Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 4.189 Schutz vor unzulässigen Programmaufrufen beim IIS-Einsatz - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 4.189 Schutz vor unzulässigen Programmaufrufen beim IIS-Einsatz

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Administrator

In dieser Maßnahme werden Einstellungen für die IIS-Konfiguration beschrieben, um ein unzulässiges Aufrufen von Programmen zu verhindern.

Unterbinden des exec Aufrufes beim IIS-Einsatz

Der exec Aufruf kann dazu verwendet werden, beliebige Kommandos auf dem Web-Server von einer HTML-Webseite aufzurufen. Der IIS 5.0 unterdrückt diese Option in der Standardinstallation. Dies sollte aber anhand des entsprechenden Eintrages in der Registrierung überprüft werden. Der Eintrag sollte wie folgt eingerichtet sein:

Registrierung 
Bereich 

HKEY_LOCAL_MACHINE\SYSTEM

 
Schlüssel 

CurrentControlSet\Services\W3SVC\Parameters

 
Name 

SSIEnableCmdDirective

 
Type 

REG_DWORD

 
Wert 

0

 

Tabelle: Änderung der Registrierung

Deaktivieren der übergeordneten Pfade beim IIS-Einsatz

Die Option Übergeordnete Pfade ermöglicht (ASP-Skripten) die Verwendung relativer Pfade zum übergeordneten Verzeichnis, d. h. Pfade, die ".." enthalten. Wenn diese Option aktiviert ist, sollte für das übergeordnete Verzeichnis kein Ausführungsrecht bestehen, da anderenfalls ein Skript versuchen könnte, ein unzulässiges Programm in diesem Verzeichnis auszuführen.

Standardmäßig werden im IIS die übergeordneten Pfade zugelassen. Diese Option sollte deaktiviert werden. Um die übergeordneten Pfade zu deaktivieren, sind in der Microsoft Management Console mit einem Rechtsklick die Eigenschaften einer Web-Seite zu öffnen. Anschließend ist unter dem Reiter Basisverzeichnis die Konfiguration zu wählen. Dort sind unter dem Reiter Anwendungsoptionen die Übergeordneten Pfade zu deaktivieren.

Entfernen von nicht benötigten Anwendungsverknüpfungen beim IIS-Einsatz

Der IIS ist so vorkonfiguriert, dass allgemeingültige Dateierweiterungen unterstützt werden (beispielsweise . asp). Wenn der IIS 5.0 eine Anfrage für eine solchen Erweiterung erhält, wird diese Anfrage an eine entsprechende DLL weitergegeben. Die Verknüpfungen können wie folgt editiert werden:

Microsoft Management Console | Rechtsklick auf IIS-Server | Haupteigenschaften: WWW-Dienst | Bearbeiten | Basisverzeichnis | Konfiguration

Die folgende Tabelle zeigt eine Übersicht über Anwendungen und Dateierweiterungen. Nicht benötigte Verknüpfungen sollten entfernt werden:

Anwendung  Erweiterung 

Web-based Password Reset

 

.htr

 

Internet Database Connector

 

.idc

 

Server-side includes

 

.shtm, .stm, .shtml

 

Index Server

 

.htw, .htx, .ida

 

Index Server query

 

.idq

 

Internet Printing

 

.printer

 

Tabelle: Anwendungsverknüpfungen

Ergänzende Kontrollfragen: