Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 5.103 Entfernen sämtlicher Netzwerkfreigaben beim IIS-Einsatz - IT-Grundschutz-Kataloge - 9. EL Stand 2007
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 5.103 Entfernen sämtlicher Netzwerkfreigaben beim IIS-Einsatz

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Administrator

Netz- und Administrationsfreigaben

Ein besonderes Sicherheitsrisiko bilden Netz- und Administrationsfreigaben auf dem Server. Über die Administrationsfreigaben, z. B. C$, D$ und Admin$, besteht für einen Administrator die Möglichkeit, über das Netz auf den Server zuzugreifen. Diese Freigaben werden standardmäßig eingerichtet und bieten einen Angriffspunkt für Brute-Force-Attacken.

Es ist sicherzustellen, dass keine Freigaben auf dem IIS bestehen. Zur Kontrolle ist der Befehl net share in der Kommandozeile zu starten.

Zusätzlich sind die Administrationsfreigaben (C$, D$, Admin$) zu entfernen. Hierfür sind folgende Einträge in der Registrierung anzupassen:

Registrierung

Bereich

HKEY_LOCAL_MACHINE\SYSTEM

Schlüssel

CurrentControlSet\Services\LanmanServer\Parameters

Name

AutoShareServer

Type

REG_DWORD

Wert

0

Tabelle: Registrierungseinträge für Netz- und Administrationsfreigaben

Hinweis: Sollte dieser Eintrag nicht bestehen, so ist er mit dem Wert 0 hinzuzufügen. Anschließend ist das System neu zu starten.

Beschränken des Netzzugriffs für Anonymous (IPC$ NullSession)

Windows NT/2000 erlaubt es, dass ein nicht authentisierter Benutzer Informationen über die Windows NT/2000 Domäne mit Hilfe von net use oder geeigneten Tools gewinnt. Mittels

kann eine so genannte NullSession (über TCP-Port 139) aufgebaut werden. Diese ermöglicht es, Zugriff auf User-ID-Listen, Gruppenlisten, Account-Namen und auf die Ereignisanzeige (nur Application- und System-Logs, keine Sicherheits-Logs) zu erhalten oder Benutzer-Informationen über den Benutzer-Manager für Domänen zu verändern. Seit Windows NT SP3 kann der NullSession-Zugriff etwas eingeschränkt werden. Folgende Änderungen sollten in der Registrierung durchgeführt werden:

Registrierung

Bereich

HKEY_LOCAL_MACHINE\SYSTEM

Schlüssel

CurrentControlSet\Control\LSA

Name

RestrictAnonymous

Type

REG_DWORD

Wert

1

Tabelle: Registrierungseinträge bei Restrict Anonymus

RestrictAnonymous kann unter Windows NT die Werte 0 und 1 haben. Unter Windows 2000 sind die Werte 0 bis 2 möglich. Die Werte haben folgende Bedeutung:

  1. Keine Einschränkung
  2. Aufzählungen aus der SAM-Datenbank werden nicht erlaubt
  3. Kein Zugriff ohne ausdrückliche Anonymous-Erlaubnis

Hinweis: Die NullSession-Verbindung ist dadurch weiterhin möglich, aber die Abfragemöglichkeiten werden beschränkt (Abfragen wie sid2user funktionieren weiterhin). Eine komplette Abhilfe ist nur durch das Deaktivieren von NetBIOS oder durch Blocken von Port 139 (am Router, Firewall) möglich.

Ergänzende Kontrollfrage: