das verschlüsselnde Dateisystem EFS ) und gegebenenfalls weitere Maßnahmen umzusetzen sind (M 4.278 Sichere Nutzung von EFS unter Windows Server 2003 ) umzusetzen sind.

Prüffragen:

  • Ist der Webclient auf dem Windows Server 2003 deaktiviert, sofern dieser nicht benötigt wird?

  • Entspricht der WebDAV -Zugang den Authentisierungs- und Verschlüsselungsrichtlinien der Organisation?

  • Sind die Internet Information Services ( IIS ) auf dem WebDAV -Server der Einsatzumgebung entsprechend sicher konfiguriert?

Stand: 13. EL Stand 2013