M 4.178 Absicherung der Administrator- und Benutzerkonten beim IIS-Einsatz
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Beim Einsatz eines Internet Information Servers (IIS) sollten die Administrator- und Benutzerkonten durch folgende Konfigurationsänderungen abgesichert werden.
Verschlüsseln der SAM-Datei mit dem SYSKEY-Verfahren
Windows NT/2000 schützt seine Passwortdateien, indem es sie dauernd als vom Betriebssystem geöffnet erklärt. Programme, die auf die SAM-Informationen zugreifen, nutzen die dafür vorgesehenen Windows API Funktionen. Allerdings existieren unter Windows an bestimmten Stellen Kopien der SAM-Datei unter anderen Namen, z. B. Winnt/repair/-SAM. Diese Datei ist standardmäßig für jeden angemeldeten Benutzer zugänglich. Zwar kann man Windows dazu auffordern, keine Sicherungskopien der SAM-Datei zu erstellen, allerdings kann ein Systemabsturz dazu führen, dass die SAM-Datenbank beschädigt wird. Es wird daher empfohlen, eine Sicherungskopie der SAM-Datei auf einem externen Speichermedium anzulegen. Dieses Medium sollte so aufbewahrt werden, dass nur der Administrator darauf zugreifen kann.
Sollte ein potentieller Angreifer trotzdem Zugriff auf die Daten der SAM-Datenbank erhalten, könnte er zwar nicht direkt die Passwörter ermitteln, hätte aber die Möglichkeit, mit entsprechenden Kenntnissen eine Brute-Force Attacke gegen diese Datei auszuführen. Um auch dies zu verhindern, verwendet Windows 2000 (und Windows NT 4 ab Service Pack 3) das zusätzliche Sicherheitssystem SYSKEY.
SYSKEY ist ein Verschlüsselungsverfahren für die SAM-Datei. Unabhängig von der Verschlüsselung der Benutzerkennwörter wird die SAM-Datei durch SYSKEY als gesamtes durch einen nicht veröffentlichten Algorithmus verschlüsselt. Brute-Force- oder ähnliche Angriffe werden dadurch erschwert. SYSKEY sollte auf jeden Fall verwendet werden, da der zusätzliche Rechenaufwand nur unwesentlich ist. In der Regel sind praktisch keine Leistungseinbußen am Server festzustellen.
Sichern des Administratorkontos mit passprop.exe
Bei wiederholter Eingabe des falschen Namens und des falschen Kennworts, wenn z. B. ein Angreifer versucht, das Kennwort zu erraten, wird das Administratorkonto normalerweise nicht gesperrt. Eine Sperrung des Administratorkontos wird durch den Einsatz des Tools passprop aus dem Windows NT-Resource-Kit (NTRK) ermöglicht. Nach Sperren des Administratorkontos kann sich der Administrator ausschließlich lokal am Server anmelden.
Das Programm passprop ist mit folgender Option auf dem IIS Server auszuführen: passprop /adminlockout
Verwendung von sicheren Passwörtern mittels passfilt.dll erzwingen
Um die Verwendung von sicheren Passwörtern zu erzwingen, ist die Datei passfilt.dll aus dem NTRK in das Verzeichnis %SYSTEMROOT%\ SYSTEM32 zu kopieren. Zum Aktivieren der Filterfunktion für Passwörter ist die Registrierung wie folgt zu ändern:
Registrierung | |
---|---|
Bereich |
HKEY_LOCAL_MACHINE\SYSTEM |
Schlüssel |
CurrentControlSet\Control\LSA |
Name |
Notification Packages |
Type |
REG-MULTI-SZ |
Wert |
PASSFILT |
Tabelle: Aktivieren der Filterfunktion für Passwörter
Dies bedeutet, dass die Zeichenfolge PASSFILT an die vorhandenen Daten für den REG-MULTI-SZ-Wert angehängt wird. Die vorhandenen Zeichen sind dabei nicht zu ersetzen, sondern nur zu ergänzen. Die Änderungen werden erst nach einem Systemstart wirksam.
Ergänzende Kontrollfragen:
- Wird die SAM-Datei mit dem SYSKEY-Verfahren verschlüsselt?
- Wird das Administratorkonto mit passprop.exe gesichert?
- Wird die Verwendung von sicheren Passwörtern erzwungen?