Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 4.174 Vorbereitung der Installation von Windows NT/2000 für den IIS - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 4.174 Vorbereitung der Installation von Windows NT/2000 für den IIS

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Administrator

Die Vorbereitungen des Betriebssystems sind die grundlegenden Maßnahmen für die Installation des IIS. Diese Maßnahmen sind als erstes technisch umzusetzen und lassen sich nicht oder nur schwer nachträglich realisieren.

Version des Betriebssystems

Die englische Version von Windows NT/2000 ist weiter verbreitet als die deutsche Version. Dies führt dazu, dass Tools, Service Packs und Hotfixes für die englische Version schneller verfügbar sind. Es gibt auch Tools, die nur mit der englischen Version von Windows NT/2000 einsetzbar sind. Es ist auch möglich, die englische Version von Windows NT/2000 so zu konfigurieren, dass Fehlermeldungen in deutscher Sprache ausgegeben werden. Es sollte demnach die englische Version von Windows NT/2000 eingesetzt werden.

Installation des Servers

Bei der Installation eines Rechners als Internet-Server sollte auch das Betriebssystem neu installiert werden, da die Gefahr bestehender Sicherheitslücken bei einem historisch gewachsenen System sehr groß ist.

Die Installation von Windows NT/2000 sollte als Stand-Alone-Server erfolgen. Wenn möglich sollte der Server nicht als Domänen-Controller oder Mitglied einer Domäne konfiguriert werden, da die Gefahr besteht, dass ein Angreifer Informationen über vorhandene Benutzer und Systeme gewinnen kann. Ebenfalls sollte der Server nicht in das Active Directory (Windows 2000) der Organisation eingebunden werden.

Für die spätere Installation des Web-Servers bietet es sich an, zwei getrennte Partitionen zu erstellen. Dadurch besteht die Möglichkeit, das Webroot-Verzeichnis, auf das von extern zugegriffen wird, von den Systemverzeichnissen zu trennen.

Um auf der Verzeichnisebene eine größere Sicherheit zu gewährleisten, ist als Dateisystem NTFS zu wählen. Die Zugriffe und Berechtigungen, z. B. Lesen, Schreiben, Ausführen, auf Dateien und Verzeichnisse werden dabei über Access Control Lists (ACLs) festgelegt und können auf bestimmte Benutzer beschränkt werden.

Bei Windows NT bietet der Installations-Wizard während der Installation von Windows NT 4.0 Server die Möglichkeit, den IIS 2.0 mit zu installieren. Dieser Installationsschritt ist zu überspringen, um den IIS 4.0 zu installieren.

Voraussetzung für die Installation des IIS ist bei Windows NT der Internet Explorer 4.0.1. Microsoft empfiehlt, die Version 4.01 mit dem Service Pack 2 zu installieren, da auf die erweiterten Möglichkeiten des Internet Explorer 5 verzichtet werden kann.

Der "Active Desktop" sollte auf keinem IIS-System aktiviert sein. Er ist in den Eigenschaften des Desktops zu deaktivieren.

Bei einer Neuinstallation eines Windows 2000 Servers wird der IIS 5.0 standardmäßig mit installiert. Auch beim Update eines Systems, z. B. Windows NT 4.0 Server, wird ein vorhandener IIS 4.0 automatisch aktualisiert. Bei einem historisch gewachsenen System besteht die Gefahr, dass bestehende Sicherheitslücken auf das neue System übertragen werden. Deshalb ist bei einem Internet-Web-Server so weit wie möglich eine Neuinstallation zu empfehlen. Ansonsten muss der IIS über die Systemsteuerung Software | Windows-Komponenten hinzufügen/entfernen hinzugefügt werden.

Updates und Patches

Bei der Installation von Windows NT/2000 sind eine Reihe von Updates und Patches zu berücksichtigen. Eine aktuelle Übersicht ist auf den Web-Seiten von Microsoft (http://www.microsoft.com/ntserver/downloads/default.asp und http://www.microsoft.com/windows2000/server/default.asp) oder auf den Web-Seiten des RUS CERT (http://cert.uni-stuttgart.de/ms.php) zu finden. Der Administrator eines Web-Servers sollte das System aktuell halten.

Microsoft stellt ein Tool zur Verfügung (HFCHECK.WSF), das den aktuellen Patch-Status für Windows NT und Windows 2000 sowie die aktuellen Hotfixes für den IIS 4.0 und IIS 5.0 untersucht. Das Tool kann unter

http://www.microsoft.com/Downloads/Release.asp?ReleaseID=24168

herunter geladen werden. Eine Anleitung ist unter

http://www.aspheute.com/artikel/20000914.htm

erhältlich.

Ergänzende Kontrollfragen: