Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: B 5.10 Internet Information Server - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

B 5.10 Internet Information Server

Logo Internet Information Server

Beschreibung

Der Microsoft Internet Information Server (IIS) stellt die Internet Informationsdienste (WWW-Server, FTP-Server, NNTP-Dienst und SMTP-Dienst) für die Microsoft Betriebssysteme zur Verfügung.

Standardmäßig wird der IIS mit den Serverversionen von Windows NT 4.0 (IIS 4), Windows 2000 (IIS 5), Windows XP Professional (IIS 5.1) und Windows Server 2003 (IIS 6) ausgeliefert.

In diesem Baustein werden spezifische Gefährdungen und Maßnahmen für einen Webserver basierend auf dem IIS 4 oder IIS 5 beschrieben. Für Webserver, die auf einer neueren Version des IIS basieren, können die detaillierten technischen Maßnahmen dieses Bausteins möglicherweise nicht direkt angewandt werden. Zumindest die allgemeineren Maßnahmen sollten jedoch in jedem Fall umgesetzt werden.

Internet Information Server 4.0 (IIS 4)

Viele Windows NT Versionen beinhalten noch eine ältere Version des IIS, meist die Version 2.0. Aufgrund vorhandener Sicherheitsrisiken sollten solche älteren Versionen jedoch nicht mehr eingesetzt werden. Das bedeutet, dass der IIS 4 neu zu installieren ist. Es sollte kein Update von einem installierten IIS 2.0 auf den IIS 4 stattfinden.

Der IIS 4 ist Bestandteil des Windows NT 4.0 Server Option Packs, das eine Reihe von zusätzlichen Dienstprogrammen und Anwendungen enthält, die mit dem IIS 4 zusammenarbeiten. Als typische Microsoft-Anwendung ist der IIS 4 eng mit den Ressourcen des Betriebssystems verzahnt. Der IIS 4 verwendet die Verzeichnisdatenbank von Windows NT, d. h. die Benutzerkonten werden mit Hilfe des Windows NT-Benutzermanagers verwaltet. Außerdem werden vorhandene Windows-NT-Dienstprogramme, wie der Systemmonitor, die Ereignisanzeige und die SNMP-Unterstützung, zur Verwaltung des Webservers genutzt.

Internet Information Server 5.0 (IIS 5.0)

Mit dem Betriebssystem Windows 2000 werden die Internet Informationsdienste durch den IIS 5.0 bereitgestellt. Der IIS 5.0 ist vollständig in das Betriebssystem integriert und wird standardmäßig mit installiert.

Im Vergleich zum IIS 4 enthält die Version 5.0 eine Reihe von neuen Funktionen und Verbesserungen. Beispielsweise wird die MMC-Technologie (Microsoft Management Console) durch die Integration in Windows 2000 vollständig unterstützt und die Verwaltung des Servers durch neue Sicherheitsassistenten, frei zu definierende Fehlermeldungen (für HTTP) und losgelöste Serverprozesse (Start der Internet Informationsdienste ohne Neustart des Computers) vereinfacht. Daneben wurden die ASP-Merkmale durch zusätzliche Methoden ergänzt und die Protokollierungsfunktionen, insbesondere im Bereich Performance und Auslastung, erweitert.

Nach einer Installation der Betriebssysteme Windows 2000 Datacenter Server, Windows 2000 Advanced Server und Windows 2000 Server ist der IIS 5 standardmäßig aktiviert. Nach einer Installation von Windows 2000 Professional ist der IIS 5 standardmäßig nicht aktiviert.

Internet Information Server 5.1 (IIS 5.1)

Der IIS 5.1 wird mit dem Betriebssystem Windows XP Professional ausgeliefert. Nach einer Installation von Windows XP Professional ist der IIS 5.1 standardmäßig nicht aktiviert.

Internet Information Server 6.0 (IIS 6)

Der IIS 6 wird mit dem Betriebssystem Windows Server 2003 ausgeliefert. Gegenüber den Vorgängerversionen wurde diese Version grundlegend überarbeitet und weitgehend neu entwickelt.

Gefährdungslage

Generell hängt die Gefährdungslage vom Einsatzszenario ab. Webserver werden für vielfältige Aufgaben eingesetzt, beispielsweise als einfache Informationsserver im Internet oder Intranet, auf die nur lesend zugegriffen werden darf, aber auch als Basis für weiterführende Anwendungen, z. B. E-Commerce oder E-Government-Anwendungen, die auf Datenbanken zugreifen oder als Entwicklungsserver für neue Applikationen.

Wird der IIS als Internet-Server eingesetzt, zeigt sich eine besondere Gefährdungslage. In diesem Fall ist der Zugriff Externer und Unbekannter auf den Server erwünscht, dabei müssen aber die Verfügbarkeit des Servers, die Integrität der Daten und auch die Vertraulichkeit von Konfigurationsdateien und vorhandenen Skripten gewährleistet sein. Nur durch die Kombination von übergeordneten, organisatorischen Maßnahmen mit technischen Sicherheitsvorkehrungen, wie geeigneten Trenneinrichtungen und der sicheren Konfiguration des Betriebssystems sowie der eigentlichen Internetdienste, kann diese Anforderung erfüllt werden.

Allerdings darf nicht nur die Möglichkeit eines Angriffs von außen betrachtet werden, denn auch innerhalb eines LANs ist ein Angriff auf einen IIS denkbar. Wie jedes vernetzte IT-System ist auch ein Webserver mit IIS vielfältigen Gefahren ausgesetzt, so dass der sicheren Konfiguration des Systems und seiner Komponenten auch im internen Netz eine wichtige Rolle zukommt.

Für den IT-Grundschutz eines IIS-basierenden Webservers werden die folgenden typischen Gefährdungen angenommen:

Organisatorische Mängel:

- G 2.1 Fehlende oder unzureichende Regelungen
- G 2.94 Unzureichende Planung des IIS-Einsatzes

Menschliche Fehlhandlungen:

- G 3.56 Fehlerhafte Einbindung des IIS in die Systemumgebung
- G 3.57 Fehlerhafte Konfiguration des Betriebssystems für den IIS
- G 3.58 Fehlkonfiguration eines IIS
- G 3.59 Unzureichende Kenntnisse über aktuelle Sicherheitslücken und Prüfwerkzeuge für den IIS

Technisches Versagen:

- G 4.13 Verlust gespeicherter Daten
- G 4.22 Software-Schwachstellen oder -Fehler
- G 4.39 Software-Konzeptionsfehler

Vorsätzliche Handlungen:

- G 5.2 Manipulation an Daten oder Software
- G 5.20 Missbrauch von Administratorrechten
- G 5.28 Verhinderung von Diensten
- G 5.71 Vertraulichkeitsverlust schützenswerter Informationen
- G 5.84 Gefälschte Zertifikate
- G 5.88 Missbrauch aktiver Inhalte
- G 5.108 Ausnutzen von systemspezifischen Schwachstellen des IIS

Maßnahmenempfehlungen

Um den betrachteten IT-Verbund abzusichern, müssen zusätzlich zu diesem Baustein noch weitere Bausteine umgesetzt werden, gemäß den Ergebnissen der Modellierung nach IT-Grundschutz.

Da in einer Einsatzumgebung von vernetzten Systemen der IIS nicht alleine betrachtet werden darf, sind darüber hinaus folgende Bausteine zu berücksichtigen:

- B 3.101 Servergestütztes Netz

- B 3.301 Sicherheitsgateway (Firewall)

- B 5.4 Webserver

- B 3.103 Server unter Windows NT , (bei der Verwendung von IIS 4.0)

- B 3.106 Server unter Windows 2000 (bei der Verwendung von IIS 5.0)

Je nachdem, wie die Administration und Pflege des IIS-Systems erfolgen, sollten gegebenenfalls auch die Bausteine B 4.4 Remote Access und B 5.8 Telearbeit für die Anbindung externer Anschlusspunkte herangezogen werden.

Für den erfolgreichen Aufbau und Betrieb eines Internet Information Servers sind in den einzelnen Realisierungsphasen (Konzeption, Implementation und Betrieb) eine Reihe von Maßnahmen umzuset-zen. Die Realisierungsschritte, die dabei durchlaufen werden, sowie die Maßnahmen, die in den jeweiligen Schritten zu beachten sind, werden nachfolgend aufgeführt. Teilweise stellen diese Maßnahmen "Spezialisierungen" von Maßnahmen aus einem der oben genannten Bausteine dar.

  1. Nach der Entscheidung, einen IIS als Webserver einzusetzen, muss die Beschaffung der Software und eventuell zusätzlich benötigter Hardware erfolgen. Die zu beschaffende Soft- und Hardware ist abhängig von den geplanten Einsatzszenarien. Daher sind folgende Maßnahmen durchzuführen:
  2. Nachdem die organisatorischen und planerischen Vorarbeiten durchgeführt wurden, kann die Installation des Webservers erfolgen. Dabei sind folgenden Maßnahmen zu beachten:
    • Die Installation kann erst dann als abgeschlossen betrachtet werden, wenn die IIS-Systeme in einen sicheren Zustand gebracht wurden. Basis für die sichere Installation des IIS ist ein abgesichertes Betriebssystem (siehe M 4.174 Vorbereitung der Installation von Windows NT/2000 für den IIS und M 4.175 Sichere Konfiguration von Windows NT/2000 für den IIS). Es muss sichergestellt werden, dass in der folgenden Konfigurationsphase nur berechtigte Administratoren auf das IIS-System zugreifen können.
    • Nach der "Rohinstallation" erfolgt eine erstmalige Konfiguration des IIS-Systems. Bei der Konfiguration sind die relevanten Maßnahmen aus den Bereichen Hardware / Software und Kommunikation zu berücksichtigen.
  3. Nach der Erstinstallation und einer Testbetriebsphase wird der Regelbetrieb aufgenommen. Unter Sicherheitsgesichtspunkten sind dabei folgende Aspekte zu beachten:
    • Ein IIS ist in der Regel ständigen Veränderungen unterworfen. Daher müssen sicherheitsrelevante Konfigurationsparameter kontinuierlich angepasst werden. Die für den sicheren Betrieb relevanten Sicherheitseinstellungen sind in den Maßnahmen zur Hardware / Software und Kommunikation zusammengefasst.
    • Neben der Absicherung im laufenden Betrieb spielt jedoch auch die Notfallvorsorge eine wichtige Rolle, da nur so der Schaden im Notfall verringert werden kann. Hinweise zur Notfallvorsorge finden sich in M 6.85 Erstellung eines Notfallplans für den Ausfall des IIS.

Nachfolgend wird nun das Maßnahmenbündel für den Baustein IIS vorgestellt.

Plannung und Konzeption

- M 2.267 (A) Planen des IIS-Einsatzes
- M 2.268 (A) Festlegung einer IIS-Sicherheitsrichtlinie

Umsetzung

- M 3.36 (A) Schulung der Administratoren zur sicheren Installation und Konfiguration des IIS
- M 4.174 (A) Vorbereitung der Installation von Windows NT/2000 für den IIS
- M 4.175 (A) Sichere Konfiguration von Windows NT/2000 für den IIS
- M 4.178 (A) Absicherung der Administrator- und Benutzerkonten beim IIS-Einsatz
- M 4.179 (A) Schutz von sicherheitskritischen Dateien beim IIS-Einsatz
- M 4.180 (A) Konfiguration der Authentisierungsmechanismen für den Zugriff auf den IIS
- M 4.181 (A) Ausführen des IIS in einem separaten Prozess
- M 4.184 (A) Deaktivieren nicht benötigter Dienste beim IIS-Einsatz
- M 4.185 (A) Absichern von virtuellen Verzeichnissen und Web-Anwendungen beim IIS-Einsatz
- M 4.186 (A) Entfernen von Beispieldateien und Administrations-Scripts des IIS
- M 4.187 (A) Entfernen der FrontPage Server-Erweiterung des IIS
- M 4.188 (B) Prüfen der Benutzereingaben beim IIS-Einsatz
- M 4.189 (B) Schutz vor unzulässigen Programmaufrufen beim IIS-Einsatz
- M 4.190 (B) Entfernen der RDS-Unterstützung des IIS
- M 5.101 (B) Entfernen nicht benötigter ODBC-Treiber beim IIS-Einsatz
- M 5.102 (B) Installation von URL-Filtern beim IIS-Einsatz
- M 5.103 (B) Entfernen sämtlicher Netzwerkfreigaben beim IIS-Einsatz
- M 5.104 (C) Konfiguration des TCP/IP-Filters beim IIS-Einsatz
- M 5.105 (C) Vorbeugen vor SYN-Attacken auf den IIS
- M 5.106 (A) Entfernen nicht vertrauenswürdiger Root-Zertifikate beim IIS-Einsatz
- M 6.86 (B) Schutz vor schädlichem Code auf dem IIS

Betrieb

- M 4.182 (B) Überwachen des IIS-Systems
- M 4.183 (A) Sicherstellen der Verfügbarkeit und Performance des IIS

Notfallvorsorge

- M 6.85 (C) Erstellung eines Notfallplans für den Ausfall des IIS
- M 6.87 (A) Datensicherung auf dem IIS