Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 4.186 Entfernen von Beispieldateien und Administrations-Scripts des IIS - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 4.186 Entfernen von Beispieldateien und Administrations-Scripts des IIS

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Administrator

Bei der Standardinstallation des IIS werden eine Reihe von Beispieldateien sowie einige Administrations-Scripts installiert, die den Administrator bei der Verwaltung des IIS unterstützen sollen.

Insbesondere Script-Dateien können von Unbefugten ausgenutzt werden, um Informationen über den Web-Server zu erhalten. Ein Beispiel für einen solchen Angriff ist das Ausnutzen von showcode.asp, um Dateien auch außerhalb des Webroot-Verzeichnis anzuzeigen.

Beispielanwendungen sollten niemals auf einem produktiven Server installiert sein. Das betrifft ebenfalls die SDK Dokumentation (Software Development Kit). Alle Beispiele sind zu entfernen. Die nachfolgende Tabelle zeigt eine Übersicht über einige Beispielverzeichnisse.

 
Technologie Ort

IIS

 

c:\inetpub\iissamples

 

IIS SDK

 

c:\inetpub\iissamples\sdk

 

Admin Scripts

 

c:\inetpub\AdminScripts

 

Data access

 

c:\Program Files\Common Files\System\msadc\Samples

 

Tabelle: Beispielanwendungen

Neben nicht benötigten Dateien sollten auch nicht benötigte Verzeichnisse, insbesondere virtuelle Verzeichnisse, entfernt werden.

Das virtuelle Web-Verzeichnis /IISADMPWD enthält *.htr-Dateien, die zur Passwortänderung verwendet werden. Der Zugriff von Anonymous auf dieses Verzeichnis ist erlaubt. Physikalisch befindet sich das Verzeichnis im Pfad %systemroot%\system32\inetsrv\iisadmpwd. Dieses virtuelle Verzeichnis ist nicht Bestandteil des IIS 5.0, wird aber bei einem Update von IIS 4.0 nicht entfernt. Die Passwortänderung über die HTTP-Schnittstelle wurde primär für den Gebrauch im Intranet entwickelt. Wenn dieses Feature nicht benötigt wird, sollte das Verzeichnis (virtuell und physikalisch) entfernt werden.

Ergänzende Kontrollfragen: