Sicherheit für IIS-Webserver: Fünfzehn Tipps

6. Regelung der Schreibrechte für den Server: Das klingt zwar einfach, aber ein Webserver auf einer Hochschule hat viele „Autoren“. Dozenten möchten Fernstudenten Kursinformationen zur Verfügung stellen, Verwaltungsangestellte möchten ihren Kollegen Arbeitsinhalte übermitteln. Dies kann sich zu einem Chaos aus unterschiedlichen Zugriffsberechtigungen für jeden auf dem Server gelegenen Ordner entwickeln, das wiederum durch die Installation eines zweiten Servers für Freigabe- und Speicherzwecke umgangen werden kann. Anschließend wird der Webserver so konfiguriert, dass er auf die Ordner auf dem Freigabeserver verweist. Durch diesen Einzelschritt kann der Systemverwalter die Schreibrechte auf dem Webserver selbst auf die Administratorengruppe begrenzen.

7. Verwendung komplexer Passwörter: Irgendwann passiert es jedem IIS-Betreuer, dass er Hinweise auf einen Möchtegernhacker findet. Vielleicht hat der Eindringling dann schon tief genug gebohrt, um mittels Cracking-Software die Passwörter jedes Domainbenutzers in alphabetischer Reihenfolge zu ermitteln. Bei Benutzern mit schwachen Kennwörtern (wie „password“, „changeme“ oder einem Wort aus dem Wörterbuch) würde der Hacker im Handumdrehen Zugang zu diesen Konten erhalten.

8. Reduzierung und Entfernung von Freigaben auf Webservern: Wenn nur die Systemverwalter eine Schreibberechtigung auf dem Webserver besitzen, besteht kein Anlass zu irgendwelchen Freigaben. Freigegebene Ordner locken Angreifer massenhaft an. Mit Hilfe einer einfachen zyklischen Batchdatei kann ein Hacker mit dem Befehl \ eine Liste von IP-Adressen durchforsten und nach Freigaben suchen, die mit „Jeder (Vollzugriff)“ konfiguriert wurden.

9. Deaktivierung von NetBIOS über TCP/IP: eine drastische Maßnahme. Viele Autoren wollen über den UNC-Pfad auf den Webserver zugreifen können. Bei deaktiviertem NetBIOS ist dies allerdings nicht mehr möglich. Auf der anderen Seite können Hacker dann auch nicht mehr die LAN-Ressourcen ausschnüffeln. Kompromisse müssen eben geschlossen werden. Wenn sich der Systemverwalter für diesen Schritt entscheidet, muss er anschließend die Webautoren darüber unterrichten, wie Web-Publishing ohne NetBIOS funktioniert.

10. Sperrung des TCP-Ports: ebenfalls eine drastische Maßnahme. Wenn der Administrator genau weiß, welche TCP-Ports für autorisierte Zwecke zum Zugriff auf den Server benutzt werden, kann er mit TCP/IP in den Einstellungen der Netzwerkadapter-Zuweisungen alle außer den benötigten Ports sperren. Diese Maßnahme sollte allerdings mit Vorsicht benutzt werden, denn es ist hier vor allem beim Fernzugriff leicht möglich, sich selbst vom Webserver auszusperren. Eine aktuelle Liste der TCP-Ports ist hier zu finden.