Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: G 3.59 Unzureichende Kenntnisse über aktuelle Sicherheitslücken und Prüfwerkzeuge für den IIS - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

G 3.59 Unzureichende Kenntnisse über aktuelle Sicherheitslücken und Prüfwerkzeuge für den IIS

Die Entwicklung in der Informationstechnik unterliegt einem stetigen Wandel. Hard- und Software-Lösungen werden immer leistungsfähiger, Anwendungen werden aktualisiert und durch neue Versionen ersetzt. Allerdings ergeben sich durch diese Veränderungen auch neue Anforderungen an die Administratoren und IT-Verantwortlichen. Sie unterliegen einer ständigen Informationspflicht, um mit dem aktuellen Stand der Technik vertraut zu sein.

Bei unzureichenden Kenntnissen des Administrators besteht zum einen die Gefahr, dass ein System fehlerhaft konfiguriert wird, zum anderen können Bedrohungen in einer Situation falsch eingeschätzt werden. Insbesondere durch die Komplexität des IIS und das Zusammenwirken mit weiteren Systemen in einer heterogenen Systemumgebung können Risiken entstehen, die vom Administrator zu bewerten sind.

Wichtige Informationsquellen für den Administrator bilden die Veröffentlichungen von aktuellen Schwachstellen (Bulletins) der eingesetzten Software. Obwohl Microsoft bei Bedarf neue Service Packs für Windows NT und Windows 2000 veröffentlicht, existieren für Windows und den IIS Schwachstellen, die aufgrund ihrer Aktualität noch nicht in die Service Packs aufgenommen worden sind. Aktuelle Schwachstellen werden von Microsoft oder anderen Arbeitsgruppen und Organisationen veröffentlicht.

Sind dem verantwortlichen Administrator die aktuellen Sicherheitslücken nicht bekannt, kann dieser natürlich nicht die erforderlichen Sicherheitsmaßnahmen ergreifen, um das System gegen entsprechende Angriffe zu schützen.

Zur Vereinfachung der Administration von Windows und des IIS bietet Microsoft eine Reihe von Prüfwerkzeugen an, die Bestandteil des Windows NT/2000 Ressource Kit sind oder direkt aus dem Internet heruntergeladen werden können. Beispielsweise besteht mit dem IIS Lockdown Tool die Möglichkeit, in sehr kurzer Zeit eine Reihe von Sicherheitseinstellungen vorzunehmen, insbesondere für die Zugriffsbeschränkung auf wichtige Dateien und Verzeichnisse. Ein weiteres Werkzeug ist das Hotfix Check Tool, mit dem der Patchstatus von Windows NT und Windows 2000 geprüft werden kann.

Der Nachteil vieler Tools, die in die Administration eingreifen, besteht darin, dass sie nur einen Teil der sicherheitsrelevanten Einstellungen vornehmen und dass die einzelnen Funktionen nur unzureichend dokumentiert sind.

Beispiel:

Im Juli 2001 infizierte der Wurm Code Red in weniger als 14 Stunden über 350.000 Computer in der ganzen Welt. Der Wurm nutzte eine Schwachstelle aus, für die seit einiger Zeit ein Patch von Microsoft verfügbar war. Selbst Monate später waren jedoch noch eine Vielzahl von Rechnern infiziert, weil keine entsprechenden Sicherheitsmaßnahmen eingeleitet wurden.