M 4.179 Schutz von sicherheitskritischen Dateien beim IIS-Einsatz
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Um einen unbefugten Zugriff auf die allgemeinen administrativen Tools zu erschweren, sollten diese in einem Verzeichnis außerhalb des %systemroot%-Verzeichnisses gespeichert werden. Anschließend ist die Access Control List (ACL) so anzupassen, dass nur Administratoren uneingeschränkten Zugriff erhalten. Beispielsweise kann ein Verzeichnis \CommonTools angelegt werden, in das die folgenden Dateien aus dem %systemroot%-Verzeichnis verschoben werden.
arp.exe |
at.exe |
atsvc.exe |
cacls.exe |
cmd.exe |
cscript.exe |
debug.exe |
edit.com |
edlin.exe |
ftp.exe |
finger.exe |
ipconfig.exe |
net.exe |
netsh.exe |
netstat.exe |
nslookup.exe |
ping.exe |
poledit.exe |
posix.exe |
qbasic.exe |
rcp.exe |
rdisk.exe |
regedit.exe |
regedt32.exe |
regini.exe |
regsrv3.exe |
rexec.exe |
route.exe |
rsh.exe |
runonce.exe |
secfixup.exe |
syskey.exe |
telnet.exe |
tftp.exe |
tracert.exe |
tskill.exe |
wscript.exe |
xcopy.exe |
Tabelle: Administrative Tools
Die Systemüberwachungsfunktion von Windows ME und 2000 sorgt durch die konsequente Wiederherstellung gelöschter oder geänderter Systemdateien im Allgemeinen für ein stabiler laufendes System. Sie unterbindet damit jedoch alle ändernden Zugriffe auf die Systemdateien. So verhindert sie zum Beispiel auch vom Benutzer gewünschte Eingriffe oder die Installation von Software, die Systemdateien ersetzen muss. Damit die Dateien in Windows 2000 entfernt werden können, muss die kontinuierliche Systemwiederherstellung für die Zeit der Verschiebung deaktiviert werden.
Um die Systemwiederherstellung zu umgehen, ist diese in der Registrierung wie folgt zu deaktivieren:
Registrierung | |
---|---|
Bereich |
HKEY_LOCAL_MACHINE\SOFTWARE |
Schlüssel |
Microsoft \Windows NT\CurrentVersion\WinLogon |
Name |
SFCDisable |
Type |
REG_DWORD |
Wert |
0 (Systemwiederherstellung aktiv) ffffff9d (Systemwiederherstellung inaktiv) |
Tabelle: Änderung der Registrierung
Die Änderungen greifen erst nach einem Neustart. Nach Auslagern der administrativen Tools kann die Systemwiederherstellung wieder aktiviert werden.
Da der Web-Server normalerweise keinerlei Programme unter %windir% und %windir%\system32 ausführt, kann die Zugriffsbeschränkung auf alle.exe-Dateien in den genannten Verzeichnissen erweitert werden.
Sind auf dem Web-Server das Resource Kit oder andere administrative Programme installiert, so sollten die entsprechenden Bereiche mit folgenden Zugriffsrechten versehen werden: Administrator Vollzugriff, System Vollzugriff
Ein weiterer Schwachpunkt bei den Zugriffsrechten von Windows stellt das %systemdrive% (C:\) dar. Nach einer Standardinstallation hat dort der Benutzer Everyone Vollzugriff. Die Zugriffsrechte auf %systemdrive% sollten ebenfalls eingeschränkt werden.
Ergänzende Kontrollfragen:
- Wurden die administrativen Tools in ein eigenes Verzeichnis verschoben?
- Wurde dieses Verzeichnis durch eine geeignete ACL geschützt?