Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 4.178 Absicherung der Administrator- und Benutzerkonten beim IIS-Einsatz - IT-Grundschutz-Kataloge - 9. EL Stand 2007
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 4.178 Absicherung der Administrator- und Benutzerkonten beim IIS-Einsatz

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Administrator

Beim Einsatz eines Internet Information Servers (IIS) sollten die Administrator- und Benutzerkonten durch folgende Konfigurationsänderungen abgesichert werden.

Verschlüsseln der SAM-Datei mit dem SYSKEY-Verfahren

Windows NT/2000 schützt seine Passwortdateien, indem es sie dauernd als vom Betriebssystem geöffnet erklärt. Programme, die auf die SAM-Informationen zugreifen, nutzen die dafür vorgesehenen Windows API Funktionen. Allerdings existieren unter Windows an bestimmten Stellen Kopien der SAM-Datei unter anderen Namen, z. B. Winnt/repair/-SAM. Diese Datei ist standardmäßig für jeden angemeldeten Benutzer zugänglich. Zwar kann man Windows dazu auffordern, keine Sicherungskopien der SAM-Datei zu erstellen, allerdings kann ein Systemabsturz dazu führen, dass die SAM-Datenbank beschädigt wird. Es wird daher empfohlen, eine Sicherungskopie der SAM-Datei auf einem externen Speichermedium anzulegen. Dieses Medium sollte so aufbewahrt werden, dass nur der Administrator darauf zugreifen kann.

Sollte ein potentieller Angreifer trotzdem Zugriff auf die Daten der SAM-Datenbank erhalten, könnte er zwar nicht direkt die Passwörter ermitteln, hätte aber die Möglichkeit, mit entsprechenden Kenntnissen eine Brute-Force Attacke gegen diese Datei auszuführen. Um auch dies zu verhindern, verwendet Windows 2000 (und Windows NT 4 ab Service Pack 3) das zusätzliche Sicherheitssystem SYSKEY.

SYSKEY ist ein Verschlüsselungsverfahren für die SAM-Datei. Unabhängig von der Verschlüsselung der Benutzerkennwörter wird die SAM-Datei durch SYSKEY als gesamtes durch einen nicht veröffentlichten Algorithmus verschlüsselt. Brute-Force- oder ähnliche Angriffe werden dadurch erschwert. SYSKEY sollte auf jeden Fall verwendet werden, da der zusätzliche Rechenaufwand nur unwesentlich ist. In der Regel sind praktisch keine Leistungseinbußen am Server festzustellen.

Sichern des Administratorkontos mit passprop.exe

Bei wiederholter Eingabe des falschen Namens und des falschen Kennworts, wenn z. B. ein Angreifer versucht, das Kennwort zu erraten, wird das Administratorkonto normalerweise nicht gesperrt. Eine Sperrung des Administratorkontos wird durch den Einsatz des Tools passprop aus dem Windows NT-Resource-Kit (NTRK) ermöglicht. Nach Sperren des Administratorkontos kann sich der Administrator ausschließlich lokal am Server anmelden.

Das Programm passprop ist mit folgender Option auf dem IIS Server auszuführen: passprop /adminlockout

Verwendung von sicheren Passwörtern mittels passfilt.dll erzwingen

Um die Verwendung von sicheren Passwörtern zu erzwingen, ist die Datei passfilt.dll aus dem NTRK in das Verzeichnis %SYSTEMROOT%\ SYSTEM32 zu kopieren. Zum Aktivieren der Filterfunktion für Passwörter ist die Registrierung wie folgt zu ändern:

Registrierung

Bereich

HKEY_LOCAL_MACHINE\SYSTEM

Schlüssel

CurrentControlSet\Control\LSA

Name

Notification Packages

Type

REG-MULTI-SZ

Wert

PASSFILT

Tabelle: Aktivieren der Filterfunktion für Passwörter

Dies bedeutet, dass die Zeichenfolge PASSFILT an die vorhandenen Daten für den REG-MULTI-SZ-Wert angehängt wird. Die vorhandenen Zeichen sind dabei nicht zu ersetzen, sondern nur zu ergänzen. Die Änderungen werden erst nach einem Systemstart wirksam.

Ergänzende Kontrollfragen: