Seite 2: From Scratch

Inhaltsverzeichnis

From Scratch

Einer frischen Installation ist immer der Vorzug gegenüber einer bereits vorhandenen zu geben. Allerdings merkt mancher erst spät, dass sein Server unsicher ist und scheut den Aufwand einer Neuinstallation. Alle Schritte zur Härtung lassen sich auch im Nachhinein durchführen. Lediglich der FTP- und der SMTP-Server müssen an gesonderter Stelle in den Internet-Informationsdiensten deaktiviert werden.

Baseline Security

Im Anschluss an die Installation sind alle Service Packs und Sicherheitspatches einzuspielen. Damit man hier den Überblick behält, verwendet man Version 3.3 des Hot Fix Network Checker 'Hfnetchk' [5]. Dieses Kommandozeilen-Tool lädt eine stets aktuelle XML-Datei von Microsofts Internetseiten und vergleicht die darin gelisteten Hot Fixes mit den installierten. Abweichungen werden protokolliert und angezeigt, fehlende Hot Fixes müssen manuell nachinstalliert werden, zum Beispiel über Microsofts Updateseiten [6]. Alternativ kann auch den Security Baseline Analyzer verwendet. Dieser bietet eine grafische Oberflache für 'Hfnetchk' und prüft zusätzlich noch Systemrichtlinien und Desktopeinstellungen, -leider nur für englische Versionen von Windows.

Einige Dienste installiert Windows 2000 ohne Nachfrage per Default. Telefoniedienste, Warndienste und Computerbrowser stehlen Ressourcen und beeinträchtigen die Sicherheit. Wehren kann man sich dagegen nur, indem man sie nachträglich deaktiviert. Was diese Dienste genau machen, füllt ganze Bücher, auf jeden Fall ist größte Vorsicht beim An- und Abschalten geboten. Vom Remote-Procedure-Call (RPC) hängen viele andere Dienste ab, beendet man ihn, beendet man unter Umständen andere Dienste, die der IIS benötigt.

Ob man seinen Webserver lokal oder remote administrieren möchte, sollte vor der Installation feststehen. Soll der Server nur konfiguriert werden oder müssen auch Inhalte gepflegt werden?. Hiervon hängt ab, welche Dienste deaktiviert werden können. Die Administration über das Webinterface stellte beim IIS eine große Angriffsfläche dar, am besten installiert man sie gar nicht erst (Internetdienste-Manager). Der Einsatz von Terminalservices wäre denkbar, kostet aber zusätzlich Lizenzen. SSH bietet nur eine Kommandozeile, genauso wie das unsichere Telnet, kann allerdings dabei helfen, die Verbindung mit einem VNC-Server zu schützen, wenn man auf eine grafische Oberfläche nicht verzichten kann [7]. Der Einsatz der MMC über das Netzwerk ist zweckmäßig, allerdings muss dann der RPC-Locator auf Port 135 laufen und auch hier sollte die Verbindung geschützt werden, zum Beispiel über IPSec. Die lokale Administration ist die sicherste, leider auch die unkomfortabelste.