M 5.106 Entfernen nicht vertrauenswürdiger Root-Zertifikate beim IIS-Einsatz
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
In einer Public-Key-Infrastruktur wird die Sicherheit u. a. durch die zugelassenen Root-Zertifikate bestimmt. Wenn einem solchen Root-Zertifikat vertraut werden soll, muss es im Betriebssystem geladen werden. Zertifikate, denen nicht vertraut wird, sollten aus dem System gelöscht werden.
Die Verwaltung der Zertifikate hängt von den eingesetzten Systemen ab:
IIS 4.0 + Internet Explorer 4 + Windows NT 4 + SP4 oder höher
In diesem Szenario werden alle Root-Zertifikate von der Komponente schannel.dll verwaltet. Diese DLL speichert die Daten in der Registrierung. Unter dem in der Tabelle dargestellten Schlüssel befinden sich eine Reihe von registrierten Schlüsseln, einer für jedes vorinstallierte Root-Zertifikat. Jedes Root-Zertifikat hat einen Eintrag namens Enabled mit dem Wert 0x1, wenn dem Zertifikat vertraut wird. Wird dem Zertifikat nicht vertraut, ist der Wert auf 0x0 zu setzen.
Registrierung | |
---|---|
Bereich |
HKEY_LOCAL_MACHINE\SYSTEM |
Schlüssel |
CurrentControlSet\Control\SecurityProviders\ |
Name |
Enabled |
Type |
REG_DWORD |
Wert |
0 |
Die Registrierungseinträge sollten nicht gelöscht werden, da schannel.dll die fehlenden Einträge neu erstellen wird.
IIS 4.0 + Internet Explorer 5 + Windows NT 4 + SP4 oder höher
In diesem Szenario sollten die folgenden Schritte ausgeführt und die Root-Zertifikate entsprechend bearbeitet werden:
- Öffnen des Internet Explorer 5
- Extras | Internetoptionen
- Reiter Inhalt wählen
- Schaltfläche Zertifikate wählen
- Reiter vertrauenswürdige Stammzertifizierungsstellen wählen
- Alle nicht vertrauenswürdigen Zertifikate entfernen
- IIS 4.0 stoppen: net stop iisadmin /j
- IIS 4.0 starten: net start w3svc
Beim IIS 5.0 können die Zertifikate auf zwei unterschiedliche Arten entfernt werden:
IIS 5.0: Entfernen der Zertifikate mittels Internet Explorer
In diesem Szenario sollten die folgenden Schritte ausgeführt und die Root-Zertifikate entsprechend bearbeitet werden:
- Öffnen des Internet Explorer 5
- Extras | Internetoptionen
- Reiter Inhalt wählen
- Schaltfläche Zertifikate wählen
- Reiter Vertrauenswürdige Stammzertifizierungsstellen wählen
- Alle nicht vertrauenswürdigen Zertifikate entfernen
- IIS 5.0 stoppen: net stop iisadmin /j
- IIS 5.0 starten: net start w3svc
IIS 5.0: Entfernen der Zertifikate mittels MMC
In diesem Szenario sollten die folgenden Schritte ausgeführt und die Root-Zertifikate entsprechend bearbeitet werden:
- Öffnen der Microsoft Management Console (MMC)
- Das Snap-in Zertifikate hinzufügen
- Das Computerkonto zur Verwaltung auswählen
- Lokalen Computer zur Verwaltung auswählen
- Fertigstellen
- Fenster schließen
- Die Struktur Zertifikate | Vertrauenswürdige Stammzertifizierungsstellen | Zertifikate auswählen
- Alle nicht vertrauenswürdigen Zertifikate entfernen
- IIS 5.0 stoppen: net stop iisadmin /j
- IIS 5.0 starten: net start w3svc
Es dürfen keine Microsoft- oder VeriSign-Zertifikate entfernt werden, da diese vom Betriebssystem verwendet werden.
Ergänzende Kontrollfrage:
- Wurden alle nicht vertrauenswürdigen Root-Zertifikate entfernt?