Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 4.179 Schutz von sicherheitskritischen Dateien beim IIS-Einsatz - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 4.179 Schutz von sicherheitskritischen Dateien beim IIS-Einsatz

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Administrator

Um einen unbefugten Zugriff auf die allgemeinen administrativen Tools zu erschweren, sollten diese in einem Verzeichnis außerhalb des %systemroot%-Verzeichnisses gespeichert werden. Anschließend ist die Access Control List (ACL) so anzupassen, dass nur Administratoren uneingeschränkten Zugriff erhalten. Beispielsweise kann ein Verzeichnis \CommonTools angelegt werden, in das die folgenden Dateien aus dem %systemroot%-Verzeichnis verschoben werden.

 

arp.exe

 

at.exe

 

atsvc.exe

 

cacls.exe

 

cmd.exe

 

cscript.exe

 

debug.exe

 

edit.com

 

edlin.exe

 

ftp.exe

 

finger.exe

 

ipconfig.exe

 

net.exe

 

netsh.exe

 

netstat.exe

 

nslookup.exe

 

ping.exe

 

poledit.exe

 

posix.exe

 

qbasic.exe

 

rcp.exe

 

rdisk.exe

 

regedit.exe

 

regedt32.exe

 

regini.exe

 

regsrv3.exe

 

rexec.exe

 

route.exe

 

rsh.exe

 

runonce.exe

 

secfixup.exe

 

syskey.exe

 

telnet.exe

 

tftp.exe

 

tracert.exe

 

tskill.exe

 

wscript.exe

 

xcopy.exe

 
   

Tabelle: Administrative Tools

Die Systemüberwachungsfunktion von Windows ME und 2000 sorgt durch die konsequente Wiederherstellung gelöschter oder geänderter Systemdateien im Allgemeinen für ein stabiler laufendes System. Sie unterbindet damit jedoch alle ändernden Zugriffe auf die Systemdateien. So verhindert sie zum Beispiel auch vom Benutzer gewünschte Eingriffe oder die Installation von Software, die Systemdateien ersetzen muss. Damit die Dateien in Windows 2000 entfernt werden können, muss die kontinuierliche Systemwiederherstellung für die Zeit der Verschiebung deaktiviert werden.

Um die Systemwiederherstellung zu umgehen, ist diese in der Registrierung wie folgt zu deaktivieren:

 
Registrierung 
Bereich  

HKEY_LOCAL_MACHINE\SOFTWARE

 
Schlüssel 

Microsoft \Windows NT\CurrentVersion\WinLogon

 
Name  

SFCDisable

 
Type  

REG_DWORD

 
Wert 

0 (Systemwiederherstellung aktiv)

ffffff9d (Systemwiederherstellung inaktiv)

 

Tabelle: Änderung der Registrierung

Die Änderungen greifen erst nach einem Neustart. Nach Auslagern der administrativen Tools kann die Systemwiederherstellung wieder aktiviert werden.

Da der Web-Server normalerweise keinerlei Programme unter %windir% und %windir%\system32 ausführt, kann die Zugriffsbeschränkung auf alle.exe-Dateien in den genannten Verzeichnissen erweitert werden.

Sind auf dem Web-Server das Resource Kit oder andere administrative Programme installiert, so sollten die entsprechenden Bereiche mit folgenden Zugriffsrechten versehen werden: Administrator Vollzugriff, System Vollzugriff

Ein weiterer Schwachpunkt bei den Zugriffsrechten von Windows stellt das %systemdrive% (C:\) dar. Nach einer Standardinstallation hat dort der Benutzer Everyone Vollzugriff. Die Zugriffsrechte auf %systemdrive% sollten ebenfalls eingeschränkt werden.

Ergänzende Kontrollfragen: