Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 4.175 Sichere Konfiguration von Windows NT/2000 für den IIS - IT-Grundschutz-Kataloge - 9. EL Stand 2007
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 4.175 Sichere Konfiguration von Windows NT/2000 für den IIS

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Administrator

Der sichere Einsatz des Internet Information Servers (IIS) erfordert, dass das zugrunde liegende Betriebssystem entsprechend konfiguriert ist. Die folgenden Einstellungen sollten an allen IT-Systemen vorgenommen werden, die als Internet- oder Intranet-Server mit der IIS-Software eingesetzt werden.

Abschalten der NTFS 8.3 Namensgeneration

NTFS kann automatisch 8.3-Namen für die Abwärtskompatibilität mit 16-Bit-Anwendungen generieren. Da generell keine 16-Bit-Applikationen auf einem IIS-System verwendet werden sollten, ist diese Funktion abzuschalten. Zusätzlich zur Sicherheit wird die Performance des Systems verbessert.

Um die automatische 8.3-Namensgeneration abzuschalten, sind folgende Einträge in der Registrierung anzupassen:

Registrierung

Bereich

HKEY_LOCAL_MACHINE\SYSTEM

Schlüssel

\CurrentControlSet\Control\FileSystem

Name

NtfsDisable8dot3NameCreation

Type

REG_DWORD

Wert

1

Tabelle: Einträge in Registrierung

Systembootzeit auf 0 Sekunden setzen

Um die Systembootzeit auf 0 Sekunden zu setzen, ist in der Systemsteuerung | System | Starten/Herunterfahren | Liste für X Sekunden anzeigen der Wert 0 einzutragen.

Entfernen des OS/2 und POSIX Subsystems

Windows NT/2000 bietet die Möglichkeit, DOS, Win16, OS/2 1.x und POSIX Anwendungen zu starten. Nur wenige Anwender nutzen diese Möglichkeit und diese Subsysteme sind nicht so detailliert untersucht wie das Win32 Subsystem. Da jederzeit potentielle Sicherheitslücken in diesen Subsystemen auftreten können, sollten diese Subsysteme entfernt werden, wenn sie nicht benötigt werden.

Das Entfernen des OS/2 und POSIX Subsystems erfolgt durch folgende Änderungen in der Registrierung:

Registrierung

Bereich

HKEY_LOCAL_MACHINE\SYSTEM

Schlüssel 

\CurrentControlSet\Control\Session Manager\SubSystems

Aktion 

Die Schlüssel Posix und OS/2 löschen

Aktion  

Den Schlüssel Os2LibPath löschen

Tabelle: Änderungen in der Registrierung

Anschließend sind die Verzeichnisse \winnt\system32\os2 und alle Unterverzeichnisse davon zu löschen. Die Änderungen werden nach dem nächsten Neustart wirksam.

Hinweis: Die Schlüssel für das OS/2 Subsystem werden nach einem Systemstart wieder erstellt, aber solange diese leer sind, gilt das OS/2 Subsystem als entfernt.

Entfernen des Buttons Herunterfahren in der Anmeldemaske

Trotz einer geeigneten Zutrittskontrolle kann es vorkommen, dass nicht berechtigte Personen an die Konsole eines Windows NT/2000-Servers gelangen. Damit diese Personen nicht die Möglichkeit bekommen, über die Anmeldemaske von Windows den Rechner herunterzufahren, sollte diese Schaltfläche entfernt werden.

Das Entfernen der Schaltfläche Herunterfahren in der Anmeldemaske erfolgt durch folgende Änderungen in der Registrierung:

Registrierung

Bereich

HKEY_LOCAL_MACHINE\SOFTWARE

Schlüssel

\Microsoft\Windows NT\Current Version\Winlogon

Name

ShutdownWithoutLogon

Type

REG_SZ

Wert

0

Tabelle: Änderungen in der Registrierung

Ergänzende Kontrollfragen: