M 5.103 Entfernen sämtlicher Netzwerkfreigaben beim IIS-Einsatz
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Netz- und Administrationsfreigaben
Ein besonderes Sicherheitsrisiko bilden Netz- und Administrationsfreigaben auf dem Server. Über die Administrationsfreigaben, z. B. C$, D$ und Admin$, besteht für einen Administrator die Möglichkeit, über das Netz auf den Server zuzugreifen. Diese Freigaben werden standardmäßig eingerichtet und bieten einen Angriffspunkt für Brute-Force-Attacken.
Es ist sicherzustellen, dass keine Freigaben auf dem IIS bestehen. Zur Kontrolle ist der Befehl net share in der Kommandozeile zu starten.
Zusätzlich sind die Administrationsfreigaben (C$, D$, Admin$) zu entfernen. Hierfür sind folgende Einträge in der Registrierung anzupassen:
Registrierung | |
---|---|
Bereich |
HKEY_LOCAL_MACHINE\SYSTEM |
Schlüssel |
CurrentControlSet\Services\LanmanServer\Parameters |
Name |
AutoShareServer |
Type |
REG_DWORD |
Wert |
0 |
Tabelle: Registrierungseinträge für Netz- und Administrationsfreigaben
Hinweis: Sollte dieser Eintrag nicht bestehen, so ist er mit dem Wert 0 hinzuzufügen. Anschließend ist das System neu zu starten.
Beschränken des Netzzugriffs für Anonymous (IPC$ NullSession)
Windows NT/2000 erlaubt es, dass ein nicht authentisierter Benutzer Informationen über die Windows NT/2000 Domäne mit Hilfe von net use oder geeigneten Tools gewinnt. Mittels
- net use \\Zielsystem\ipc$ "" /user:""
kann eine so genannte NullSession (über TCP-Port 139) aufgebaut werden. Diese ermöglicht es, Zugriff auf User-ID-Listen, Gruppenlisten, Account-Namen und auf die Ereignisanzeige (nur Application- und System-Logs, keine Sicherheits-Logs) zu erhalten oder Benutzer-Informationen über den Benutzer-Manager für Domänen zu verändern. Seit Windows NT SP3 kann der NullSession-Zugriff etwas eingeschränkt werden. Folgende Änderungen sollten in der Registrierung durchgeführt werden:
Registrierung | |
---|---|
Bereich |
HKEY_LOCAL_MACHINE\SYSTEM |
Schlüssel |
CurrentControlSet\Control\LSA |
Name |
RestrictAnonymous |
Type |
REG_DWORD |
Wert |
1 |
Tabelle: Registrierungseinträge bei Restrict Anonymus
RestrictAnonymous kann unter Windows NT die Werte 0 und 1 haben. Unter Windows 2000 sind die Werte 0 bis 2 möglich. Die Werte haben folgende Bedeutung:
- Keine Einschränkung
- Aufzählungen aus der SAM-Datenbank werden nicht erlaubt
- Kein Zugriff ohne ausdrückliche Anonymous-Erlaubnis
Hinweis: Die NullSession-Verbindung ist dadurch weiterhin möglich, aber die Abfragemöglichkeiten werden beschränkt (Abfragen wie sid2user funktionieren weiterhin). Eine komplette Abhilfe ist nur durch das Deaktivieren von NetBIOS oder durch Blocken von Port 139 (am Router, Firewall) möglich.
Ergänzende Kontrollfrage:
- Wurden alle Netzfreigaben entfernt?