Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 4.175 Sichere Konfiguration von Windows NT/2000 für den IIS - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 4.175 Sichere Konfiguration von Windows NT/2000 für den IIS

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Administrator

Der sichere Einsatz des Internet Information Servers (IIS) erfordert, dass das zugrunde liegende Betriebssystem entsprechend konfiguriert ist. Die folgenden Einstellungen sollten an allen IT-Systemen vorgenommen werden, die als Internet- oder Intranet-Server mit der IIS-Software eingesetzt werden.

Abschalten der NTFS 8.3 Namensgeneration

NTFS kann automatisch 8.3-Namen für die Abwärtskompatibilität mit 16-Bit-Anwendungen generieren. Da generell keine 16-Bit-Applikationen auf einem IIS-System verwendet werden sollten, ist diese Funktion abzuschalten. Zusätzlich zur Sicherheit wird die Performance des Systems verbessert.

Um die automatische 8.3-Namensgeneration abzuschalten, sind folgende Einträge in der Registrierung anzupassen:

 
Registrierung 
Bereich  

HKEY_LOCAL_MACHINE\SYSTEM

 
Schlüssel 

\CurrentControlSet\Control\FileSystem

 
Name  

NtfsDisable8dot3NameCreation

 
Type  

REG_DWORD

 
Wert 

1

 

Tabelle: Einträge in Registrierung

Systembootzeit auf 0 Sekunden setzen

Um die Systembootzeit auf 0 Sekunden zu setzen, ist in der Systemsteuerung | System | Starten/Herunterfahren | Liste für X Sekunden anzeigen der Wert 0 einzutragen.

Entfernen des OS/2 und POSIX Subsystems

Windows NT/2000 bietet die Möglichkeit, DOS, Win16, OS/2 1.x und POSIX Anwendungen zu starten. Nur wenige Anwender nutzen diese Möglichkeit und diese Subsysteme sind nicht so detailliert untersucht wie das Win32 Subsystem. Da jederzeit potentielle Sicherheitslücken in diesen Subsystemen auftreten können, sollten diese Subsysteme entfernt werden, wenn sie nicht benötigt werden.

Das Entfernen des OS/2 und POSIX Subsystems erfolgt durch folgende Änderungen in der Registrierung:

 
Registrierung 
Bereich  

HKEY_LOCAL_MACHINE\SOFTWARE

 
Schlüssel 

\Microsoft\OS/2 Subsystem for NT

 
Aktion  

Alle Schlüssel löschen

 
 
Registrierung 
Bereich  

HKEY_LOCAL_MACHINE\SYSTEM

 
Schlüssel 

\CurrentControlSet\Control\Session Manager\Environment

 
Name  

Os2LibPath

 
Aktion  

Den Schlüssel Os2LibPath löschen

 
 
Registrierung 
Bereich  

HKEY_LOCAL_MACHINE\SYSTEM

 
Schlüssel 

\CurrentControlSet\Control\Session Manager\SubSystems

 
Aktion 

Die Schlüssel Posix und OS/2 löschen

 

Tabelle: Änderungen in der Registrierung

Anschließend sind die Verzeichnisse \winnt\system32\os2 und alle Unterverzeichnisse davon zu löschen. Die Änderungen werden nach dem nächsten Neustart wirksam.

Hinweis: Die Schlüssel für das OS/2 Subsystem werden nach einem Systemstart wieder erstellt, aber solange diese leer sind, gilt das OS/2 Subsystem als entfernt.

Entfernen des Buttons Herunterfahren in der Anmeldemaske

Trotz einer geeigneten Zutrittskontrolle kann es vorkommen, dass nicht berechtigte Personen an die Konsole eines Windows NT/2000-Servers gelangen. Damit diese Personen nicht die Möglichkeit bekommen, über die Anmeldemaske von Windows den Rechner herunterzufahren, sollte diese Schaltfläche entfernt werden.

Das Entfernen der Schaltfläche Herunterfahren in der Anmeldemaske erfolgt durch folgende Änderungen in der Registrierung:

 
Registrierung 
Bereich  

HKEY_LOCAL_MACHINE\SOFTWARE

 
Schlüssel 

\Microsoft\Windows NT\Current Version\Winlogon

 
Name  

ShutdownWithoutLogon

 
Type  

REG_SZ

 
Wert 

0

 

Tabelle: Änderungen in der Registrierung

Ergänzende Kontrollfragen: