Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 5.106 Entfernen nicht vertrauenswürdiger Root-Zertifikate beim IIS-Einsatz - IT-Grundschutz-Kataloge - 9. EL Stand 2007
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 5.106 Entfernen nicht vertrauenswürdiger Root-Zertifikate beim IIS-Einsatz

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Administrator

In einer Public-Key-Infrastruktur wird die Sicherheit u. a. durch die zugelassenen Root-Zertifikate bestimmt. Wenn einem solchen Root-Zertifikat vertraut werden soll, muss es im Betriebssystem geladen werden. Zertifikate, denen nicht vertraut wird, sollten aus dem System gelöscht werden.

Die Verwaltung der Zertifikate hängt von den eingesetzten Systemen ab:

IIS 4.0 + Internet Explorer 4 + Windows NT 4 + SP4 oder höher

In diesem Szenario werden alle Root-Zertifikate von der Komponente schannel.dll verwaltet. Diese DLL speichert die Daten in der Registrierung. Unter dem in der Tabelle dargestellten Schlüssel befinden sich eine Reihe von registrierten Schlüsseln, einer für jedes vorinstallierte Root-Zertifikat. Jedes Root-Zertifikat hat einen Eintrag namens Enabled mit dem Wert 0x1, wenn dem Zertifikat vertraut wird. Wird dem Zertifikat nicht vertraut, ist der Wert auf 0x0 zu setzen.

Registrierung

Bereich

HKEY_LOCAL_MACHINE\SYSTEM

Schlüssel

CurrentControlSet\Control\SecurityProviders\
SCHANNEL\CertificationAuthorities

Name

Enabled

Type

REG_DWORD

Wert

0

Die Registrierungseinträge sollten nicht gelöscht werden, da schannel.dll die fehlenden Einträge neu erstellen wird.

IIS 4.0 + Internet Explorer 5 + Windows NT 4 + SP4 oder höher

In diesem Szenario sollten die folgenden Schritte ausgeführt und die Root-Zertifikate entsprechend bearbeitet werden:

Beim IIS 5.0 können die Zertifikate auf zwei unterschiedliche Arten entfernt werden:

IIS 5.0: Entfernen der Zertifikate mittels Internet Explorer

In diesem Szenario sollten die folgenden Schritte ausgeführt und die Root-Zertifikate entsprechend bearbeitet werden:

IIS 5.0: Entfernen der Zertifikate mittels MMC

In diesem Szenario sollten die folgenden Schritte ausgeführt und die Root-Zertifikate entsprechend bearbeitet werden:

Es dürfen keine Microsoft- oder VeriSign-Zertifikate entfernt werden, da diese vom Betriebssystem verwendet werden.

Ergänzende Kontrollfrage: