M 4.189 Schutz vor unzulässigen Programmaufrufen beim IIS-Einsatz
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
In dieser Maßnahme werden Einstellungen für die IIS-Konfiguration beschrieben, um ein unzulässiges Aufrufen von Programmen zu verhindern.
Unterbinden des exec Aufrufes beim IIS-Einsatz
Der exec Aufruf kann dazu verwendet werden, beliebige Kommandos auf dem Web-Server von einer HTML-Webseite aufzurufen. Der IIS 5.0 unterdrückt diese Option in der Standardinstallation. Dies sollte aber anhand des entsprechenden Eintrages in der Registrierung überprüft werden. Der Eintrag sollte wie folgt eingerichtet sein:
Registrierung | |
---|---|
Bereich |
HKEY_LOCAL_MACHINE\SYSTEM |
Schlüssel |
CurrentControlSet\Services\W3SVC\Parameters |
Name |
SSIEnableCmdDirective |
Type |
REG_DWORD |
Wert |
0 |
Tabelle: Änderung der Registrierung
Deaktivieren der übergeordneten Pfade beim IIS-Einsatz
Die Option Übergeordnete Pfade ermöglicht (ASP-Skripten) die Verwendung relativer Pfade zum übergeordneten Verzeichnis, d. h. Pfade, die ".." enthalten. Wenn diese Option aktiviert ist, sollte für das übergeordnete Verzeichnis kein Ausführungsrecht bestehen, da anderenfalls ein Skript versuchen könnte, ein unzulässiges Programm in diesem Verzeichnis auszuführen.
Standardmäßig werden im IIS die übergeordneten Pfade zugelassen. Diese Option sollte deaktiviert werden. Um die übergeordneten Pfade zu deaktivieren, sind in der Microsoft Management Console mit einem Rechtsklick die Eigenschaften einer Web-Seite zu öffnen. Anschließend ist unter dem Reiter Basisverzeichnis die Konfiguration zu wählen. Dort sind unter dem Reiter Anwendungsoptionen die Übergeordneten Pfade zu deaktivieren.
Entfernen von nicht benötigten Anwendungsverknüpfungen beim IIS-Einsatz
Der IIS ist so vorkonfiguriert, dass allgemeingültige Dateierweiterungen unterstützt werden (beispielsweise . asp). Wenn der IIS 5.0 eine Anfrage für eine solchen Erweiterung erhält, wird diese Anfrage an eine entsprechende DLL weitergegeben. Die Verknüpfungen können wie folgt editiert werden:
Microsoft Management Console | Rechtsklick auf IIS-Server | Haupteigenschaften: WWW-Dienst | Bearbeiten | Basisverzeichnis | Konfiguration
Die folgende Tabelle zeigt eine Übersicht über Anwendungen und Dateierweiterungen. Nicht benötigte Verknüpfungen sollten entfernt werden:
Anwendung | Erweiterung |
---|---|
Web-based Password Reset |
.htr |
Internet Database Connector |
.idc |
Server-side includes |
.shtm, .stm, .shtml |
Index Server |
.htw, .htx, .ida |
Index Server query |
.idq |
Internet Printing |
.printer |
Tabelle: Anwendungsverknüpfungen
Ergänzende Kontrollfragen:
- Wurde der Aufruf des Kommandos #exec unterbunden?
- Wurde die Option Übergeordnete Pfade deaktiviert?
- Wurden alle nicht benötigten Anwendungsverknüpfungen entfernt?