Windows 2000 und IIS 5.0 härten
Seite 3: Abgeschrieben
Abgeschrieben
Wer unsicher ist, welche Dienste er abschalten kann, benutzt die Sicherheits-Templates von Microsoft und passt sie seinen eigenen Bedürfnissen an. Microsoft stellt mit der Sicherheitsvorlage hisecweb.inf [3] seine Vorstellung von Sicherheit für Webserver vor. Dort sind nicht nur Vorgaben über die benötigten Dienste festgehalten, sondern auch Kontorichtlinien, lokale Sicherheitsrichtlinien, und Sicherheitsoptionen. Zusätzlich wird auch noch der TCP/IP-Stack ein wenig robuster gegen DoS-Attacken gemacht. Setzen kann man diese Richtlinien mit dem MMC-Snap-In Sicherheitskonfiguration und -analyse.
Abschließend sollte noch NetBios over TCP/IP in den Netzwerkeinstellungen deaktiviert werden. Die Netzwerkfilter in den erweiterten TCP/IP-Einstellungen können zum Abblocken von Anfragen auf Dienste verwendet werden. Leistungsfähiger, aber aufwendiger, ist die Filterung mit den IPSec-Policies [8] unter Windows 2000. Wenigstens Port 80 für HTTP sollte noch offen bleiben und eventuell ein Port für die Remote-Administration.
IIS Lockdown
Im nächsten Schritt kann man sich an die Konfiguration des IIS machen. Das kostenlose Tool IISLockdown von Microsoft unterstützt den Administrator beim Härten in zwei Modi: Express und Advanced Lockdown. Der Express Lockdown verrammelt den Webserver, so dass nur noch HTML-Seiten ausgeliefert werden. Will man doch etwas mehr Funktionen, empfiehlt sich der manuell konfigurierbare Advanced Lockdown, in dem man "Other Server" in der Liste der möglichen Server auswählt.
