Windows 2000 und IIS 5.0 härten
Ziel der Härtung eines Servers ist es, ihn möglichst unverwundbar gegenüber Angriffen zu machen. Angriffe wird man nie gänzlich verhindern können, doch die Auswirkungen lassen sich durch eine sichere Konfiguration begrenzen.
- Daniel Bachfeld
Ziel der Härtung eines Servers ist es, ihn möglichst unverwundbar gegenüber Angriffen zu machen. Angriffe wird man nie gänzlich verhindern können, doch die Auswirkungen lassen sich durch eine sichere Konfiguration begrenzen. Wenn ein Server eine Schwachstelle aufweist, muss dies nicht zwangsläufig dazu führen, dass ein Angreifer komplett die Kontrolle übernimmt. Dieser Artikel kann keine Anleitung zur vollständigen Härtung eines Windows Webservers sein, jedoch erste Anhaltspunkte für die weitere Vorgehensweise geben.
Prinzip der minimalen Dienste
Prinzipiell gilt: Dienste die zum Betrieb des Webservers nicht benötigt werden, werden nicht installiert, jeder andere Dienst läuft auf einem eigenen Server. Ausnahmen bestätigen die Regel: Ein Webserver kann zusammen mit einem FTP-Server installiert werden, wenn sonst keine andere Möglichkeit besteht. Immer im Auge behalten muss man, dass der Webserver durch andere Dienste bedroht wird und selbst auch andere gefährden kann. Man sollte also nicht der Versuchung erliegen, den Webserver auch noch als Domain-Controller zu betreiben.
In der Regel geht man in zwei Schritten vor: Zuerst wird die Betriebssystemplattform, also Windows 2000, gehärtet und dann der Dienst, der darauf laufen soll, -- der Webserver IIS. Microsofts Webserver ist stärker mit dem Betriebssystem verwoben, als zum Beispiel Linux und Apache. Deshalb sollte man schon bei der Installation von Windows 2000 alle Funktionen mitinstallieren, die der IIS benötigt. Eine Nachinstallation ist aber auch jederzeit möglich.
Bei der Installation von Windows 2000 stehen neben dem Internet Information Server zahlreiche andere Dienste und Windows-Komponenten zur Verfügung. Gleich am Anfang verzichtet man auf weitere Dienste: Ein SMTP-Server hat auf einem Webserver eigentlich nichts zu suchen, ebenso wenig wie FrontPage-Erweiterungen und Visual InterDev. Installieren sollte man aber das Snap-In für Microsofts Management Console (MMC), um den IIS später komfortabel konfigurieren zu können. Nameserver (DNS), Zeitserver (NTP), Managementserver (SNMP) und WINS-Server werden ebenfalls nicht aufgespielt. Von DHCP auf einem Webserver ist ebenfalls abzuraten, das kann eigentlich ein Domain-Controller erledigen und der Webserver selbst erhält ohnehin eine feste
