M 4.180 Konfiguration der Authentisierungsmechanismen für den Zugriff auf den IIS
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Jede HTTP-Anforderung eines Browsers wird unter dem IIS im Sicherheitskontext eines Benutzerkontos in Windows NT bzw. Windows 2000 ausgeführt. Das Benutzerkonto muss entweder auf dem IIS oder in der Domäne (oftmals bei Intranet-Servern) definiert werden.
Beim Zugriff auf den IIS wird zunächst anhand der IP-Adresse bzw. des Domänennamens geprüft, ob der Client berechtigt ist, auf den IIS zuzugreifen. Anschließend erfolgt die Authentisierung, aus der die Zuordnung des Benutzerkontos mit den entsprechenden Rechten resultiert. Die zugelassenen IP-Adressen bzw. Domänennamen und die Authentisierungsmethode wird in der Microsoft Management Console (MMC) unter der Option Eigenschaften des entsprechenden Web-Verzeichnisses definiert.
Der IIS 4.0 unterstützt vier Authentisierungsmethoden für den WWW-Server:
- Anonymer Zugriff
- Standard-Authentisierung
- Windows-Authentisierung
- Authentisierung über Client-Zertifikate
Im IIS 5.0 wurden die Authentisierungsmethoden erweitert. Zusätzlich zu den oben genannten Methoden wurde Kerberos V5 in die Windows-Authentisierung integriert und die Digest-Authentisierung zur Verfügung gestellt.
Für den Zugriff auf den FTP-Server kann zwischen Anonymer Zugriff und Standard-Authentisierung gewählt werden.
Anonymer Zugriff
Für den anonymen Zugriff auf den Web-Server wird das Benutzerkonto IUSR_Computername verwendet. Dieses wird automatisch bei der Installation des IIS erstellt und mit einem zufälligen Passwort versehen. Das Benutzerkonto IUSR_Computername gehört der Gruppe Gast an und besitzt das Recht, sich lokal am System anzumelden.
Bei einem anonymen Zugriff auf den FTP-Server meldet sich der Nutzer mit dem Benutzernamen anonymous an. Als Passwort wird in der Regel die E-Mail-Adresse des Benutzers verwendet. Für den Dateizugriff werden die Berechtigungen des Kontos IUSR_Computername herangezogen.
Standard-Authentisierung
Die Standard-Authentisierung basiert auf der Verwendung von Benutzernamen und Passwort, wobei der Benutzer über lokale Anmelderechte verfügen muss. Durch Festlegen geeigneter Benutzergruppen kann der Zugriff auf ausgewählte Ressourcen beschränkt werden. Die übertragenen Anmeldeinformationen zum Zugriff auf den WWW-Server werden nicht sicher verschlüsselt (UUEncoding oder Base64-Kodierung) und können abgefangen und leicht decodiert werden.
Bei der Verwendung der Standard-Authentisierung auf einem FTP-Server werden wie bei der anonymen Anmeldung der Benutzername und das Passwort unverschlüsselt im Klartext übertragen. Aus diesem Grund sollte diese Authentisierungsmethode nicht in unsicheren Netzen verwendet werden.
Windows-Authentisierung
Die Authentisierung mittels Windows Challenge/Response eignet sich insbesondere für ein Intranet mit einer Windows-basierten Client-Server-Umgebung. Wenn ein Benutzer sich lokal als Domänenbenutzer angemeldet hat, kann er ohne zusätzliche Authentisierung auf weitere Server dieser Domäne zugreifen.
Windows 2000 verwendet bei der Windows-Authentisierung die Protokolle NTLM und Kerberos V5, die auch zur Authentisierung am Web-Server eingesetzt werden können. Welches Protokoll zum Einsatz kommt, ist abhängig von den Fähigkeiten des beteiligten Clients bzw. Servers. Standardmäßig wird Kerberos V5 verwendet. Unterstützt einer der Kommunikationspartner dieses Protokoll nicht, wird NTLM für die Authentisierung genutzt.
Authentisierung über Client-Zertifikate
Eine weitere Option im Bereich Verzeichnissicherheit ist die Anwendung der SSL-Sicherheitsfunktionen (Secure Socket Layer) zur Authentisierung eines Benutzers (Server- und Client-Authentisierung) und zur Verschlüsselung der zu übertragenen Daten. Der IIS unterstützt die SSL Version 3.0. Beim Anmeldevorgang wird vom Browser des Benutzers das Client-Zertifikat an den Web-Server übertragen und dort verifiziert. Der IIS ordnet das Zertifikat einem entsprechenden Windows-Benutzerkonto zu, über das die Rechte und Zugriffsrichtlinien des Benutzers definiert werden.
Für die Server-Authentisierung muss dem Client-Browser das Server-Zertifikat bekannt sein. Wird eine Verbindung zum ersten mal zu einem Server aufgebaut, dessen Zertifikat noch nicht bekannt ist und nicht von einer Zertifizierungsinstanz signiert wurde, der der Browser vertraut, kann es unter den Sicherheitseinstellungen des Browsers hinzugefügt werden.
Zur Verwendung von SSL muss zunächst ein Schlüsselpaar erzeugt und ein gültiges Server-Zertifikat von einer vertrauenswürdigen Drittorganisation, einer so genannten Zertifizierungsinstanz, angefordert und installiert werden. Die Verwaltung der Schlüssel auf dem IIS erfolgt mit Hilfe des Schlüsselmanagers, der über die Schaltfläche Bearbeiten im Feld Sichere Kommunikation auf der Registerkarte Verzeichnissicherheit aufgerufen werden kann.
Voraussetzung für die Client-Authentisierung ist, dass der Server über ein gültiges Server-Zertifikat verfügt. Außerdem müssen dem Server die Zertifikate der zugriffsberechtigten Clients bekannt sein. Die Client-Zertifikate werden ebenfalls über die Registerkarte Verzeichnissicherheit im Feld Sichere Kommunikation konfiguriert. Nachdem ein Server-Zertifikat installiert ist, kann über die Schaltfläche Bearbeiten das Dialogfeld Sichere Kommunikation geöffnet werden.
Im IIS 5.0 wird die Verwaltung der Zertifikate durch den IIS-Zertifikats-Assistenten und den Assistenten für Zertifikatsvertrauenslisten vereinfacht.
Digest-Authentisierung
Die Digest-Authentisierung weist grundsätzlich die selben Merkmale wie die Standard-Authentisierung auf. Allerdings werden die Anmeldeinformationen durch eine stärkere Verschlüsselung geschützt. Vor der Übertragung durchlaufen die Anmeldeinformationen einen nicht umkehrbaren Prozess (Hashing), aus dem ein Hashwert oder Nachrichtendigestresultiert. Der ursprüngliche Inhalt kann nicht aus dem Hashwert ermittelt werden.
Die Digest-Authentisierung ist ein Funktionalität von HTTP 1.1 und ist so strukturiert, dass sie bei Proxy-Servern und anderen Firewall-Anwendungen verwendet werden kann. Die Digest-Authentisierung kann nur bei Domänen-Controllern in einer Windows 2000-Domäne eingesetzt werden. Da der Domänen-Controller über Textkopien von Kennwörtern im Klartext verfügt, muss er unbedingt vor Zugriffen Unbefugter geschützt werden.
Bei Auswahl der Authentisierungsmethode ist sicherzustellen, dass sie den Anforderungen an die Benutzerauthentisierung auf dem IIS entspricht. Die folgende Tabelle zeigt eine Zusammenfassung der möglichen Authentisierungsmethoden:
Methode | Sicher-heits-ebene | Server-anforderungen | Client-anforderungen | Kommentare |
---|---|---|---|---|
Anonyme |
Keine |
Konto IUSR_Computername |
Beliebiger Browser |
Wird für öffentliche Bereiche von Internet-Sites verwendet. |
Standard-Authenti-sierung |
Niedrig |
Gültige Konten |
Eingeben von Benutzername und Kennwort |
Kennwörter werden unverschlüsselt übertragen. |
Digest- |
Mittel |
Kopie aller Kennwörter als unformatierter Text, gültige Konten |
Kompatibilität |
Kann bei Proxy-Servern und anderen Firewalls verwendet werden. |
Integrierte |
Hoch |
Gültige Konten |
Browser-Unterstützung |
Wird für private Bereiche von Intranets verwendet. |
Tabelle: Authentisierungsmethoden
Methode | Sicher-heits-ebene | Server-anforderungen | Client-anforderungen | Kommentare |
---|---|---|---|---|
Zertifikat- |
Hoch |
Installation von Server-Zertifikaten. Konfigurieren von Zertifikatsvertrauenslisten (nur für die erste Verwendung). |
Browser-Unterstützung |
Wird hauptsächlich für sichere Transaktionen über das Internet verwendet. |
Anonyme FTP-Authenti-sierung |
Keine |
Konto IUSR_Computer-name |
Keine |
Wird für öffentliche Bereiche von FTP-Sites verwendet. |
FTP-Standard-Authenti-sierung |
Niedrig |
Gültige Konten |
Eingeben von Benutzername und Kennwort |
Kennwörter werden unverschlüsselt übertragen. |
Tabelle: Zusammenfassung der Authentisierungsmethoden
Ergänzende Kontrollfragen:
- Wird der Zugriff auf den IIS entsprechend den Anforderungen an die Benutzerauthentisierung durch eine geeignete Authentisierungsmethode geschützt?