Hardening Checkliste. IIS 6.0 im Intranet. 6. Januar 2004

Transkript

1 Hardening Checkliste IIS 6.0 im Intranet 6. Januar 2004 Name des Dokument: Checkliste_Win2K3_IIS6_V1.2.doc Version: V 1.2 Autor: Adrian Leuenberger, Compass Security AG Erstellungsdatum: 22. Oktober 2003 Anpassungsdatum: 6. Januar 2004 Lizenznehmer: [Name des Kunden]

2 Inhaltsverzeichnis 1 ÜBERSICHT Audienz Dokumentenstruktur Weitere Checklisten Versionskontrolle 2 2 EINFÜHRUNG Disclaimer Lokale-, Netzwerk- und Applikationssicherheit Hardening (Get Secure) Übersicht Vorgehen Top Schwachstellen bei Windows Systemen 2 3 PLANUNG Hinweise zur Topologie Berechtigungen Applikatorische Aspekte OU-Plan Priorität der Group Policy Security Management (Stay Secure) Hinweise zu den Skripten 9 4 HARDENING IIS System Services Additional Security Settings Installation IIS Default Settings User / Gruppen Konfiguration von Pools und Applikationen Pools Applikationen Patches und Updates URLScan und IIS Lockdown 33 5 PHP Installation IIS Konfiguration 36 6 APPLICATION SECURITY ANHANG Security Templates Default Templates 38 Datum: 6. Jan. 2004

3 7.1.2 Import von Security Templates (Standard) Group Policy Management Console (GPMC) Relevante Servicepacks und Hotfixes Links 42 Datum: 6. Jan. 2004

4 1 Übersicht 1.1 Audienz Diese Checkliste richtet sich an technische Sachverständige. Grundwissen im Bereich von Windows 2003 und IIS 6.0 wird vorausgesetzt. 1.2 Dokumentenstruktur Kapitel Inhalt 1 Übersicht über dieses Dokument. 2 Einführung in das Vorgehen beim Hardening 3 Vorschläge zur Planung 4 Hardeningmassnahmen 5 Integration PHP in IIS 6 Einige Worte zur Applikations-Sicherheit 7ff Anhang 1.3 Weitere Checklisten Compass Security bietet nebst dieser Hardeninganleitung folgende verwandte Listen an. Alle diese Listen sind für Intranet-Systeme optimiert. Wenden Sie sich bei Interesse an info@csnc.ch. Hardeninganleitung Windows 2003 Intranet Basis Exchange 2003 SQL 2003 Internet Information Server 6.0 for Intranet Beschreibung Hardeningempfehlungen für Memberserver, Domaincontroller sowie ADS. Hardeningempfehlungen für Exchange 2003 Server. Vorausgesetzt wird das Hardening des Betriebsystems (siehe Intranet Basis Liste) Hardeningempfehlungen für SQL 2003 Server. Vorausgesetzt wird das Hardening des Betriebsystems (siehe Intranet Basis Liste) Hardeningempfehlungen für IIS 6.0 Server. Vorausgesetzt wird das Hardening des Betriebsystems (siehe Intranet Basis Liste) Seite: 1 Datum: 6. Jan. 2004

5 Hardeninganleitung Windows XP Professional Beschreibung Hardeningempfehlungen für domänenzugehörige Workstations mit Windows XP Proffessional 1.4 Versionskontrolle Version Datum Änderungen Autor Erste Version Adrian Leuenberger PHP hinzugefügt. Nummerierung berichtigt. Adrian Leuenberger Hinzufügen von zusätzlich Kapiteln & Lizenznehmber in Kopfzeile Jan P. Monsch Seite: 2 Datum: 6. Jan. 2004

6 2 Einführung Dieses Dokument beschreibt das Hardening eines IIS 6.0 Servers, der auf einem gemäss unserem Dokument Hardening Checkliste Windows 2003 Intranet Basis aufgesetzten Windows 2003 Member-Server im Intranet aufgesetzt ist. Die in diesem Dokument beschriebenen Massnahmen sind für Systeme, die im Internet exponiert sind, ungenügend! Die Liste sollte lediglich für Systeme im Intranet verwendet werden. Es wird lediglich auf eine Neuinstallation eingegangen. Upgrades von bestehenden Windows 2000 Servern werden nicht beschrieben und sollten auch nicht gemacht werden, um Altlasten zu eliminieren statt diese mitzuschleppen. Ein weiterer wichtiger Punkt ist, dass Datei- und Verzeichnisnamen Case-Sensitiv sind. Das heisst, dass beim Erzeugen von Webseiten auf die Gross- und Kleinschreibung von Pfaden und HTML- Seiten geachtet werden muss. Es ist zwar nach wie vor nicht möglich in einem Verzeichnis eine Datei default.asp und gleichzeitig eine Datei Default.asp zu haben (wie das bei anderen Betriebssystemen möglich ist), aber die Gross- und Kleinschreibung wird beachtet. Ist nur die Datei Default.asp vorhanden, wird ein Request nach default.asp mit einer Fehlermeldung fehlschlagen. 2.1 Disclaimer Im folgenden ein Auszug aus den Vertragsvereinbarungen zwischen dem Kunden und Compass bezüglich Gewährleistung und Haftung: Compass gewährleistet, dass der Vertragsgegenstand sämtlichen Compass zum Zeitpunkt des Vertragsschlusses bekannten technischen Standards entspricht. Compass übernimmt jedoch keinerlei Gewähr dafür, dass der Vertragsgegenstand fehlerfrei ist; dass durch den Einsatz des Vertragsgegenstandes sämtliche Angriffsmöglichkeiten in das System des Kunden ausgeschlossen werden; dass das System des Kunden nach dem Einsatz des Vertragsgegenstandes in jedem Falle einwand-frei funktioniert. Compass lehnt sodann jede Gewährleistung ab, falls der Kunde den Vertragsgegenstand entgegen ausdrücklichen Anweisungen von Compass eingesetzt hat. Compass lehnt jede Haftung für direkte oder indirekte Schäden, die beim Einsatz des Vertragsgegenstandes entstanden sind, ab. Vorbehalten bleiben Fälle, bei de-nen Compass Absicht oder Grobfahrlässigkeit nachgewiesen werden kann. Seite: 3 Datum: 6. Jan. 2004

7 2.2 Lokale-, Netzwerk- und Applikationssicherheit Um ein Netzwerk sicher zu konfigurieren müssen folgende Stufen betrachtet werden. Diese Stufen beschreiben die verschiedenen Problembereiche, welche von Hackern angegriffen werden. Stufe Definition Gegenmassnahmen Lokale Sicherheit Netzwerk Sicherheit Applikationssicherheit Überwachung Der Angreifer hat bereits Zugriff auf das System. Nun versucht er seine Privilegien zu erweitern. (Local Exploits) Der Angreifer hat noch keinen Zugriff auf dem Opfersystem. Nachdem scannen versucht er Schwachstellen auszunutzen um Zugriff zu erlangen. (Remote Exploits) Der Angreifer sucht den Zugriff auf eine E-Business Applikation. Findet er diesen versucht er die Daten eines anderen Benutzers einzusehen. Analyse (automatische wie auch manuelle) der Logfiles und des Netzwerkverkehrs. Hardening Patchen Hardening Firewall Sicherheitsbewusste Entwicklung von Webapplikationen Loganalyse Tools Intrusion Detection Systeme Seite: 4 Datum: 6. Jan. 2004

8 2.3 Hardening (Get Secure) Standard-Installationen bergen eine Unmenge von sicherheitstechnischen Problemen. Die Ursachen dazu sind: Rückwärts Kompatibilität Funktionalität Hinzu kommen weitere Sicherheitslücken, die von Administratoren und Benutzern während dem Betrieb geschaffen werden: Schlechte Rechtevergabe Schwache Passwörter Sicherheitstechnisch schwache Konfigurationen Veralteter Patchlevel usw. Man sieht eine Unmenge von Bereichen die von Hackern ausgenutzt werden können. Prisant ist, dass auch ein Nichts tun Probleme verursachen kann (z.b. Installation des neusten Servicepacks). Um ein neu installiertes System auf einen sicheren Stand zu bringen, wird es einem Hardening unterzogen. Beim Hardening werden unter anderem die oben genannten Punkte angegangen. Dabei erscheinen die einzelnen Schritte als unnötig. Die Güte von Sicherheit kann mittels Anreihung von Hürden definiert werden. Jede noch so kleine Hürde ist eine weitere Massnahme, die den Weg eines Angreifers erschwert resp. versperrt. Seite: 5 Datum: 6. Jan. 2004

9 2.3.1 Übersicht Untenstehende Abbildung illustriert die verschiednen Tätigkeiten, welche in dieser Hardeninganleitung beschrieben werden. Leider können nicht alle Einstellungen automatisiert angewendet werden. Im Group Policy Object Editor sind diejenigen Einstellung die nicht unter Windows Settings-Security Settings gemacht werden können, manuell einzugeben. Die meisten Settings unter Windows Settings-Security Settings können automatisiert und einfach mittels einer INF-Datei eingelesen werden. Die Importierung von ADM-Dateien erweitern die Einstellungsmöglichkeiten unter Administrative Templates. So können umfangreiche Einstellungen auf dem Client einfach über die ganze Firma verteilt werden. Anwendung: Manuelle Einstellungen auf dem AD im Group Policy Object Editor (insb. Office Restrictions) Anwendung: Direkt auf der Maschine oder auf dem AD im Group Policy Object Editor (insb. Installation vom Patches) Bearbeitung: Security Templates MMC-Snap-in oder Editor Anwendung: Via Group Policies auf OU s Administrative Templates (ADM) Manuelle Tätigkeiten Security Templates (INF) Hardened System Seite: 6 Datum: 6. Jan. 2004

10 2.3.2 Vorgehen Weil beim Hardening oftmals die Funktionalität gegen Sicherheit ersetzt wird, können vielseitige und komplexe Probleme auftreten. Wenn nicht genau verstanden wird, was welche Einstellung bezweckt und blind einer Checkliste gefolgt wird, könnten Applikationen den Dienst quittieren. Deshalb ist es wichtig das Hardening auf das entsprechende Unternehmungsnetzwerk anzupassen. Obwohl die vordefinierten Sicherheitsvorlagen (.inf-dateien) zu einem zügigen Vorgehen einladen, wird dringend empfohlen, die in dieser Checkliste aufgeführten Punkte durchzugehen und zu hinterfragen. Folgende Punkte sollten bei einem Hardening beachtet werden: Adaption von Empfehlungen auf das eigenen Unternehmensnetzwerk Strukturiertes Vorgehen in Teilschritten Vorgängiges Überprüfen (Testumgebung) Dokumentation von geprüften Konfigurationen (Sicherstellen der Wiederverwendbarkeit) Hilfestellungen bei Problemen: Einkreisung des Problems Was könnte dieses Problem verursachen (Vergleich mit der Checkliste) Strukturierte Suche und Unhardening in Teilschritten (Achtung: Keine zusätzliche Sicherheitsprobleme schaffen wie z.b. Zuordnung von Administrator-Rechten oder Everyone-Zugriffen) Eventlogs und Fehlermeldungen auswerten und in der Technet Knowledgebase nach Lösungen suchen Seite: 1 Datum: 6. Jan. 2004

11 2.3.3 Top Schwachstellen bei Windows Systemen Die grosse Mehrheit von erfolgreichen Attacken nützt eine kleine Anzahl von Schwachstellen aus. Es wird immer der Weg des geringsten Widerstandes gesucht. Oftmals existieren für solche Schwachstellen einfache Tools, die von jedem Hobby-Hacker angewendet werden können. Werden auf dieser Basis Würmer gebaut resultieren draus fatale Folgen. SANS hat in Zusammenarbeit mit dem FBI eine Liste zusammengestellt, in welcher auf die grössten und meist ausgenutzten Schwachstellen für Unix und Windows hingewiesen wird. Untenstehend sind die entsprechenden Punkte für Windows Systeme abgedruckt. # Schwachstelle Gegenmassnahmen 1 Internet Information Services (IIS) Hardening Regelmässiges Patchen 2 Microsoft SQL Server (MSSQL) Hardening Regelmässiges Patchen 3 Windows Authentication Hardening (Kapitel Error! Reference source not found.) 4 Internet Explorer (IE) Hardening (Kapitel Error! Reference source not found.) Regelmässiges Patchen Proxy mit Content Filter und Virenscanner 5 Windows Remote Access Services Hardening (Kapitel Error! Reference source not found.) 6 Microsoft Data Access Components (MDAC) -- Remote Data Services Patchen oder Deinstallation (Kapitel Error! Reference source not found.) 7 Windows Scripting Host (WSH) Content Filtering (Blocken von Scripts und Executables auf dem Mail-GW) 8 Microsoft Outlook and Outlook Express Deinstallation von Outlook Express. Hardening von Outlook gemäss Kapitel Error! Reference source not found.. 9 Windows Peer to Peer File Sharing (P2P) Interne Richtlinien sollten den Gebrauch solcher Software verbieten. Firewall sollte die benutzen Protokolle blocken. 10 Simple Network Management Protocol (SNMP) Hardening (Kapitel Error! Reference source not found.) Seite: 2 Datum: 6. Jan. 2004

12 3 Planung 3.1 Hinweise zur Topologie IIS Server sollten wenn möglich nicht direkt im Intranet plaziert werden, sondern durch eine Firewall davon abgetrennt werden. Damit kann einfach verhindert werden, dass der IIS Server über andere Dienste als HTTP und HTTPS erreicht werden kann. Ein weiterer Punkt, der beachtet werden sollte ist, dass Applikations-Server, IIS-Server und SQL- Server nicht auf dem selben Server laufen sollen. Dies erleichtert die Wartbarkeit und verbessert die Verfügbarkeit. Wenn es die Daten verlangen, sollte eine Verschlüsselung des Netzwerkverkehrs per SSL in Betracht gezogen werden, um die Daten bei der Übertragung vor dem Belauschen zu schützen. 3.2 Berechtigungen Auf Berechtigungen auf Freigabeebene wird hier nicht genauer eingegangen. Es soll aber an dieser Stelle auf folgende goldene Regel der Sicherheit aufmerksam gemacht werden. Least Privilege Prinzip - Genau soviel wie nötig So kann nicht nur Datenklau und unberechtigter Dateneinsicht verhindert werden, sondern auch der Wirkungskreis von Viren eingegrenzt werden. Z.b. Iloveyou (Loveletter virus) überschrieb viele Dateien auch auf gemappten Laufwerken. Seite: 3 Datum: 6. Jan. 2004

13 3.3 Applikatorische Aspekte Die Sicherheit des IIS Servers selbst ist wichtig. Allerdings liegt ein sehr grosser Teil der Gesamtsicherheit in der Hand der Applikations-Programmierer, die mit Ihren Applikationen über den IIS Server auf Backend-Server zugreifen. Aus diesem Grunde wird an dieser Stelle auf einige wichtige Punkte hingewiesen, die diejenigen, die den IIS-Server verwenden, zu beachten haben. ALLE Usereingaben MÜSSEN auf Ihre Gültigkeit geprüft werden. Absolut NIE dürfen Eingaben von Benutzern ohne Check übernommen werden. Dies gilt z.b. für Daten aus Formularen, die weiterverarbeitet werden und für Zugriffe auch Backend-Server verwendet werden. Dazu gehören auch die Daten aus "hidden"-feldern. Rule 1: Alle Usereingaben sind als Fehlerhaft und Manipuliert zu betrachten, bis das Gegenteil durch eine Validierung bewiesen ist! Rule 2: Das "least privilege" Prinzip. Der technische User darf NIE ein Administrator sein, sondern nur die minimal nötigen Rechte besitzen! Rule 3: Es sollten NIE hart codierte Passworte für den Backend-Zugriff verwendet werden. Statt dessen sollte die eingebaute Windows Authentisierung verwendet werden! Seite: 4 Datum: 6. Jan. 2004

14 3.4 OU-Plan Mittels Organisationseinheiten (Organizational Unit) werden Objekte im Active Directory organisiert. Gleiches wird dabei gruppiert. Es handelt sich dabei um: Benutzer Computer Drucker andere OUs OU s werden für folgende Tätigkeiten eingesetzt: Delegieren der Verwaltung an AD-Objekte (Admin Gruppen Rechte zuweisen) OUs sind keine sind keine Sicherheitsprincipals Organisieren von Ressourcen, nicht Festlegen von Berechtigungen (Dies wird über Gruppen bewerkstelligt) Gruppenrichtlinien wird auf OU Gruppenrichtlinien festgelegt OU s sind für die Verwaltung bestimmt und für Benutzer unsichtbar Wie nun die OU Struktur festgelegt wird, muss im Einzelnen entschieden werden. Rudimentär betrachtet müssen folgende Punkte beachtet werden (untenstehende Aufteilung soll lediglich als Beispiel betrachtet werden): Erstellen von OU s zum Delegieren von Verwaltungsaufgaben o OU s nach physischen Standort (Vorteilhaft für Drucker und Computer) o OU s nach Geschäftsbereich (Geeigneter für Benutzerkonten) Erstellen von OU s für die Zuweisung von Gruppenrichtlinien (Security Templates) o OU s nach Funktion oder Aufgabe (Benutzer und Server) Untenstehende Abbildung zeigt ein Beispiel für die Anwendung der Security Templates auf Server auf. Seite: 5 Datum: 6. Jan. 2004

15 Domain Root Domain Policy Member Server Baseline Policy Member Server OU Domain Controllers Domain Controller Policy File File Server Baseline Policy Print Printserver Baseline Policy Infra Infrastr. Server Baseline Policy IIS Web Server Baseline Policy SQL SQL Server Baseline Policy Exchange Mail Server Baseline Policy Seite: 6 Datum: 6. Jan. 2004

16 3.5 Priorität der Group Policy Mittels Group Policies können die einzelnen Einstellungen angewendet werden. Da diese Policy einer Gruppe (OU) zugeordnet wird, werden die Einstellungen auf allen Servern in der entsprechenden OU übernommen. Werden neue Objekte in OU s mit aktiven Group Policies verschoben, erhalten diese Objekte automatisch die definierten Einstellungen. Group Policies können auf verschiedenen Stufen angelegt werden. Folgende Liste zeigt die Reihenfolge der Zuordnung der Policies. 1. Local Policy 2. Site Policy 3. Domain Policy 4. Parent OU Policy 5. Child OU Policy (geschachtelte OU) Werden die gleichen Einstellungen in verschiedenen Stufen festgelegt, entspricht die zu letzt Zugeordnete der effektiven Einstellung. In den Eigenschaften der Group Policy kann die Option No Override angewählt werden. In diesem Fall wird die entsprechende Policy nicht überschrieben. 3.6 Security Management (Stay Secure) Das Hardening und somit die Empfehlungen in diesem Dokument konzentrieren sich auf die Sicherung eines Systems zu einem bestimmten Zeitpunkt. Da im Laufe der Zeit neue Erkenntnisse und Schwachstellen auftauchen, schwindet der Sicherheitslevel. Zudem ist das System selber einem Wandel ausgesetzt. D.h. Software wird installiert und Konfigurationen werden geändert. Aus diesen Gründen ist ein Security Management, welches folgende Tätigkeiten beinhaltet, unablässig. Zweckmässiges Logging und Kontrolle der Logs (siehe Anhang) Installation und Betrieb eines IDS Abonnieren aller relevanten Security Newsletter (siehe Anhang) Regelmässige Updates (Hotfixes, Updates) Regelmässige Vulnerability Scans im Intranet (z.b. Nessus, LanGuard, ) Regelmässige Passwort Audits (z.b. L0pht, Cain, ) Die in diesem Dokument beschriebenen Massnahmen zielen auf die sichere Installation des Microsoft IIS-Servers. Es sollten aber auch regelmässige Checks durchgeführt werden, damit sicher gestellt werden kann, dass die Sicherheit noch gewährleistet ist. Auf Checks auf Betriebssystem Level wird hier nicht eingegangen. Die wichtigste Massnahme in diesem Zusammenhang ist es, sich regelmässig über neu verfügbare Servicepacks, Kumulative Patches und Security Hotfixes zu informieren und diese zu installieren. Hier bieten sich durch Microsoft automatisch verschickte Mails an (Siehe Links in Kapitel 7.3). Man sollte sich allerdings nicht zu sehr auf das Rating verlassen, da Microsoft dazu neigt, die Auswirkungen eher etwas unter zu bewerten. Recherche vom bezüglich IIS 6.0 Hotfixes unter Seite: 7 Datum: 6. Jan. 2004

17 Search by Product/Technology and Service Pack Select the Product/Technology and Service Pack you are running to view the security bulletins that are available for your system. (More information on how to use this feature is available in the Search Tool FAQ). Product/Technology: Internet Information Services 6.0 Service Pack: All Or, Search by Knowledge Base Article Enter a Knowledge Base article number to view any security bulletins associated with it. Knowledge base article number (e.g. Q123456): There are no security bulletins for that product and service pack combination Ein weiteres Hilfsmittel ist der sog. Microsoft Baseline Security Analyzer (kurz MBSA). Er dient dazu, die momentanen Einstellungen mit einer Datenbank zu vergleichen, die jeweils vor dem Test neu heruntergeladen werden sollte. Die Links zu MBSA befinden sich im Anhang, Kapitel 7.3. Der Output nach dem Scan eines gehärteten Servers sieht dann in etwa wie folgt aus: Seite: 8 Datum: 6. Jan. 2004

18 Es sollte regelmässig überprüft werden, dass nur tatsächlich berechtigte User Mitglieder der sysadmin Rolle sind. MBSA prüft alle User, ob sie leichte oder keine Passworte gesetzt haben. Wenn die Windows Authentisierung verwendet wird, wird dies durch die Domain Policy sichergestellt. Aus diesem Grunde sollten keine oder nur wirklich benötigte User direkt im IIS Server definiert werden. Die Basic-Auth Authentisierung sollte wenn möglich vermieden werden oder nur über SSL zugelassen werden. Wenn Mitarbeiter das Unternehmen verlassen, muss sichergestellt werden, dass deren allfällige Berechtigungen auch im IIS Server entfernt werden. 3.7 Hinweise zu den Skripten Integraler Bestandteil diese Hardening Guides sind die folgenden zwei zusätzliche Files: Intranet-Baseline-IISServer-CSNC-V1.0.inf Group Policy. Die durch den IIS Server zusätzlich benötigten Services. Intranet-IISHardening-CSNC-V1.0.cmd Dient dazu, nach der Installation des IIS-Servers verbliebene Setup-Files zu löschen. Das Skript kann über die Eingabeaufforderung gestartet werden. Weitere kann es dazu dienen, die Grundstrukturen für die einzelnen gehosteten Webseiten zu erstellen. WICHTIG: Sämtliche gelieferten Files sollten zuerst begutachtet und auf deren Plausibilität hin untersucht werden! Gewisse Parameter müssen vor der Ausführung an die lokalen Gegebenheiten angepasst werden. Seite: 9 Datum: 6. Jan. 2004

19 4 Hardening IIS 6.0 Der Internet Information Services (IIS) Manager, zu finden über Start Programs Administrative Tools Internet Information Services (IIS) Manager, wird im Folgenden kurz als IIS Manager bezeichnet. Für alle nicht beschriebenen Konfigurations-Optionen gilt: Sie können je nach Bedarf gewählt werden. Es gibt keine Security-relevanten Einflüsse dadurch. Alle Usernamen und Passworte in diesem Dokument dienen als Beispiel und zur Verdeutlichung von Zusammenhängen. Sie sollten nicht in dieser Form in der produktiven Installation verwendet werden. Wenn möglich sollten keine Usernamen verwendet werden, die auf den Einsatzzweck schliessen lassen. Dieses Kapitel ist derart aufgebaut, dass es von Vorne nach Hinten durchgearbeitet werden kann und jeweils die Voraussetzungen für die späteren Schritte erfüllt sind. Das Hardening-Skript muss auf dem Member-Server ausgeführt werden, nachdem im Skript die entsprechenden Einstellungen vorgenommen worden sind. Seite: 10 Datum: 6. Jan. 2004

20 4.1 System Services Auf einem gemäss unserem Guide Checkliste_Win2K3_Intranet_Basis_V1.0 gehärteten System sind einige Services, die der IIS 6.0 für den Betrieb benötigt abgestellt und müssen deshalb durch die Policy für IIS-Server wieder aktiviert werden. Nr. Service/Beschreibung Empfehlung Gewichtung Referenz 4300 HTTP SSL Ist die SSL Komponente des IIS. HTTP SSL Enabled Security Template (Automatisch) 4301 IIS Admin Dienst Wird für die Administration des IIS benötigt. IIS Admin Service Enabled Security Template (Automatisch) 4302 World Wide Web Publishing Service (W3SVC) World Wide Web Publishing Service Enabled Security Template (Automatisch) 4303 COM+-Ereignissystem Unterstützt den Systemereignis- Benachrichtigungsdienst (SENS, System Event Notification Service), der die automatische Verteilung von Ereignissen an abonnierende COM- Komponenten zur Verfügung stellt. Wenn der Dienst beendet ist, wird SENS beendet und ist nicht in der Lage Anmelde- und Abmeldebenachrichtigungen zur Verfügung zu stellen. Wenn der Dienst deaktiviert ist, können abhängige Dienste nicht gestartet werden. COM+ Event System Enabled Security Template (Automatisch) 4304 FTP Dienst Stellt das File Transfer Protokoll zur Verfügung. (Teil des IIS). FTP Publishing Service Disabled (Nur wenn benötigt, im Intranet überflüssig) Security Template (Automatisch) Seite: 11 Datum: 6. Jan. 2004

21 Nr. Service/Beschreibung Empfehlung Gewichtung Referenz 4305 Microsoft POP3 Service Zusammen mit dem SMTP Server wird ein einfacher Mailserver zur Verfügung gestellt. Microsoft POP3 Service Disabled (Nur wenn benötigt) Security Template (Automatisch) 4306 NNTP Service Unterstützt die zentrale Speicherung von Nachrichten (News). Ist eine Komponente von IIS. Network News Transport Protocol (NNTP) Disabled (Nur wenn benötigt) Security Template (Automatisch) 4307 SMTP Service Bildet zusammen mit dem POP Server ein Mailserver. Kann auch als Relay benutzt werden. Simple Mail Transport Protocol (SMTP) Disabled (Nur wenn benötigt) Security Template (Automatisch) Services, welche durch den IIS verwendet werden, aber bereits durch die Member-Server Policy eingeschaltet sind: Remote Procedure Call (RPC) Automatic Security Accounts Manager Automatic Event Log Automatic Seite: 12 Datum: 6. Jan. 2004

22 4.2 Additional Security Settings Da die Installation des IIS für alle Server per Default verhindert wird, muss diese Einstellungen für die IIS-Server rückgängig gemacht werden (genauer überschrieben werden). Nr. Schwachstelle Elimination Gewichtung Referenz 4200 Group Policy Management Console... Group Policy Objects IIS Servers Edit... Group Policy Object Editor Computer Configuration Administrative Templates Windows Components Internet Information Services Prevent IIS Installation: Disabled Manueller Eingriff Group Policy Object Editor Seite: 13 Datum: 6. Jan. 2004

23 4.3 Installation IIS 6.0 Es wird empfohlen, nicht den Wizard unter Start Programs Administrative Tools Manage your Server zu verwenden, sondern stattdessen den Weg über Start Settings Control Panel Add or remove Programs Add/Remove Windows Components zu gehen. Es werden nur die minimal nötigen Komponenten beschrieben. Weitere Komponenten können nach Bedarf aktiviert werden. Nr. Sicherheitseinstellung Empfehlung Gewichtung Referenz 4308 Application Server Application Server Console Enabled Manuelle Einstellung 4309 Application Server ASP.NET Disabled Manuelle Einstellung 4310 Application Server Enable network COM+ access Enabled Manuelle Einstellung 4311 Application Server Enable network DTC access Disabled Manuelle Einstellung 4312 Application Server Internet Information Services (IIS) Enabled Manuelle Einstellung 4313 Application Server Message Queuing Disabled Manuelle Einstellung Seite: 14 Datum: 6. Jan. 2004

24 Nr. Sicherheitseinstellung Empfehlung Gewichtung Referenz 4314 Application Server Internet Information Services (IIS) Background Intelligent Transfer Service (BITS) Server Extensions Disabled Manuelle Einstellung 4315 Application Server Internet Information Services (IIS) Common Files Enabled Manuelle Einstellung 4316 Application Server Internet Information Services (IIS) File Transfer Protocol (FTP) Service Disabled Manuelle Einstellung 4317 Application Server Internet Information Services (IIS) FrontPage 2002 Server Extensions Disabled Manuelle Einstellung 4318 Application Server Internet Information Services (IIS) Internet Information Services Manager Enabled Manuelle Einstellung Seite: 15 Datum: 6. Jan. 2004

25 Nr. Sicherheitseinstellung Empfehlung Gewichtung Referenz 4319 Application Server Internet Information Services (IIS) Internet Printing Disabled Manuelle Einstellung 4320 Application Server Internet Information Services (IIS) NNTP Service Disabled Manuelle Einstellung 4321 Application Server Internet Information Services (IIS) SMTP Service Disabled Manuelle Einstellung 4322 Application Server Internet Information Services (IIS) World Wide Web Service Active Server Pages Disabled Manuelle Einstellung 4323 Application Server Internet Information Services (IIS) World Wide Web Service Internet Data Connector Disabled Manuelle Einstellung Seite: 16 Datum: 6. Jan. 2004

26 Nr. Sicherheitseinstellung Empfehlung Gewichtung Referenz 4324 Application Server Internet Information Services (IIS) World Wide Web Service Remote Administration (HTML) Disabled Manuelle Einstellung 4325 Application Server Internet Information Services (IIS) World Wide Web Service Remote Desktop Web Connection Disabled Manuelle Einstellung 4326 Application Server Internet Information Services (IIS) World Wide Web Service Server Side Includes Enabled Manuelle Einstellung 4327 Application Server Internet Information Services (IIS) World Wide Web Service WebDAV Publishing Disabled Manuelle Einstellung Seite: 17 Datum: 6. Jan. 2004

27 Nr. Sicherheitseinstellung Empfehlung Gewichtung Referenz 4328 Application Server Internet Information Services (IIS) World Wide Web Service World Wide Web Service Enabled Manuelle Einstellung 4329 Networking Services RPC over HTTP Proxy DISABLED Seite: 18 Datum: 6. Jan. 2004

28 4.4 Default Settings Obwohl nach einer Default-Installation von IIS 6.0 nur die minimal nötigen Komponenten installiert sind, können noch diverse Einstellungen getroffen werden und Files / Verzeichnisse entfernt werden. Dieses initiale Lock-Down wird in diesem Kapitel beschrieben. Die folgenden Einstellungen werden dann für neu erstellte Web Sites übernommen und müssen unter Umständen individuell wieder etwas aufgeweicht werden. Nr. Sicherheitseinstellung Empfehlung Gewichtung Referenz 4400 Neue Verzeichnis-Struktur erstellen Default: D:\websites\default logs asp-cache scripts htdocs errorpages Siehe Details nach dieser Tabelle für eine Übersicht über die vorgeschlagene Directory-Struktur. Hardening Script 4401 IIS Manager Enable Direct Metabase Edit Disabled 4402 IIS Manager Web Sites Löschen aller per default erstellter Web Sites IIS Manager Application Pools Löschen aller per default definierter Application Pools. Seite: 19 Datum: 6. Jan. 2004

29 Nr. Sicherheitseinstellung Empfehlung Gewichtung Referenz 4404 IIS Manager Web Service Extensions All Unknown ISAPI Extensions = Prohibited All Unknown CGI Extensions = Prohibited Active Server Pages = Prohibited Internet Data Connector = Prohibited Server Side Includes = Prohibited WebDAV = Prohibited SSI und ASP sollten nicht in der Default Konfiguration eingeschaltet werden, sondern später bei Bedarf IIS Manager Web Sites Web Site Enable Logging = True 4406 IIS Manager Web Sites Web Site General New log schedule = Daily Log file directory = D:\websites\default\logs 4407 IIS Manager Web Sites Web Site Advanced Date = Enabled Time = Enabled Extended Properties: Alles Enabled ausser Cookie. Seite: 20 Datum: 6. Jan. 2004

30 Nr. Sicherheitseinstellung Empfehlung Gewichtung Referenz 4408 IIS Manager Web Sites Home Directory Read = Disabled Write = Disabled Directory Browsing = Disabled Log visits = Enabled Index this resource = Disabled Execute Permissions = None 4409 IIS Manager Web Sites Home Directory Configuration Mappings Folgende Application Extensions sollten entfernt werden:.cdx.cer.idc Danach sollten nur noch die folgende Application Extensions vorhanden sein:.asa.asp.shtm.shtml.stm Seite: 21 Datum: 6. Jan. 2004

31 Nr. Sicherheitseinstellung Empfehlung Gewichtung Referenz 4410 IIS Manager Web Sites Home Directory Configuration Mappings Cache ISAPI extensions = Enabled Bei allen Application extensions nur die Methoden GET und POST zulassen und alle anderen Methoden entfernen. Die anderen Methoden wie TRACE und HEAD wurden zum Debugging in das HTTP Protokoll aufgenommen und werden kaum verwendet. Schlimmer, sie erlauben das sog. Cross-Site- Tracing, das es unter gewissen Umständen ermöglicht, Session-Informationen zu stehlen IIS Manager Web Sites Home Directory Configuration Debugging Enable ASP server-side script debugging = Disabled Enable ASP client-side script debugging = Disabled Send the following text error message to client: An error occurred on the server when processing the URL. Please contact the system administrator Oder Deutsch: Es ist ein Fehler bei der Verarbeitng Ihrer Anfrage aufgetreten. Bitte setzen Sie sich mit dem System Administrator in Verbindung IIS Manager Web Sites Home Directory Configuration Cache Options Disk cache directory = D:\websites\default\asp_cache Seite: 22 Datum: 6. Jan. 2004