Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 5.103 Entfernen sämtlicher Netzwerkfreigaben beim IIS-Einsatz - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 5.103 Entfernen sämtlicher Netzwerkfreigaben beim IIS-Einsatz

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Administrator

Netz- und Administrationsfreigaben

Ein besonderes Sicherheitsrisiko bilden Netz- und Administrationsfreigaben auf dem Server. Über die Administrationsfreigaben, z. B. C$, D$ und Admin$, besteht für einen Administrator die Möglichkeit, über das Netz auf den Server zuzugreifen. Diese Freigaben werden standardmäßig eingerichtet und bieten einen Angriffspunkt für Brute-Force-Attacken.

Es ist sicherzustellen, dass keine Freigaben auf dem IIS bestehen. Zur Kontrolle ist der Befehl net share in der Kommandozeile zu starten.

Zusätzlich sind die Administrationsfreigaben (C$, D$, Admin$) zu entfernen. Hierfür sind folgende Einträge in der Registrierung anzupassen:

 
Registrierung 
Bereich 

HKEY_LOCAL_MACHINE\SYSTEM

 
Schlüssel 

CurrentControlSet\Services\LanmanServer\Parameters

 
Name 

AutoShareServer

 
Type 

REG_DWORD

 
Wert 

0

 

Hinweis: Sollte dieser Eintrag nicht bestehen, so ist er mit dem Wert 0 hinzuzufügen. Anschließend ist das System neu zu starten.

Tabelle: Registrierungseinträge für Netz- und Administrationsfreigaben

Beschränken des Netzzugriffs für Anonymous (IPC$ NullSession)

Windows NT/2000 erlaubt es, dass ein nicht authentisierter Benutzer Informationen über die Windows NT/2000 Domäne mit Hilfe von net use oder geeigneten Tools gewinnt. Mittels

kann eine so genannte NullSession (über TCP-Port 139) aufgebaut werden. Diese ermöglicht es, Zugriff auf User-ID-Listen, Gruppenlisten, Account-Namen und auf die Ereignisanzeige (nur Application- und System-Logs, keine Sicherheits-Logs) zu erhalten oder Benutzer-Informationen über den Benutzer-Manager für Domänen zu verändern. Seit Windows NT SP3 kann der NullSession-Zugriff etwas eingeschränkt werden. Folgende Änderungen sollten in der Registrierung durchgeführt werden:

 
Registrierung 
Bereich 

HKEY_LOCAL_MACHINE\SYSTEM

 
Schlüssel 

CurrentControlSet\Control\LSA

 
Name 

RestrictAnonymous

 
Type 

REG_DWORD

 
Wert 

1

 

Tabelle: Registrierungseinträge bei Restrict Anonymus

RestrictAnonymous kann unter Windows NT die Werte 0 und 1 haben. Unter Windows 2000 sind die Werte 0 bis 2 möglich. Die Werte haben folgende Bedeutung:

  1. Keine Einschränkung
  2. Aufzählungen aus der SAM-Datenbank werden nicht erlaubt
  3. Kein Zugriff ohne ausdrückliche Anonymous-Erlaubnis

Hinweis: Die NullSession-Verbindung ist dadurch weiterhin möglich, aber die Abfragemöglichkeiten werden beschränkt (Abfragen wie sid2user funktionieren weiterhin). Eine komplette Abhilfe ist nur durch das Deaktivieren von NetBIOS oder durch Blocken von Port 139 (am Router, Firewall) möglich.

Ergänzende Kontrollfragen: