Schotten dicht

Datenablage auf Webserver

Praxis & Tipps | Praxis

Seite 3: Schotten dicht

Microsofts Sicherheitsassistent IIS Lockdown Wizard schließt im nächsten Schritt mögliche Hintertüren des frisch installierten Servers. Der Assistent bringt eine Reihe von Vorlagen mit, die den IIS für die gewählte Aufgabenstellung optimieren und die nicht benötigten Komponenten deaktivieren. Zusätzlich verpasst er den Webverzeichnissen restriktive NTFS-Zugriffsrechte und installiert den Request-Filter URLScan, der alle eingehenden http-Anfragen analysiert, bevor sie den Webserver erreichen. URLScan überprüft die Syntax der abgerufenen Adressen auf typische Angriffsmuster und lässt nur solche Anfragen passieren, die erwünschte HTTP-Methoden, -Header und Dateitypen enthalten.

Mit unserer Konfiguration dient der IIS mit WebDAV als Ersatz für einen normalen Dateiserver – wenn der IIS noch andere Dienste bereitstellen soll, müssen Sie die Vorschläge entsprechend anpassen.

Nach dem Start des Assistenten müssen Sie zunächst die Lizenzvereinbarung absegnen. Als Konfigurationsvorlage wählen Sie "Static Web Server" und schalten die Checkbox "View template settings" ein, damit sich die Einstellungen weiter anpassen lassen. Auf den folgenden Seiten "Internet Services" und "Script Maps" ist nichts zu ändern; hier ist nur HTTP ausgewählt, und alle Skript-Typen sollten deaktiviert sein.

Unter "Additional Security" entfernen Sie den Haken vor der Option "Disable Web Distributed Authoring and Versioning (WebDAV)", um den Zugriff auf Webordner freizugeben. Die anderen Optionen sollten aktiv bleiben, damit die NTFS-Rechte so gesetzt werden, dass anonyme Besucher keinen Schreibzugriff erlangen und keine Systemwerkzeuge starten können.

Auf der nächsten Seite des Dialogs bleibt die Option "Install URLScan filter on the server" aktiviert. Zuletzt erscheint eine Übersicht der gewählten Einstellungen, die der Lockdown Wizard nach einem letzten Klick auf "Weiter" aktiviert.

Damit URLScan die WebDAV-Zugriffe passieren lässt, müssen Sie jetzt die Konfigurationsdatei urlscan.ini anpassen; in der Default-Einstellung blockiert der Filter die für WebDAV nötigen HTTP-Methoden. In diesem Archiv stellen wir eine fertige Konfigurationsdatei bereit, die Sie einfach in das Verzeichnis

%systemroot%\system32\inetsrv\urlscan

kopieren. Die angepasste Version der Konfigurationsdatei schaltet außer den HTTP-Methoden und -Headern für WebDAV auch den Zugriff auf alle Dateiendungen frei; so können Sie in den Webfreigaben alle Dateitypen ablegen. Diese Konfiguration wäre für einen Server, der im Internet noch andere Dienste außer WebDAV anbieten soll, zu freizügig.

Der IIS Lockdown Wizard schaltet im frisch installierten Webserver alles ab, was nicht benötigt wird, und schließt so mögliche Hintertüren.

Die geänderte Konfigurationsdatei wird erst beim nächsten Start des Webservers aktiv. Die Konfigurationsoberfläche des IIS finden Sie in der Computerverwaltung (Systemsteuerung/Verwaltung) unter "Dienste und Anwendungen/Internet-Informationsdienste". In den Eigenschaften des Serversymbols lösen Sie den Neustart im Menüpunkt "Alle Tasks" aus. Auf der Kommandozeile genügen die Befehle net stop w3svc und net start w3svc, um den Webserver neu zu starten.

Damit ist die Installation des WebDAV-Servers abgeschlossen. Mit Microsofts Baseline Security Analyzer können Sie sich zusätzlich vergewissern, dass alle aktuellen Updates eingespielt sind und der Server sicher konfiguriert ist. Im nächsten Schritt gilt es, eine geeignete Authentifizierungsmethode auszuwählen, mit der sich die Clients gegenüber dem Webserver ausweisen können.

Anzeige