Sicherheit für IIS-Webserver: Fünfzehn Tipps

11. Dateien mit den Erweiterungen .bat und .exe sind regelmäßig zu überprüfen: Einmal pro Woche sollte eine Suche mit den Suchvariablen *.bat und *.exe stattfinden, um nachzusehen, ob auf dem Webserver ausführbare Dateien vorhanden sind, die dem Hacker größte Freude, dem Systemverwalter dagegen größtes Leid bereiten könnten. Unter diesen Bösewichtern können sich auch einige *.reg-Dateien befinden. Klickt man mit der rechten Maustaste auf diese Dateien und wählt „Bearbeiten“, kann man sehen, welche Einträge der Hacker in der Registrierung hinterlassen hat, mit denen er auf gegebenenfalls auf die Systemressourcen zugreifen könnte. Anschließend können diejenigen Einträge gelöscht werden, die niemandem als dem Eindringling nützen.

12. Sicherheit der IIS-Verzeichnisse: Die IIS-Verzeichnissicherheit ermöglicht die Ablehnung bestimmter IP-Adressen, eines Teilnetzes oder sogar eines Domain-Namens. Alternativ lässt sich auch ein Tool namens WhosOn einsetzen (zum Preis von etwa 200 Euro), mit dem man sehen kann, welche IP-Adressen auf bestimmte Dateien auf dem Server zugreifen wollen. WhosOn erstellt eine Liste von „Ausnahmen“, von Fällen, die näher untersucht werden müssen, da der Browser aus verschiedenen Gründen verdächtigt erscheint. Sobald man einen Bösewicht beim Versuch erwischt, etwa auf die Datei cmd.exe zuzugreifen, kann man aus dem Programm heraus den Benutzer von der weiteren Nutzung des Webservers ausschließen. Bei stark frequentierten Websites kann sich das leicht in eine Vollzeitbeschäftigung auswachsen! Dabei ist zu berücksichtigen, dass die Serverleistung – vor allem bei der Verweigerung eines ganzen Domainnamens – durch den Einsatz dieser Tools beeinträchtigt wird. Der Name jedes Benutzers muss bestätigt werden, um sicherzustellen, dass der Anwender nicht der gesperrten Domain angehört. Dennoch ist beim Intranet dieses Tool mit Gold nicht aufzuwiegen. Interne Ressourcen können allen LAN-Benutzern und ein paar ausgewählten Anwendern zur Verfügung gestellt werden.

13. Einsatz von NTFS-Sicherheit: Die Standardeinstellung bei allen NTFS-Laufwerken ist „Jeder (Vollzugriff)“. Ändert man diese Einstellung, muss man darauf achten, sich nicht selbst auszusperren. Kein Benutzer sollte vollen Zugriff erhalten. Der Systemverwalter benötigt Vollzugriff, gegebenenfalls auch das zweite Systemverwalterkonto, und die Abteilungen System und Services brauchen eine den jeweiligen Dateien angepasste Zugriffsberechtigung. Am wichtigsten ist der Ordner system32: Dieser sollte so wenig Berechtigungen wie möglich zugewiesen bekommen. Mit Hilfe von NTFS-Berechtigungen werden die Dateien und Anwendungen geschützt, auf die normale Surfer ohnehin nicht zugreifen müssen.

14. Verwaltung von Benutzerkonten: Wer IIS installiert hat, hat wohl auch ein TSInternetUser-Konto. Dieses sollte deaktiviert werden, solange es nicht unbedingt benötigt wird. Das Benutzerkonto ist ein leichtes Ziel und wird gern von Hackern angegriffen. Zur Unterstützung der Verwaltung von Benutzerkonten bietet sich eine straff formulierte lokale Sicherheitsrichtlinie an. Der IUSR sollte möglichst wenige Rechte besitzen.

15. Überwachung der Webserver: Diese Überwachung stellt eine extreme Belastung für das System dar. Deshalb sollte sie nicht verwendet werden, wenn man nicht beabsichtigt, sie regelmäßig zu überprüfen. Das Tool sollte zunächst alle Systemereignisse protokollieren; weitere Überwachungsfunktionen können bei Bedarf hinzugefügt werden. Sollte das obengenannte Werkzeug WhosOn zum Einsatz kommen, spielt die Überwachung eine weniger wichtige Rolle. IIS protokolliert standardmäßig alle Zugriffe. Diese Informationen verwandelt WhosOn in eine leicht lesbare Datenbank, die sich mit Access oder Excel öffnen lässt. Schon eine einfache, aber regelmäßige Durchsicht der Ausnahmendatenbank gibt einen guten Überblick über die Schwachstellen des Webservers zu einem beliebigen Zeitpunkt.