M 4.184 Deaktivieren nicht benötigter Dienste beim IIS-Einsatz
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Als Grundsatz für die Konfiguration eines Web-Servers sollte, wie auch bei allen anderen von extern erreichbaren Servern, eine Konfiguration mit minimalen Diensten und Berechtigungen stehen. Je mehr Dienste und Services ein Server anbietet, desto größer sind die Angriffsmöglichkeiten, einerseits durch die steigende Zahl von Angriffspunkten, andererseits durch mögliche dienstspezifische Schwachstellen. Beispielweise liefert SNMP (Simple Network Management Protocol) einem Angreifer viele Informationen über das Zielsystem. Dieser Dienst läuft über UDP. Viele Scanner arbeiten standardmäßig nur mit dem TCP-Protokoll, so dass UDP-Dienste oft nicht genügend geprüft oder übersehen werden. Auch werden Dienste, die nur zur Erstinstallation benötigt wurden, oft vergessen und bleiben für den Wirkbetrieb aktiv.
Im Folgenden werden die Dienste aufgeteilt in:
- notwendige Dienste,
- bei Bedarf benötigte Dienste und
- in der Regel nicht benötigte Dienste.
Notwendige Dienste
Notwendige Dienste sind für das korrekte Funktionieren des IIS in der Regel unverzichtbar. Sie sollten normalerweise installiert und aktiviert sein.
- Ereignisprotokoll,
- Lizenzprotokollierdienst,
- Windows NTLM Security Support Provider,
- Remote Procedure Call (RPC) Dienst,
- Windows NT Server oder Windows NT Workstation,
- IIS Admin-Dienst,
- MSDTC (Distributed Transaction Coordinator),
- WWW-Publishing-Dienst und
- Geschützter Speicher.
Bei Bedarf benötigte Dienste
Diese Dienste sollten nur dann installiert und aktiviert werden, wenn sie für die jeweilige Anwendung benötigt werden. Anderenfalls sollten sie deaktiviert werden.
- FTP-Publishing-Dienst,
- NNTP-Dienst (nur wenn NNTP verwendet wird),
- SMTP-Dienst (nur wenn SMTP verwendet wird),
- Indexdienst (erforderlich, wenn Index Server eingesetzt wird),
- Zertifizierungsinstanz (erforderlich, wenn Zertifikate ausgestellt werden sollen),
- Plug & Play (nicht erforderlich aber empfohlen, kann nach Installation der gesamten Hardware deaktiviert werden),
- Server-Dienst (wird nur benötigt, wenn der Benutzermanager ausgeführt werden soll),
- Telefondienst (erforderlich bei Zugriffen über DFÜ) und
- Workstation (wichtig, wenn UNC-Verzeichnisse genutzt werden). Das Kürzel UNC steht für Uniform Naming Convention, es bezieht sich auf eine Vereinbarung von verschiedenen Software-Herstellern für universelle Namensgebungen in einem Netz. Ein Ordner kann physikalisch an einem anderen Ort gespeichert sein, durch die Freigabe kann er über den UNC-Pfad mit dem Freigabenamen direkt angesprochen werden. Dieser Dienst sollte erst am Ende der Installation deaktiviert werden.
- USV (Unterbrechungsfreie Stromversorgung).
In der Regel nicht benötigte Dienste
Diese Dienste sollten in der Regel nicht auf einem IIS aktiv sein.
- Warndienst,
- Ablagemappen-Server,
- Computerbrowser,
- DHCP-Client,
- Windows Nachrichtendienst,
- Anmeldedienst,
- Taskplaner,
- RAS (Remote Access Service),
- Netzwerk-DDE und Netzwerk-DDE-Server-Dienst,
- Netzwerkmonitoragent,
- Einfache TCP/IP-Dienste (echo, daytime, quotes, discard),
- Spooler-Dienste,
- NetBIOS-Schnittstelle,
- TCP/IP NetBIOS-Hilfsanwendung,
- WINS-Client,
- NWLink NetBIOS und
- NWLink IPX/SPX-kompatibles Übertragungsprotokoll.
Ergänzende Kontrollfragen:
- Sind auf dem IIS nur die minimal notwendigen Dienste aktiviert?