M 4.186 Entfernen von Beispieldateien und Administrations-Scripts des IIS
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Bei der Standardinstallation des IIS werden eine Reihe von Beispieldateien sowie einige Administrations-Scripts installiert, die den Administrator bei der Verwaltung des IIS unterstützen sollen.
Insbesondere Script-Dateien können von Unbefugten ausgenutzt werden, um Informationen über den Web-Server zu erhalten. Ein Beispiel für einen solchen Angriff ist das Ausnutzen von showcode.asp, um Dateien auch außerhalb des Webroot-Verzeichnis anzuzeigen.
Beispielanwendungen sollten niemals auf einem produktiven Server installiert sein. Das betrifft ebenfalls die SDK Dokumentation (Software Development Kit). Alle Beispiele sind zu entfernen. Die nachfolgende Tabelle zeigt eine Übersicht über einige Beispielverzeichnisse.
Technologie | Ort |
---|---|
IIS |
c:\inetpub\iissamples |
IIS SDK |
c:\inetpub\iissamples\sdk |
Admin Scripts |
c:\inetpub\AdminScripts |
Data access |
c:\Program Files\Common Files\System\msadc\Samples |
Tabelle: Beispielanwendungen
Neben nicht benötigten Dateien sollten auch nicht benötigte Verzeichnisse, insbesondere virtuelle Verzeichnisse, entfernt werden.
Das virtuelle Web-Verzeichnis /IISADMPWD enthält *.htr-Dateien, die zur Passwortänderung verwendet werden. Der Zugriff von Anonymous auf dieses Verzeichnis ist erlaubt. Physikalisch befindet sich das Verzeichnis im Pfad %systemroot%\system32\inetsrv\iisadmpwd. Dieses virtuelle Verzeichnis ist nicht Bestandteil des IIS 5.0, wird aber bei einem Update von IIS 4.0 nicht entfernt. Die Passwortänderung über die HTTP-Schnittstelle wurde primär für den Gebrauch im Intranet entwickelt. Wenn dieses Feature nicht benötigt wird, sollte das Verzeichnis (virtuell und physikalisch) entfernt werden.
Ergänzende Kontrollfragen:
- Wurden alle Beispielanwendungen entfernt?
- Wurde das Verzeichnis IISADMPWD entfernt bzw. der Zugriff eingeschränkt?