Categories: FirewallSicherheit

Sicherheit für IIS-Webserver: Fünfzehn Tipps

11. Dateien mit den Erweiterungen .bat und .exe sind regelmäßig zu überprüfen: Einmal pro Woche sollte eine Suche mit den Suchvariablen *.bat und *.exe stattfinden, um nachzusehen, ob auf dem Webserver ausführbare Dateien vorhanden sind, die dem Hacker größte Freude, dem Systemverwalter dagegen größtes Leid bereiten könnten. Unter diesen Bösewichtern können sich auch einige *.reg-Dateien befinden. Klickt man mit der rechten Maustaste auf diese Dateien und wählt „Bearbeiten“, kann man sehen, welche Einträge der Hacker in der Registrierung hinterlassen hat, mit denen er auf gegebenenfalls auf die Systemressourcen zugreifen könnte. Anschließend können diejenigen Einträge gelöscht werden, die niemandem als dem Eindringling nützen.

12. Sicherheit der IIS-Verzeichnisse: Die IIS-Verzeichnissicherheit ermöglicht die Ablehnung bestimmter IP-Adressen, eines Teilnetzes oder sogar eines Domain-Namens. Alternativ lässt sich auch ein Tool namens WhosOn einsetzen (zum Preis von etwa 200 Euro), mit dem man sehen kann, welche IP-Adressen auf bestimmte Dateien auf dem Server zugreifen wollen. WhosOn erstellt eine Liste von „Ausnahmen“, von Fällen, die näher untersucht werden müssen, da der Browser aus verschiedenen Gründen verdächtigt erscheint. Sobald man einen Bösewicht beim Versuch erwischt, etwa auf die Datei cmd.exe zuzugreifen, kann man aus dem Programm heraus den Benutzer von der weiteren Nutzung des Webservers ausschließen. Bei stark frequentierten Websites kann sich das leicht in eine Vollzeitbeschäftigung auswachsen! Dabei ist zu berücksichtigen, dass die Serverleistung – vor allem bei der Verweigerung eines ganzen Domainnamens – durch den Einsatz dieser Tools beeinträchtigt wird. Der Name jedes Benutzers muss bestätigt werden, um sicherzustellen, dass der Anwender nicht der gesperrten Domain angehört. Dennoch ist beim Intranet dieses Tool mit Gold nicht aufzuwiegen. Interne Ressourcen können allen LAN-Benutzern und ein paar ausgewählten Anwendern zur Verfügung gestellt werden.

13. Einsatz von NTFS-Sicherheit: Die Standardeinstellung bei allen NTFS-Laufwerken ist „Jeder (Vollzugriff)“. Ändert man diese Einstellung, muss man darauf achten, sich nicht selbst auszusperren. Kein Benutzer sollte vollen Zugriff erhalten. Der Systemverwalter benötigt Vollzugriff, gegebenenfalls auch das zweite Systemverwalterkonto, und die Abteilungen System und Services brauchen eine den jeweiligen Dateien angepasste Zugriffsberechtigung. Am wichtigsten ist der Ordner system32: Dieser sollte so wenig Berechtigungen wie möglich zugewiesen bekommen. Mit Hilfe von NTFS-Berechtigungen werden die Dateien und Anwendungen geschützt, auf die normale Surfer ohnehin nicht zugreifen müssen.

14. Verwaltung von Benutzerkonten: Wer IIS installiert hat, hat wohl auch ein TSInternetUser-Konto. Dieses sollte deaktiviert werden, solange es nicht unbedingt benötigt wird. Das Benutzerkonto ist ein leichtes Ziel und wird gern von Hackern angegriffen. Zur Unterstützung der Verwaltung von Benutzerkonten bietet sich eine straff formulierte lokale Sicherheitsrichtlinie an. Der IUSR sollte möglichst wenige Rechte besitzen.

15. Überwachung der Webserver: Diese Überwachung stellt eine extreme Belastung für das System dar. Deshalb sollte sie nicht verwendet werden, wenn man nicht beabsichtigt, sie regelmäßig zu überprüfen. Das Tool sollte zunächst alle Systemereignisse protokollieren; weitere Überwachungsfunktionen können bei Bedarf hinzugefügt werden. Sollte das obengenannte Werkzeug WhosOn zum Einsatz kommen, spielt die Überwachung eine weniger wichtige Rolle. IIS protokolliert standardmäßig alle Zugriffe. Diese Informationen verwandelt WhosOn in eine leicht lesbare Datenbank, die sich mit Access oder Excel öffnen lässt. Schon eine einfache, aber regelmäßige Durchsicht der Ausnahmendatenbank gibt einen guten Überblick über die Schwachstellen des Webservers zu einem beliebigen Zeitpunkt.

Page: 1 2 3 4 5 6

ZDNet.de Redaktion

Recent Posts

Tech-Unternehmen in Deutschland blicken mit Sorge auf die USA

Bitkom-Umfrage zeigt: 78 Prozent befürchten durch Trump-Sieg Schaden für die deutsche Wirtschaft.

2 Wochen ago

Support-Ende von Windows 10: Microsoft hält an TPM 2.0 für Windows 11 fest

Der Sicherheitschip ist laut Microsoft eine „Notwendigkeit“. Die Hardwareanforderungen für Windows 11 führen allerdings weiterhin…

2 Wochen ago

IONOS führt Preisrechner für Cloud-Dienste ein

Wer die Cloud-Angebote des IT-Dienstleisters nutzen will, kann ab sofort die Kosten noch vor Bereitstellung…

2 Wochen ago

Jahresrückblick: 467.000 neue schädliche Dateien täglich

Die Zahl der neuen schädlichen Dateien steigt seit 2021 kontinuierlich. 93 Prozent der Angriffe nehmen…

2 Wochen ago

Kaspersky-Prognose: Raffiniertere Deepfakes und mehr Abo-Betrug

Die zunehmende KI-Verbreitung erschwere die Erkennung von Fälschungen. Gleichzeitig begünstige der Abo-Trend das Aufkommen neuer…

2 Wochen ago

Infineon und Quantinuum schließen Entwicklungspartnerschaft

Gemeinsam arbeiten die Konzerne an Ionenfallen, die in Hochleistungs-Quantencomputern zum Einsatz kommen sollen.

2 Wochen ago