Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 4.180 Konfiguration der Authentisierungsmechanismen für den Zugriff auf den IIS - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 4.180 Konfiguration der Authentisierungsmechanismen für den Zugriff auf den IIS

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Administrator

Jede HTTP-Anforderung eines Browsers wird unter dem IIS im Sicherheitskontext eines Benutzerkontos in Windows NT bzw. Windows 2000 ausgeführt. Das Benutzerkonto muss entweder auf dem IIS oder in der Domäne (oftmals bei Intranet-Servern) definiert werden.

Beim Zugriff auf den IIS wird zunächst anhand der IP-Adresse bzw. des Domänennamens geprüft, ob der Client berechtigt ist, auf den IIS zuzugreifen. Anschließend erfolgt die Authentisierung, aus der die Zuordnung des Benutzerkontos mit den entsprechenden Rechten resultiert. Die zugelassenen IP-Adressen bzw. Domänennamen und die Authentisierungsmethode wird in der Microsoft Management Console (MMC) unter der Option Eigenschaften des entsprechenden Web-Verzeichnisses definiert.

Der IIS 4.0 unterstützt vier Authentisierungsmethoden für den WWW-Server:

Im IIS 5.0 wurden die Authentisierungsmethoden erweitert. Zusätzlich zu den oben genannten Methoden wurde Kerberos V5 in die Windows-Authentisierung integriert und die Digest-Authentisierung zur Verfügung gestellt.

Für den Zugriff auf den FTP-Server kann zwischen Anonymer Zugriff und Standard-Authentisierung gewählt werden.

Anonymer Zugriff

Für den anonymen Zugriff auf den Web-Server wird das Benutzerkonto IUSR_Computername verwendet. Dieses wird automatisch bei der Installation des IIS erstellt und mit einem zufälligen Passwort versehen. Das Benutzerkonto IUSR_Computername gehört der Gruppe Gast an und besitzt das Recht, sich lokal am System anzumelden.

Bei einem anonymen Zugriff auf den FTP-Server meldet sich der Nutzer mit dem Benutzernamen anonymous an. Als Passwort wird in der Regel die E-Mail-Adresse des Benutzers verwendet. Für den Dateizugriff werden die Berechtigungen des Kontos IUSR_Computername herangezogen.

Standard-Authentisierung

Die Standard-Authentisierung basiert auf der Verwendung von Benutzernamen und Passwort, wobei der Benutzer über lokale Anmelderechte verfügen muss. Durch Festlegen geeigneter Benutzergruppen kann der Zugriff auf ausgewählte Ressourcen beschränkt werden. Die übertragenen Anmeldeinformationen zum Zugriff auf den WWW-Server werden nicht sicher verschlüsselt (UUEncoding oder Base64-Kodierung) und können abgefangen und leicht decodiert werden.

Bei der Verwendung der Standard-Authentisierung auf einem FTP-Server werden wie bei der anonymen Anmeldung der Benutzername und das Passwort unverschlüsselt im Klartext übertragen. Aus diesem Grund sollte diese Authentisierungsmethode nicht in unsicheren Netzen verwendet werden.

Windows-Authentisierung

Die Authentisierung mittels Windows Challenge/Response eignet sich insbesondere für ein Intranet mit einer Windows-basierten Client-Server-Umgebung. Wenn ein Benutzer sich lokal als Domänenbenutzer angemeldet hat, kann er ohne zusätzliche Authentisierung auf weitere Server dieser Domäne zugreifen.

Windows 2000 verwendet bei der Windows-Authentisierung die Protokolle NTLM und Kerberos V5, die auch zur Authentisierung am Web-Server eingesetzt werden können. Welches Protokoll zum Einsatz kommt, ist abhängig von den Fähigkeiten des beteiligten Clients bzw. Servers. Standardmäßig wird Kerberos V5 verwendet. Unterstützt einer der Kommunikationspartner dieses Protokoll nicht, wird NTLM für die Authentisierung genutzt.

Authentisierung über Client-Zertifikate

Eine weitere Option im Bereich Verzeichnissicherheit ist die Anwendung der SSL-Sicherheitsfunktionen (Secure Socket Layer) zur Authentisierung eines Benutzers (Server- und Client-Authentisierung) und zur Verschlüsselung der zu übertragenen Daten. Der IIS unterstützt die SSL Version 3.0. Beim Anmeldevorgang wird vom Browser des Benutzers das Client-Zertifikat an den Web-Server übertragen und dort verifiziert. Der IIS ordnet das Zertifikat einem entsprechenden Windows-Benutzerkonto zu, über das die Rechte und Zugriffsrichtlinien des Benutzers definiert werden.

Für die Server-Authentisierung muss dem Client-Browser das Server-Zertifikat bekannt sein. Wird eine Verbindung zum ersten mal zu einem Server aufgebaut, dessen Zertifikat noch nicht bekannt ist und nicht von einer Zertifizierungsinstanz signiert wurde, der der Browser vertraut, kann es unter den Sicherheitseinstellungen des Browsers hinzugefügt werden.

Zur Verwendung von SSL muss zunächst ein Schlüsselpaar erzeugt und ein gültiges Server-Zertifikat von einer vertrauenswürdigen Drittorganisation, einer so genannten Zertifizierungsinstanz, angefordert und installiert werden. Die Verwaltung der Schlüssel auf dem IIS erfolgt mit Hilfe des Schlüsselmanagers, der über die Schaltfläche Bearbeiten im Feld Sichere Kommunikation auf der Registerkarte Verzeichnissicherheit aufgerufen werden kann.

Voraussetzung für die Client-Authentisierung ist, dass der Server über ein gültiges Server-Zertifikat verfügt. Außerdem müssen dem Server die Zertifikate der zugriffsberechtigten Clients bekannt sein. Die Client-Zertifikate werden ebenfalls über die Registerkarte Verzeichnissicherheit im Feld Sichere Kommunikation konfiguriert. Nachdem ein Server-Zertifikat installiert ist, kann über die Schaltfläche Bearbeiten das Dialogfeld Sichere Kommunikation geöffnet werden.

Im IIS 5.0 wird die Verwaltung der Zertifikate durch den IIS-Zertifikats-Assistenten und den Assistenten für Zertifikatsvertrauenslisten vereinfacht.

Digest-Authentisierung

Die Digest-Authentisierung weist grundsätzlich die selben Merkmale wie die Standard-Authentisierung auf. Allerdings werden die Anmeldeinformationen durch eine stärkere Verschlüsselung geschützt. Vor der Übertragung durchlaufen die Anmeldeinformationen einen nicht umkehrbaren Prozess (Hashing), aus dem ein Hashwert oder Nachrichtendigestresultiert. Der ursprüngliche Inhalt kann nicht aus dem Hashwert ermittelt werden.

Die Digest-Authentisierung ist ein Funktionalität von HTTP 1.1 und ist so strukturiert, dass sie bei Proxy-Servern und anderen Firewall-Anwendungen verwendet werden kann. Die Digest-Authentisierung kann nur bei Domänen-Controllern in einer Windows 2000-Domäne eingesetzt werden. Da der Domänen-Controller über Textkopien von Kennwörtern im Klartext verfügt, muss er unbedingt vor Zugriffen Unbefugter geschützt werden.

Bei Auswahl der Authentisierungsmethode ist sicherzustellen, dass sie den Anforderungen an die Benutzerauthentisierung auf dem IIS entspricht. Die folgende Tabelle zeigt eine Zusammenfassung der möglichen Authentisierungsmethoden:

Methode  Sicher-heits-ebene  Server-anforderungen  Client-anforderungen  Kommentare 

Anonyme
Authenti-sierung

 

Keine

 

Konto IUSR_Computername

 

Beliebiger Browser

 

Wird für öffentliche Bereiche von Internet-Sites verwendet.

 

Standard-Authenti-sierung

 

Niedrig

 

Gültige Konten

 

Eingeben von Benutzername und Kennwort

 

Kennwörter werden unverschlüsselt übertragen.

 

Digest-
Authenti-sierung

 

Mittel

 

Kopie aller Kennwörter als unformatierter Text, gültige Konten

 

Kompatibilität

 

Kann bei Proxy-Servern und anderen Firewalls verwendet werden.

 

Integrierte
Windows-
Authentisierung

 

Hoch

 

Gültige Konten

 

Browser-Unterstützung

 

Wird für private Bereiche von Intranets verwendet.

 

Tabelle: Authentisierungsmethoden

Methode  Sicher-heits-ebene  Server-anforderungen  Client-anforderungen  Kommentare 

Zertifikat-
Authenti-sierung

 

Hoch

 

Installation von Server-Zertifikaten. Konfigurieren von Zertifikatsvertrauenslisten (nur für die erste Verwendung).

 

Browser-Unterstützung

 

Wird hauptsächlich für sichere Transaktionen über das Internet verwendet.

 

Anonyme FTP-Authenti-sierung

 

Keine

 

Konto IUSR_Computer-name

 

Keine

 

Wird für öffentliche Bereiche von FTP-Sites verwendet.

 

FTP-Standard-Authenti-sierung

 

Niedrig

 

Gültige Konten

 

Eingeben von Benutzername und Kennwort

 

Kennwörter werden unverschlüsselt übertragen.

 

Tabelle: Zusammenfassung der Authentisierungsmethoden

Ergänzende Kontrollfragen: