Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 4.179 Schutz von sicherheitskritischen Dateien beim IIS-Einsatz - IT-Grundschutz-Kataloge - 9. EL Stand 2007
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 4.179 Schutz von sicherheitskritischen Dateien beim IIS-Einsatz

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Administrator

Um einen unbefugten Zugriff auf die allgemeinen administrativen Tools zu erschweren, sollten diese in einem Verzeichnis außerhalb des %systemroot%-Verzeichnisses gespeichert werden. Anschließend ist die Access Control List (ACL) so anzupassen, dass nur Administratoren uneingeschränkten Zugriff erhalten. Beispielsweise kann ein Verzeichnis \CommonTools angelegt werden, in das die folgenden Dateien aus dem %systemroot%-Verzeichnis verschoben werden.

arp.exe

at.exe

atsvc.exe

cacls.exe

cmd.exe

cscript.exe

debug.exe

edit.com

edlin.exe

ftp.exe

finger.exe

ipconfig.exe

net.exe

netsh.exe

netstat.exe

nslookup.exe

ping.exe

poledit.exe

posix.exe

qbasic.exe

rcp.exe

rdisk.exe

regedit.exe

regedt32.exe

regini.exe

regsrv3.exe

rexec.exe

route.exe

rsh.exe

runonce.exe

secfixup.exe

syskey.exe

telnet.exe

tftp.exe

tracert.exe

tskill.exe

wscript.exe

xcopy.exe

   

Tabelle: Administrative Tools

Die Systemüberwachungsfunktion von Windows ME und 2000 sorgt durch die konsequente Wiederherstellung gelöschter oder geänderter Systemdateien im Allgemeinen für ein stabiler laufendes System. Sie unterbindet damit jedoch alle ändernden Zugriffe auf die Systemdateien. So verhindert sie zum Beispiel auch vom Benutzer gewünschte Eingriffe oder die Installation von Software, die Systemdateien ersetzen muss. Damit die Dateien in Windows 2000 entfernt werden können, muss die kontinuierliche Systemwiederherstellung für die Zeit der Verschiebung deaktiviert werden.

Um die Systemwiederherstellung zu umgehen, ist diese in der Registrierung wie folgt zu deaktivieren:

Registrierung

Bereich

HKEY_LOCAL_MACHINE\SOFTWARE

Schlüssel

Microsoft \Windows NT\CurrentVersion\WinLogon

Name

SFCDisable

Type

REG_DWORD

Wert

0 (Systemwiederherstellung aktiv)

ffffff9d (Systemwiederherstellung inaktiv)

Tabelle: Änderung der Registrierung

Die Änderungen greifen erst nach einem Neustart. Nach Auslagern der administrativen Tools kann die Systemwiederherstellung wieder aktiviert werden.

Da der Web-Server normalerweise keinerlei Programme unter %windir% und %windir%\system32 ausführt, kann die Zugriffsbeschränkung auf alle.exe-Dateien in den genannten Verzeichnissen erweitert werden.

Sind auf dem Web-Server das Resource Kit oder andere administrative Programme installiert, so sollten die entsprechenden Bereiche mit folgenden Zugriffsrechten versehen werden: Administrator Vollzugriff, System Vollzugriff

Ein weiterer Schwachpunkt bei den Zugriffsrechten von Windows stellt das %systemdrive% (C:\) dar. Nach einer Standardinstallation hat dort der Benutzer Everyone Vollzugriff. Die Zugriffsrechte auf %systemdrive% sollten ebenfalls eingeschränkt werden.

Ergänzende Kontrollfragen: