Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 4.184 Deaktivieren nicht benötigter Dienste beim IIS-Einsatz - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 4.184 Deaktivieren nicht benötigter Dienste beim IIS-Einsatz

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Administrator

Als Grundsatz für die Konfiguration eines Web-Servers sollte, wie auch bei allen anderen von extern erreichbaren Servern, eine Konfiguration mit minimalen Diensten und Berechtigungen stehen. Je mehr Dienste und Services ein Server anbietet, desto größer sind die Angriffsmöglichkeiten, einerseits durch die steigende Zahl von Angriffspunkten, andererseits durch mögliche dienstspezifische Schwachstellen. Beispielweise liefert SNMP (Simple Network Management Protocol) einem Angreifer viele Informationen über das Zielsystem. Dieser Dienst läuft über UDP. Viele Scanner arbeiten standardmäßig nur mit dem TCP-Protokoll, so dass UDP-Dienste oft nicht genügend geprüft oder übersehen werden. Auch werden Dienste, die nur zur Erstinstallation benötigt wurden, oft vergessen und bleiben für den Wirkbetrieb aktiv.

Im Folgenden werden die Dienste aufgeteilt in:

Notwendige Dienste

Notwendige Dienste sind für das korrekte Funktionieren des IIS in der Regel unverzichtbar. Sie sollten normalerweise installiert und aktiviert sein.

Bei Bedarf benötigte Dienste

Diese Dienste sollten nur dann installiert und aktiviert werden, wenn sie für die jeweilige Anwendung benötigt werden. Anderenfalls sollten sie deaktiviert werden.

In der Regel nicht benötigte Dienste

Diese Dienste sollten in der Regel nicht auf einem IIS aktiv sein.

Ergänzende Kontrollfragen: