Bild
Inhalt Index Vorheries Kapitel Nächstes Kapitel

KAPITEL 5

Sichern der Web Site gegen unbefugten Zugriff


Ganz gleich, ob Ihr Web Server unzählige Zugriffe unmittelbar über das Internet verarbeitet, oder ob er die Dokumente einer Abteilung im Intranet Ihres Unternehmens verwaltet: Sicherheit ist in jedem Fall ein wichtiges Thema. Der Anschluß des Computers an ein Intranet oder Internet eröffnet Ihnen Kommunikationsmöglichkeiten mit Menschen und Computern in der ganzen Welt. Diese enorme Flexibilität birgt jedoch auch ein gewisses Risiko. Nicht nur Sie können mit Benutzern anderer Netzwerken kommunizieren, sondern diese Benutzer können gleichsam Verbindungen zu Ihrem Netzwerk herstellen. Auch wenn mit der Verbindung zu einem Web Server im allgemeinen nur gute Absichten verfolgt werden, gibt es doch hin und wieder „Schwarze Schafe“, die nichts unversucht lassen, um in interne Netzwerke einzudringen.

Das Windows NT-Betriebssystem wurde darauf ausgelegt, Ihnen eine Hilfe bei der Sicherung Ihres Systems gegen unbefugten Zugriff zu bieten. Internet Information Server basiert auf dem Windows NT-Sicherheitsmodell, wobei auch noch zusätzliche Überwachungs- und Sicherheitsfunktionen verfügbar sind. In diesem Kapitel erfahren Sie, wie die Sicherheitskomponenten von Windows NT und Internet Information Server am effektivsten an Ihrer Site genutzt werden können. Bevor Sie Ihren Computer mit einem öffentlichen Netzwerk verbinden, sollten Sie daher die Informationen in diesem Kapitel nachvollziehen. Sollte an irgendeinem Punkt ein Verständnisproblem auftreten, lesen Sie das betreffende Thema in der Dokumentation von Windows NT nach, oder wenden Sie sich an einen autorisierten Microsoft Solution Provider bzw. eine andere qualifizierte Stelle, bevor Sie Ihre Site im Internet installieren.

In diesem Kapitel finden Sie Erläuterungen zu folgenden Themen:


Anfang Funktionsweise der Sicherheit von Internet Information Server

Internet Information Server basiert auf dem Windows NT-Sicherheitsmodell. Die Windows NT-Sicherheit ermöglicht es dem Benutzer, den Computer und dessen Ressourcen zu schützen, indem die Zuweisung von Benutzerkonten und Kennwörtern angefordert wird. Durch Einschränken der Benutzerrechte für diese Konten ist eine Überwachung des Zugriffs auf Computer-Ressourcen möglich. Mit NTFS (NT-Dateisystems) können Sie Berechtigungen für Ordner und Dateien auf Ihrem Computer zuweisen. Der Zugriff auf Ordner und Dateien läßt sich überwachen, indem Benutzern das Kopieren von Dateien in einen bzw. aus einem Ordner verwehrt wird oder Benutzer daran gehindert werden, Dateien in bestimmten Ordnern auszuführen.

Zusätzlich zu den Windows NT-Sicherheitsmerkmalen können Sie mit dem Internet-Dienst-Manager schreibgeschützte bzw. nur ausführbare virtuelle Verzeichnisse erstellen. Internet Information Server bietet außerdem eine Möglichkeit, Benutzern den Zugriff auf Computer mit einer besonderen IP-Adresse zu verweigern. IIS unterstützt das SSL (Secure Sockets Layer)-Protokoll, das Datenübertragungen zwischen Clients und Servern auf sichere Weise verschlüsselt.

Empfängt ein IIS-Web Server, eine Browser-Anfrage nach Informationen, bestimmt er, ob die Anfrage gültig ist. Die folgende Abbildung zeigt eine einfache Übersicht über das bei jeder Anfrage angewendete Sicherheitsverfahren:

[05_i257c  5717 bytes ]

In den folgenden Abschnitten wird erläutert, wie Windows NT und die Internet-Dienste zum Schutz Ihres Systems konfiguriert werden.


Anfang Überwachen des anonymen Zugriffs

Auf zahlreichen Web Servern erfolgt der Zugriff über die Dienste WWW, FTP und Gopher größtenteils anonym, d. h. die Client-Anfrage enthält weder einen Benutzername noch ein Kennwort. Dies gilt für folgende Fälle:
Obwohl der Benutzer nicht mit einem persönlichen Benutzernamen und Kennwort angemeldet ist, besteht dennoch die Möglichkeit, den anonymen Zugriff zu steuern und zu überwachen. Jeder Internet-Dienst verwaltet einen Windows NT-Benutzernamen sowie ein Windows NT-Kennwort, die zur Bearbeitung anonymer Anfragen verwendet werden. Wird eine anonyme Anfrage empfangen, identifiziert der Dienst den Benutzer gewissermaßen als den Benutzer mit anonymer Anmeldung. Die Anfrage ist erfolgreich, wenn der anonym angemeldete Benutzer eine Zugriffsberechtigung für die angeforderte Ressource besitzt. Dies ist in der Zugriffsüberwachungsliste (ACL; Access Control List) festgelegt. Verfügt der anonym angemeldete Benutzer nicht über eine Berechtigung, schlägt die Anfrage fehl. Sie können den WWW-Dienst so konfigurieren, daß der Benutzer nach einer fehlgeschlagenen anonymen Anfrage aufgefordert wird, einen gültigen Windows NT-Benutzernamen und ein gültiges Kennwort einzugeben. Dieser Vorgang wird auch als Echtheitsbestätigung bezeichnet.

Konfigurieren des anonymen Benutzerkontos

Sie können das Benutzerkonto der anonymen Anmeldungen über den Befehl Diensteigenschaften des Internet-Dienst-Managers (für die Dienste WWW, FTP und Gopher) anzeigen und überwachen. Alle der auf einem Computer ausgeführten Dienste kann entweder dasselbe oder ein jeweils anderes Benutzerkonto für die anonyme Anmeldung verwenden. Einschließlich des anonymen Benutzerkontos für Dateien oder Ordner ist es somit möglich, mit Hilfe der Zugriffsüberwachungslisten, die für anonyme Clients verfügbaren Ressourcen genau zu überwachen.

Bei dem anonymen Benutzerkonto muß es sich um ein gültiges Windows NT-Benutzerkonto auf dem Server handeln, der die Web-Dienste zur Verfügung stellt, und das Kennwort muß mit dem Kennwort des jeweiligen Benutzers in der Benutzerdatenbank dieses Computers übereinstimmen. Benutzerkonten und Kennwörter werden im Windows NT-Benutzer-Manager durch Festlegen der Benutzerrechte im Menü Richtlinien konfiguriert. Dem Benutzerkonto für die anonyme Anmeldung muß das Recht Lokale Anmeldung erteilt werden.

Das Konto IUSR_Computer_Name wird während des Setups von Internet Information Server automatisch erstellt und erhält ein nach dem Zufallsprinzip erzeugtes Kennwort. Lautet beispielsweise der Name des Computers marketing1, erhält das Benutzerkonto für den anonymen Zugriff den Namen IUSR_marketing1.

Dieses Konto wird standardmäßig von allen Web-Client-Anfragen verwendet, d. h. Web-Clients sind durch das Konto IUSR_Computer_Name am Computer angemeldet. Dabei darf das Konto IUSR_Computer_Name nur zur lokalen Anmeldung an den Server verwendet werden, der die Web-Dienste zur Verfügung stellt.

Anmerkung   Das Konto IUSR_Computer_Name wird auch zur Gruppe „Gäste“ hinzugefügt. Wurden die Einstellungen für diese Gruppe geändert, ist auch das Konto IUSR_Computer_Name von diesen Änderungen betroffen. Sie sollten daher die Einstellungen für die Gruppe „Gäste“ überprüfen, um sicherzustellen, daß sie für das Konto IUSR_Computer_Name geeignet sind.

Für die Dienste WWW und FTP können Sie anonymen Zugriff gewähren bzw. verweigern (alle Gopher-Anfragen sind anonym). Außerdem besteht die Möglichkeit, das Benutzerkonto für anonyme Anfragen sowie das Kennwort für dieses Konto für jeden der Web-Dienste (WWW, FTP und Gopher) zu ändern.

So gewähren Sie anonymen Zugriff

So ändern Sie das Konto bzw. das Kennwort für den anonymen Zugriff

Verwenden des anonymen Kontos auf Domänen-Controllern

Wird Internet Information Server auf einem primären oder sekundären Domänen-Controller installiert, wird das Benutzerkonto für die anonyme Anmeldung in der Benutzerkontendatenbank der Domäne erstellt. Erfolgt die Installation von Internet Information Server auf einem Mitglieds-Server der Domäne bzw. auf einem Einzelplatz-Server, wird das Konto auf dem lokalen Computer erstellt.

Wird die Installation auf mehreren Domänen-Controllern derselben Domäne durchgeführt, wird für jeden Internet-Server-Computer ein separates Benutzerkonto in der Benutzerdatenbank der Domäne erstellt. Dies verursacht keine Konflikte, da jeder Benutzername einmalig ist und den Namen des zugehörigen Computers enthält. Es mag jedoch für Sie einfacher sein, ein einzelnes Benutzerkonto für die anonyme Anmeldung in der Domäne zu erstellen, das für sämtliche Domänen-Controller unter Internet Information Server in der Domäne verwendet werden kann. Dadurch kann die Verwaltung von ACLs vereinfacht werden. Führen Sie dazu folgende Schritte durch:


Wird der Remote-Zugriff nur für das Konto IUSR_Computer_Name gewährt, geben Remote-Benutzer weder einen Benutzernamen noch ein Kennwort an und besitzen nur die diesem Konto zugewiesenen Berechtigungen. Dadurch werden Computer-Hacker an dem Versuch gehindert, sich mit falschen oder illegal erworbenen Kennwörtern Zugriff auf vertrauliche Informationen zu verschaffen. In manchen Fällen stellt dies die beste Sicherheitslösung dar.


Anfang Überwachen des Zugriffs durch Benutzer oder Gruppen

Sie können den Zugriff auf Ihre Web Site mit dem Windows NT-Benutzer-Manager überwachen, indem Sie die Benutzer und Gruppen angeben, denen der Zugriff auf den Server erlaubt ist. Eine zusätzliche Überwachungsmöglichkeit haben Sie, indem Sie von Web-Client-Anfragen die Eingabe eines Benutzernamens und Kennworts verlangen, die jeweils von Internet Information Server bestätigt werden, bevor die Anfrage bearbeitet wird.

Einrichten von Benutzerkonten

Das Sicherheitskonzept von Windows NT macht die Zuweisung von Benutzerkonten und Kennwörtern erforderlich und gewährleistet so den Schutz Ihres Computers und der Ressourcen. Bei jeder Operation auf einem Computer unter Windows NT kann eindeutig nachvollzogen werden, wer diese Operation vornimmt. So wird der Benutzer beispielsweise beim Anmelden an NT durch den Benutzernamen und das Kennwort einerseits identifiziert und andererseits wird festgelegt, über welche Berechtigungen er an diesen Computer verfügt.

Zu welchen Aktionen auf einem Computer ein Benutzer berechtigt ist, wird im Benutzer-Manager durch Festlegen der Benutzerrechte im Menü Richtlinien konfiguriert. Benutzerrechte weisen einem Benutzer die Berechtigung zu, bestimmte Aktionen in einem System durchzuführen. Dazu gehört auch das Recht Lokale Anmeldung, das Benutzer zum Verwenden von Internet-Diensten für den Fall besitzen müssen, daß die Standard-Echheitsbestätigung durchgeführt wird.

Bei der Verwendung der Echtheitsbestätigung Windows NT-Herausforderung/Rückmeldung, ist für Benutzer das Recht Zugriff auf diesen Computer vom Netz erforderlich, um Internet-Dienste verwenden zu können. Standardmäßig besitzt jeder Benutzer dieses Recht.

Sie können die Sicherheit noch erhöhen, indem Sie folgende Richtlinien beachten:

Anfordern eines Benutzernamens und Kennworts

Der Zugriff auf eine Web Site kann auf Clients beschränkt werden, für die die Echtheitsbestätigung erfolgreich durchgeführt wurde, d. h. Web-Clients, die einen gültigen Windows NT-Benutzernamen und ein Windows NT-Kennwort verwenden. Bei der Echtheitsbestätigung wird nur dann Zugriff gewährt, wenn ein gültiger Benutzername und ein gültiges Kennwort angegeben wurden. Die Echtheitsbestätigung von Kennwörtern empfiehlt sich, wenn ausschließlich berechtigte Personen Zugriff auf die Web Site oder auf bestimmte, von dem Dateisystem NTFS überwachte Bereiche erhalten sollen. Zugriff durch anonyme Anmeldung und Zugriff durch Echtheitsbestätigung können beide zur gleichen Zeit aktiviert sein.

Der WWW-Dienst stellt zwei Formen der Echtheitsbestätigung zur Verfügung: Standard-Echtheitsbestätigung und Windows NT-Herausforderung/Rückmeldung (auch NTLM genannt).

Die Standard-Echtheitsbestätigung bietet keine Verschlüsselung von Übertragungen zwischen Client und Server. Da der Windows NT-Benutzername und das Windows NT-Kennwort des Clients bei dieser Form der Bestätigung nahezu unverschlüsselt über das Netzwerk gesendet werden, ist es für Eindringlinge einfach, Benutzernamen und Kennwörter in Erfahrung zu bringen.

Bei der Echtheitsbestätigung durch Windows NT-Herausforderung/Rückmeldung, die derzeit nur von Microsoft Internet Explorer, Version 2.0 oder höher unterstützt ist, wird das Kennwort geschützt und somit eine sichere Anmeldung über das Netzwerk gewährleistet. Bei dem hierbei vom Client angegebenen Benutzerkonto handelt es sich um das Konto, mit dem der Benutzer an den Client-Computer angemeldet ist. Da es sich bei diesem Konto, einschließlich der zugehörigen Windows NT-Domäne, um ein gültiges Konto auf dem Windows NT-basierten Server unter Internet Information Server handeln muß, bietet sich die Echtheitsbestätigung durch Windows NT-Herausforderung/Rückmeldung insbesondere für Intranet-Umgebungen an, in denen sich Client- und Server-Computer in derselben bzw. vertrauten Domäne befinden. Aufgrund der verbesserten Sicherheit empfiehlt Microsoft, zur Echtheitsbestätigung von Kennwörtern wenn möglich das Verfahren Windows NT-Herausforderung/Rückmeldung zu verwenden.

Standardmäßig sind beide Formen der Echtheitsbestätigung, Standard und Windows NT-Herausforderung/Rückmeldung, aktiviert. Unterstützt der Browser Windows NT-Herausforderung/Rückmeldung, wird dieses Verfahren der Echtheitsbestätigung verwendet. Andernfalls kommt die Standard-Echtheitsbestätigung zum Einsatz. Das Verfahren Windows NT-Herausforderung/Rückmeldung wird derzeit nur von Internet Explorer 2.0, oder höher, unterstützt.

Sie können Client-Echtheitsbestätigung für alle FTP-Dienst-Anfragen anfordern oder nur für fehlgeschlagene anonyme Anfragen. Der FTP-Dienst unterstützt nur die Standard-Echtheitsbestätigung, Daher wird für Ihre Site eine höhere Sicherheit gewährleistet, wenn Sie anonyme Verbindungen erlauben. Höchste Sicherheit wird erreicht, wenn nur anonyme FTP-Verbindungen zugelassen werden.

So aktivieren Sie die Echtheitsbestätigung für den WWW-Dienst

So aktivieren Sie die Echtheitsbestätigung für den FTP-Dienst



Warnung   Bei der Standard-Echtheitsbestätigung für die Dienste FTP und WWW wie auch für das Protokoll HTTP werden die Kennwörter unverschlüsselt über das Netzwerk gesendet.

Interaktion von anonymen Anmeldungen und Client-Echtheitsbestätigung

Sie können für die Dienste WWW und FTP sowohl anonyme Verbindungen als auch Client-Echtheitsbestätigung aktivieren. In diesem Abschnitt wird erläutert, wie ein IIS-Web Server sich verhält, wenn beide Zugriffsverfahren aktiviert sind.

Beachten Sie, daß eine Client-Anfrage mit Benutzername und Kennwort bei nicht erlaubter Client-Echtheitsbestätigung und erlaubten anonymen Verbindungen als anonyme Verbindung behandelt wird. Benutzername und Kennwort werden dabei vom Server ignoriert.

WWW-Dienst

Empfängt der WWW-Dienst eine Client-Anfrage mit Referenzen (Benutzername und Kennwort), wird das Benutzerkonto für die anonyme Anmeldung bei der Bearbeitung der Anfrage nicht verwendet. Statt dessen erfolgt eine Verwendung des vom Client empfangenen Benutzernamens und Kennworts durch den Dienst. Wird dem Dienst unter Verwendung des angegebenen Benutzernamens und Kennworts keine Berechtigung zum Zugriff auf die angeforderte Ressource erteilt, schlägt die Anfrage fehl, und es wird eine Fehlerbenachrichtigung an den Client zurückgegeben.

Schlägt eine anonyme Anfrage fehl, weil das Benutzerkonto für die anonyme Anmeldung keine Berechtigung zum Zugriff auf die gewünschte Ressource besitzt, wird in der Antwort an den Client angegeben, welche Echtheitsbestätigungsverfahren vom WWW-Dienst unterstützt werden. Enthält die Antwort den Hinweis, daß der Dienst für die Unterstützung der HTTP-Standard-Echtheitsbestätigung konfiguriert ist, wird bei den meisten Web Browsern ein Dialogfeld für Benutzername und Kennwort angezeigt und die anonyme Anfrage erneut als Anfrage mit Referenzen ausgegeben, einschließlich des vom Benutzer eingegebenen Benutzernamens und Kennworts.

Unterstützt ein Web Browser das Echtheitsbestätigungsprotokoll Windows NT-Herausforderung/Rückmeldung und der WWW-Dienst ist für die Unterstützung dieses Protokolls konfiguriert, wird bei Fehlschlagen einer anonymen WWW-Anfrage aufgrund ungeeigneter Berechtigungen automatisch dieses Echtheitsbestätigungsprotokoll verwendet. Der Browser sendet in diesem Fall einen Benutzernamen und ein verschlüsseltes Kennwort vom Client an den Dienst. Die Client-Anfrage wird unter Verwendung der Benutzerinformationen des Clients erneut bearbeitet.

Ist der WWW-Dienst für die Unterstützung sowohl der Standard-Echtheitsbestätigung als auch von Windows NT-Herausforderung/Rückmeldung konfiguriert, gibt der Web Server beide Echtheitsbestätigungsverfahren in einem Vorspann an den Web Browser zurück. Dieser entscheidet dann, welches der Verfahren verwendet wird. Da das Protokoll Windows NT-Herausforderung/Rückmeldung in dem Vorspann als erstes aufgeführt wird, wird es von einem Browser, der dieses Protokoll unterstützt, verwendet. Ein Browser, der das Protokoll nicht unterstützt, verwendet die Standard-Echtheitsbestätigung. Derzeit wird die Echtheitsbestätigung durch Windows NT-Herausforderung/Rückmeldung nur von Internet Explorer 2.0, oder höher, unterstützt.

FTP-Dienst

Empfängt der FTP-Dienst eine Client-Anfrage mit Referenzen (Benutzername und Kennwort), wird das Benutzerkonto für die anonyme Anmeldung bei der Bearbeitung der Anfrage nicht verwendet. Statt dessen erfolgt eine Verwendung des vom Client empfangenen Benutzernamens und Kennworts durch den Dienst. Wird dem Dienst unter Verwendung des angegebenen Benutzernamens und Kennworts keine Berechtigung zum Zugriff auf die angeforderte Ressource erteilt, schlägt die Anfrage fehl, und es wird eine Fehlerbenachrichtigung zum Client zurückgegeben. Schlägt eine anonyme Anfrage fehl, weil das Benutzerkonto für die anonyme Anmeldung keine Berechtigung zum Zugriff auf die gewünschte Ressource besitzt, wird in der Antwort an den Client angegeben, welche Echtheitsbestätigungsverfahren vom WWW-Dienst unterstützt werden. Enthält die Antwort den Hinweis, daß der Dienst für die Unterstützung der HTTP-Standard-Echtheitsbestätigung konfiguriert ist, wird bei den meisten Web Browsern ein Dialogfeld für Benutzername und Kennwort angezeigt und die anonyme Anfrage erneut als Anfrage mit Referenzen ausgegeben, einschließlich des vom Benutzer eingegebenen Benutzernamens und Kennworts.


Warnung   Da der FTP-Dienst (und die WWW-Standard-Echtheitsbestätigung) Benutzernamen und Kennwörter unverschlüsselt über das Netzwerk sendet, können Eindringlinge die Benutzernamen und Kennwörter mit Hilfe von Protokollanalysen lesen.

Erstellen benutzerdefinierter Echtheitsbestätigungsverfahren

Falls für eine WWW-Anfrage ein Echtheitsbestätigungsverfahren erforderlich ist, das nicht direkt von dem Dienst unterstützt wird, fordern Sie eine Kopie des Win32 Software Development Kit (SDK) an, und lesen Sie in der ISAPI-Filter-Spezifikation nach, wie vom Benutzer geschriebene ISAPI-Filter-DDLs (DDL = Dynamic Link Library) zur Verarbeitung der Echtheitsbestätigung von Anfragen entwickelt werden. Das Win32 SDK steht im Microsoft Developer Network zur Verfügung. Weitere Informationen finden Sie auf der Microsoft-Homepage (http://www.microsoft.de).


Anfang Bestimmen von Ordner- und Dateiberechtigungen

Jeder Zugriff auf eine Ressource, wie z. B. eine Datei, eine HTML-Seite oder eine ISAPI (Internet Server-API)-Anwendung, erfolgt durch den Dienst im Auftrag eines Windows NT-Benutzers. Für den Versuch, die Ressource für den Client zu lesen oder auszuführen, verwendet der Dienst den Benutzernamen und das Kennwort des jeweiligen Benutzers. Sie können den Zugriff auf Dateien und Ordner auf zweierlei Weise überwachen:
Anmerkung   Partitionen des FAT (File Allocation Table)-Dateisystems bieten keine Unterstützung für die Zugriffskontrolle. Eine FAT-Partition kann jedoch mit Hilfe des Dienstprogramms convert in das NTFS-Format konvertiert werden. Weitere Informationen zu diesem Dienstprogramm finden Sie in der Dokumentation zu Windows NT.

Bestimmen von NTFS-Berechtigungen

Ihre Datendateien sollten auf einer NTFS-Partition plaziert werden, da NTFS Sicherheit und Zugriffskontrolle für diese Dateien bietet. Mit NTFS kann der Zugriff auf Bereiche des Dateisystems für bestimmte Benutzer und Dienste eingeschränkt werden. Vor allem wird empfohlen, den Datendateien Zugriffsüberwachungslisten (ACLs; Access Control Lists) für die einzelnen Internet-Veröffentlichungsdienste hinzuzufügen.

ACLs gewähren oder verweigern den Zugriff auf die zugehörige Datei oder den Ordner für bestimmte Windows NT-Benutzerkonten oder -gruppen. Versucht ein Internet-Dienst, eine Datei aufgrund einer Client-Anfrage zu lesen oder auszuführen, muß das von dem Dienst angegebene Benutzerkonto über die entsprechende Berechtigung in der jeweiligen ACL der Datei verfügen. Ist dies nicht der Fall, schlägt die Anfrage fehl, und es wird eine Antwort zurückgegeben, in der der Client über die Verweigerung des Zugriffs benachrichtigt wird.

ACLs für Dateien und Ordner werden mit dem Windows NT-Explorer konfiguriert. Das NTFS-Dateisystem ermöglicht eine sehr genaue Überwachung über Dateien, indem zum einen die Benutzer und Gruppen angegeben werden, denen Zugriff gewährt wird, und zum anderen die Art des Zugriffs festgelegt wird, den diese für bestimmte Dateien und Verzeichnisse besitzen. Beispielsweise verfügen einige Benutzer über das Recht Nur-Lesen, während andere über die Rechte Lesen, Ändern und Schreiben verfügen. Dabei sollten Sie sicherstellen, daß für das Konto IUSR_Computer_Name oder die in ihrer Echtheit bestätigten Konten der entsprechende Zugriff auf bestimmte Ressourcen gewährt bzw. verweigert wird.

Beachten Sie, daß die Gruppe „Jeder“ sämtliche Benutzer und Gruppen enthält, einschließlich des Kontos IUSR_Computer_Name und der Gruppe „Gäste“. Standardmäßig besitzt die Gruppe „Jeder“ umfassende Kontrolle über sämtliche auf dem NTFS-Laufwerk erstellte Dateien.

Treten Konflikte zwischen den NTFS-Einstellungen und den Einstellungen in Microsoft Internet Information Server auf, werden die Einstellungen mit den jeweils umfassendsten Beschränkungen verwendet.

Sie sollten die Sicherheitseinstellungen für alle Ordner auf Ihrer Web Site überprüfen und sie entsprechend anpassen. Im allgemeinen sollten die in der folgenden Tabelle aufgeführten Einstellungen vorgenommen werden:

Verzeichnisart Empfohlener NTFS-Zugriff
Daten Lesezugriff
Programme Lese- und Ausführungszugriff
Datenbanken Lese- und Schreibzugriff

So sichern Sie die Dateien auf einem NTFS-Laufwerk

Überwachen des Dateizugriffs

Um festzustellen, ob sich jemand unerlaubten Zugriff auf Dateien mit vertraulichen Inhalt verschafft hat, können Sie den Zugriff auf NTFS-Dateien und -Ordner überwachen. So ist es beispielsweise möglich, gezielt auf Dateileseversuche durch Mitglieder einer bestimmten Benutzergruppe zu überprüfen. Die Aufzeichnungen der Überwachungen sollten regelmäßig durchgesehen werden, um unberechtigten Zugriff feststellen zu können. Um die Überwachung für eine Datei oder einen Ordner zu aktivieren, verwenden Sie den Benutzer-Manager für Domänen um die Überwachung von Datei- und Objektzugriff zu aktivieren, und bestimmen Sie anschließend mit dem Windows NT-Explorer die zu überwachenden Dateien sowie die zu überwachenden Zugriffsarten auf die Dateien. Verwenden Sie die Ereignisanzeige zum Überprüfen der Überwachungseinträge.

Weitere Informationen über das Bestimmen der Richtlinien für die Überwachung von Dateien und Ordnern finden Sie in der Dokumentation zu Windows NT.


Anfang Bestimmen des WWW-Verzeichniszugriffs

Beim Erstellen eines Web-Veröffentlichungsverzeichnisses (-ordners) im Internet-Dienst-Manager können Sie Zugriffsberechtigungen für das angegebene Basisverzeichnis bzw. virtuelle Verzeichnis sowie sämtliche, darin enthaltene Ordner bestimmen. Dabei handelt es sich um die vom WWW-Dienst bereitgestellten Berechtigungen, die zusätzlich zu den vom NTFS-Dateisystem gewährten Berechtigungen gelten. Folgende Berechtigungen stehen zur Verfügung:

Lesen Leseberechtigung ermöglicht Web-Clients, die in einem Basisverzeichnis bzw. einem virtuellen Verzeichnis gespeicherten Dateien zu lesen oder herunterzuladen. Sendet ein Client eine Anfrage für eine Datei, die sich in einem Verzeichnis ohne Leseberechtigung befindet, liefert der Web Server einen Fehler. Im allgemeinen sollten Sie für Verzeichnisse mit Veröffentlichungsinformationen (z. B. HTML-Dateien) Leseberechtigung erteilen. Für Verzeichnisse mit CGI (Common Gateway Interface)-Anwendungen und ISAPI (Internet Server Application Program Interface)-DDLs sollte die Leseberechtigung deaktiviert werden, um zu verhindern, daß Clients die Anwendungsdateien herunterladen.

Ausführen Die Ausführungsberechtigung ermöglicht es einem Web-Client, die in einem Basisverzeichnis oder einem virtuellen Verzeichnis gespeicherten Programme und Skripten auszuführen. Sendet ein Client eine Anfrage zum Ausführen eines Programms oder eines Skripts in einem Ordner, der nicht über Ausführungsberechtigung verfügt, gibt der Web Server einen Fehler zurück. Aus Sicherheitsgründen sollte vermieden werden, Informationsordnern Ausführungsberechtigung zuzuweisen.

Mit einer Client-Anfrage kann eine CGI-Anwendung oder eine ISAPI (Internet Server Application Program Interface)-Anwendung auf zweierlei Weise aufgerufen werden:


In diesem Beispiel wird die Skript-Datei mit dem Namen Pubs.idc in einem Ordner des Web-Veröffentlichungsverzeichnis gespeichert, für den die Ausführungsberechtigung aktiviert ist. Wenn der Dienst die Anfrage empfängt, verwendet er die Dateierweiterungszuordnungen zum Bestimmen der Position der Anwendung, die ja an einer beliebigen Stelle gespeichert werden kann. Durch dieses Verfahren wird verhindert, daß Benutzer CGI- und ISAPI-Anwendungen direkt durch Hinzufügen von Parametern in den URL-Adressen aufrufen. Deshalb gewährleistet dieses Verfahren auch eine höhere Sicherheit und eignet sich für alle Web-Anwendungen und -Skripten. Weitere Informationen finden Sie unter „Zuordnen von Interpretern zu Anwendungen (Skript-Zuordnung)“ in Kapitel 10, „Konfigurieren von Registrierungseinträgen“.

So bestimmen Sie die Zugriffsberechtigungen für ein Verzeichnis


Anmerkung   Wir empfehlen, für einen Ordner entweder Ausführungszugriff oder Lesezugriff zu erteilen; beide Berechtigungen sollten jedoch nicht gleichzeitig erteilt werden. Ausführbare Skripten und Programme sollten in einem von den unveränderlichen Web-Daten getrennten Stammverzeichnis gespeichert werden.


Anfang Überwachen des Zugriffs über IP-Adressen

Microsoft Internet Information Server kann so konfiguriert werden, daß der Zugriff für bestimmte IP-Adressen gewährt oder verweigert wird. So besteht beispielsweise die Möglichkeit, bestimmte Benutzer durch Verweigern des Zugriffs auf den Server von einer bestimmten IP-Adresse aus auszuschließen oder gesamte Netzwerke am Zugriff auf den Server zu hindern. Umgekehrt können Sie den Zugang zu Ihrem Dienst nur für bestimmte Sites gewähren. Sicherheit durch die IP-Adresse empfiehlt sich vor allem im Internet, wenn alle nicht bekannten Benutzer ausgeschlossen werden sollen.

Die Quell-IP-Adresse von allen empfangenen Paketen wird mit den Einstellungen verglichen, die über die Registerkarte Weitere Optionen von Internet Information Server vorgenommen wurden. Ist Internet Information Server so konfiguriert, daß allen Computern, mit Ausnahme der von dieser Regelung ausgenommenen, in einer Liste aufgeführten Computer, Zugriff gewährt wird, werden die Computer vom Zugriff ausgeschlossen, deren IP-Adresse in dieser Liste aufgeführt ist. Umgekehrt gilt: Ist Internet Information Server so konfiguriert, daß allen IP-Adressen der Zugang zu verweigert wird, wird sämtlichen Remote-Benutzern der Zugriff verweigert, mit Ausnahme derer, deren IP-Adressen ausdrücklich Zugriff gewährt wurde.

So verweigern Sie den Zugriff auf einen bestimmten Computer oder eine Gruppe von Computern

So gewähren Sie nur einem bestimmten Computer oder Gruppe von Computern Zugriff


Anfang Ausführen weiterer Netzwerkdienste

Sie sollten alle Netzwerkdienste überprüfen, die auf den Computern mit Internet-Anschluß zum Einsatz kommen.

Beschränken der Dienstausführung auf die benötigten Dienste

Je kleiner die Zahl der auf Ihrem System eingesetzten Dienste ist, desto geringer ist auch die Gefahr, daß ein Fehler bei der Verwaltung zu Ihrem Schaden ausgenutzt werden könnte. Klicken Sie in der Systemsteuerung auf das Symbol Dienste, um alle Dienste zu deaktivieren, die nicht unbedingt auf dem Internet-Server benötigt werden.

Aufheben der Bindungen nicht benötigter Dienste an die Internet-Karten

Klicken Sie in der Systemsteuerung auf das Symbol Netzwerk und wählen Sie die Registerkarte Bindungen, um die Bindung aller nicht benötigten Dienste an die Netzwerkkarten mit Internet-Anschluß aufzuheben. Dies bietet sich beispielsweise an, wenn Sie den Server-Dienst zum Kopieren neuer Bilder und Dokumente aus Computern in Ihrem internen Netzwerk verwenden, aber verhindern möchten, daß Remote-Benutzer vom Internet aus direkten Zugriff auf den Server-Dienst besitzen.

Wird der Server-Dienst in Ihrem privaten Netzwerk benötigt, deaktivieren Sie die Bindung des Dienstes an die an das Internet angeschlossenen Netzwerkkarten. Sie können den Windows NT-Server-Dienst über das Internet verwenden, wozu jedoch ein umfassendes Verständnis der Sicherheits-Implikationen erforderlich ist. Außerdem sind die Lizenzierungsanforderungen von Windows NT Server zu beachten.

Bei der Verwendung des Windows NT-Server-Dienstes wird das Microsoft Netzwerk eingesetzt (mit dem SMB (Server Message Block)-Protokoll anstelle des HTTP-Protokolls), und es gelten weiterhin sämtliche Lizenzierungsanforderungen von Windows NT Server. HTTP-Verbindungen fallen nicht unter die Lizenzierungsanforderungen von Windows NT Server.

Überprüfen der Berechtigungen für Netzwerkfreigaben

Falls Sie den Server-Dienst tatsächlich auf den Internet-Karten ausführen, stellen Sie sicher, daß die Berechtigungen für die auf dem System erstellten Freigaben besonders genau überprüft werden. Dies gilt ebenso für die Berechtigungen für die Dateien, die in den Ordnern der Freigabe enthalten sind, um die Richtigkeit der Einstellungen zu gewährleisten.

Verzeichnissuche nicht aktivieren

Solange es nicht Teil Ihrer Strategie ist, sollten Sie davon absehen, über die Registerkarte Verzeichnisse im Dialogfeld der Diensteigenschaften die Verzeichnissuche zu aktivieren. Dadurch kann die gesamte Struktur der Web-Veröffentlichungsdatei offengelegt werden, und Sie gehen bei einer falschen Konfiguration der Datei das Risiko ein, Programmdateien sowie andere Dateien unerlaubtem Zugriff preiszugeben. Steht keine Standard-Seite (Default.htm) zur Verfügung und die Verzeichnissuche ist aktiviert, liefert der WWW-Dienst eine Web-Seite mit einer Liste der Dateien in dem angegebenen Verzeichnis. Es ist auf alle Fälle ratsam, allen Verzeichnissen, die nicht durchsucht werden sollen, eine Default.htm-Seite hinzuzufügen.


Anfang Sichern der Datenübertragung mit SSL (Secure Sockets Layer)

In den vorherigen Abschnitten dieses Kapitels wurden verschiedene Möglichkeiten zur Sicherung Ihres Servers gegen unbefugten Zugriff behandelt. In diesem Abschnitt werden Protokolle vorgestellt, die Datenübertragungen zum und vom Server durch Verschlüsselung sichern.

Microsoft Internet Information Server stellt ein Protokoll zur Verfügung, das als Protokollschicht zwischen der TCP/IP-Schicht und der Anwendungsschicht (HTTP) die Sicherheit von Daten gewährleistet. Dieses Sicherheitsprotokoll, SSL (Secure Sockets Layer) genannt, bietet Verschlüsselung, Server-Echtheitsbestätigung und Datenintegrität für eine TCP/IP-Verbindung.

Das SSL-Protokoll wird an die W3C-Arbeitsgruppe für Sicherheit gesendet, wo es als Standard-Sicherheitskonzept für Web Browser und -Server im Internet dienen soll. SSL bietet einen sogenannten Sicherheits-Handshake, der zum Initialisieren der TCP/IP-Verbindung verwendet wird. Dieser Handshake bewirkt, daß Client und Server sich auf die zu verwendende Sicherheitsstufe einigen. Zusätzlich erfüllt er sämtliche Echtheitsbestätigungsanforderungen für die Verbindung. Die Aufgabe des SSL-Protokolls besteht somit lediglich darin, den Byte-Fluß des verwendeten Anwendungsprotokolls (beispielsweise HTTP) zu ver- und entschlüsseln. Das bedeutet, daß alle Informationen sowohl in der HTTP-Anfrage als auch in der HTTP-Antwort vollständig verschlüsselt werden, einschließlich der vom Client angeforderten URL-Adresse, sämtlicher gesendeter Formulardaten (wie z. B. Kreditkartennummern), aller Informationen der HTTP-Zugriffsbestätigung (Benutzeramen und Kennwörter) und der gesamten vom Server an den Client zurückgegebenen Daten.

Ein SSL-fähiger Server kann über das Internet private Daten zu SSL-fähigen Clients (Browser) sowohl senden als auch von diesen empfangen. Zu diesen gehört beispielsweise der Microsoft Internet Explorer, Version 2.0 oder höher.

Durch SSL verschlüsselte Datenübertragungen sind langsamer als unverschlüsselte Übertragungen. Um Leistungsminderungen für die gesamte Site zu verhindern, sollten Sie SSL nur für virtuelle Ordner verwenden, die streng vertrauliche Informationen enthalten, wie beispielsweise bei der Übertragung eines Formulars mit Kreditkartendaten.

Zur Aktivierung der SSL-Sicherheit auf einem Web Server sind folgende Schritte erforderlich:



Wichtig   Beachten Sie beim Aktivieren der SSL-Sicherheit folgende Punkte:

Erstellen eines Schlüsselpaars

Als Bestandteil des zum Aktivieren der SSL (Secure Sockets Layer)-Sicherheit auf Ihrem Web Server erforderlichen Verfahrens müssen Sie ein Schlüsselpaar erstellen und anschließend ein SSL-Zertifikat anfordern. Durch die neue Anwendung Schlüssel-Manager (mit dem Produkt installiert und in der Programmgruppe Internet Server zu finden) wird dieses Verfahren vereinfacht.

So erstellen Sie ein Schlüsselpaar


Der Schlüssel wird im Fenster Schlüssel-Manager unter dem Namen des Computers angezeigt, für den Sie den Schlüssel erstellt haben. Ein Schlüssel wird standardmäßig auf dem lokalen Computer erzeugt.

Anmerkung   Verwenden Sie in keinem der Felder Kommata. Ein Komma wird als Ende eines Feldes betrachtet, wodurch ohne Warnung eine fehlerhafte Anfrage verursacht wird.

Erstellen eines Schlüsselpaars auf einem anderen Server

Sie können ein Schlüsselpaar auf einem anderen Server einrichten und das Zertifikat dort installieren. Klicken Sie im Menü Server auf Mit Server verbinden, und führen Sie das oben unter der Überschrift „Erstellen eines Schlüsselpaars“ beschriebene Verfahren durch.

Nachdem Sie ein Schlüsselpaar erstellt haben, müssen Sie ein Zertifikat anfordern, welches dann mit dem Schlüsselpaar installiert wird. Informationen über den Erhalt eines Zertifikats finden Sie unter „Erhalt eines Zertifikats“ und „Installieren eines Zertifikats mit einem Schlüsselpaar“.

Erhalt eines Zertifikats

Der vom Schlüssel-Manager erzeugte Schlüssel ist erst dann für die Verwendung im Internet gültig, wenn Sie von einer Zertifikatsstelle, z. B. VeriSign, ein gültiges Zertifikat für diesen Schlüssel erhalten haben. Senden Sie die Zertifikats-Anfragedatei an die Zertifikatsstelle, um ein gültiges Zertifikat zu erhalten. Bis dahin befindet sich der Schlüssel auf dem Host-Computer, kann jedoch nicht verwendet werden. Anweisungen zum Erhalt eines VeriSign-Zertifikats finden Sie auf der Web Site von VeriSign unter http://www.verisign.com/microsoft/.

Installieren eines Zertifikats mit einem Schlüsselpaar

Nachdem Sie die Zertifikats-Anfrage gesendet haben, erhalten Sie von der Zertifikatsstelle ein bestätigtes Zertifikat (weitere Einzelheiten erfahren Sie bei Ihrer Zertifikatsstelle). Das Schlüssel-Manager-Programm erstellt eine Datei, die in etwa so aussieht:

-----BEGIN CERTIFICATE-----

JIEBSDSCEXoCHQEwLQMJSoZILvoNVQECSQAwcSETMRkOAMUTBhMuVrM
mIoAnBdNVBAoTF1JTQSBEYXRhIFNlY3VyaXR5LCBJbmMuMRwwGgYDVQ
QLExNQZXJzb25hIENlcnRpZmljYXRlMSQwIgYDVQQDExtPcGVuIE1hc
mtldCBUZXN0IFNlcnZlciAxMTAwHhcNOTUwNzE5MjAyNzMwWhcNOTYw
NTE0MjAyOTEwWjBzMQswCQYDVQQGEwJVUzEgMB4GA1UEChMXUlNBIER
hdGEgU2VjdXJpdHksIEluYy4xHDAaBgNVBAsTE1BlcnNvbmEgQ2VydG
lmaWNhdGUxJDAiBgNVBAMTG09wZW4gTWFya2V0IFRlc3QgU2VydmVyI
DExMDBcMA0GCSqGSIb3DQEBAQUAA0sAMEgCQQDU/7lrgR6vkVNX40BA
q1poGdSmGkD1iN3sEPfSTGxNJXY58XH3JoZ4nrF7mIfvpghNi1taYim
vhbBPNqYe4yLPAgMBAAEwDQYJKoZIhvcNAQECBQADQQBqyCpws9EaAj
KKAefuNP+z+8NY8khckgyHN2LLpfhv+iP8m+bF66HNDUlFz8ZrVOu3W
QapgLPV90kIskNKXX3a

------END CERTIFICATE-----

So installieren Sie ein Zertifikat


Sie können eine Verbindung aus Schlüssel und Zertifikat sichern, indem Sie das unter „Sichern von Schlüsseln“ beschriebene Verfahren weiter unten in diesem Kapitel anwenden.

Anmerkung   Geben Sie keine IP-Adresse an, so wird das gleiche Zertifikat für alle virtuellen Server im System verwendet. Befinden sich mehrere Sites auf einem einzelnen Server, können Sie festlegen, daß das Zertifikat nur für eine bestimmte Server-IP-Adresse verwendet wird. Fügen Sie dazu die IP-Adresse hinzu, beispielsweise:

10.191.28.45

Verzeichnisskonfiguration für die Anforderung von SSL

Nachdem das Zertifikat zugewiesen wurde, müssen Sie die Funktion SSL des Internet-Dienst-Managers aktivieren. SSL kann für jeden auf Ihrer Web Site verfügbaren virtuellen Ordner angefordert werden und wird unter Verwendung der Registerkarte Verzeichnisse konfiguriert.

So wird SSL angefordert

Verschieben eines Schlüsselpaars auf einen anderen Server

Nachdem Sie ein Schlüsselpaar erstellt habe, können Sie es mit Hilfe des Schlüssel-Managers auf einen anderen Server verschieben.

So verschieben Sie ein Schlüsselpaar auf einen anderen Server


Sie können mit dem gleichen Verfahren ein Schlüsselpaar auf einen anderen Server kopieren, indem Sie den Befehl Ausschneiden durch den Befehl Kopieren ersetzen.

Sichern von Schlüsseln

Mit Hilfe des Schlüssel-Managers laden Sie die Schlüsselinformationen von der Registrierung in eine Datei auf Ihrer Festplatte herunter und kopieren bzw. verschieben diese Datei dann zur sicheren Aufbewahrung auf eine Diskette oder ein Band. Sie können ein privates Schlüsselpaar oder einen Schlüssel mit einem installierten Zertifikat sichern.

So sichern Sie einen Schlüssel oder ein privates Schlüsselpaar

Laden von gesicherten Schlüsseln

Sie können gesicherte Schlüssel oder private Schlüsselpaardateien mit dem Befehl Importieren in den Schlüssel-Manager laden.

So laden Sie einen gesicherten Schlüssel

Laden eines mit Keygen.exe und Setkey.exe erstellten Schlüssels

Haben Sie mit dem Befehl Keygen.exe an der Befehlszeile ein Schlüsselpaar erzeugt und mit Setkey.exe ein Zertifikat installiert, könne Sie diese mit dem Befehl Importieren in den Schlüssel-Manager laden.

So laden Sie einen Schlüssel

Vorschläge zu Konfiguration und Betrieb von SSL

Microsoft empfiehlt, separate Informationsverzeichnisse für sichere und öffentliche Daten zu verwenden, beispielsweise C:\InetPub\Wwwroot\Secure für sichere Daten und C:\InetPubWwwroot\Public für öffentliche Daten.

Bewahren Sie Ihre Schlüsseldatei an einem sicheren Ort auf, um sie im Notfall griffbereit zu haben. Es empfiehlt sich, die Datei auf einer Diskette zu speichern und aus dem lokalen System zu entfernen, wenn der Installationsvorgang abgeschlossen ist. Vergessen Sie nicht das Kennwort, das Sie der Schlüsselpaardatei zugewiesen haben.


Inhalt Index Vorheries Kapitel Anfang Nächstes Kapitel

© 1996 Microsoft Corporation. Alle Rechte vorbehalten.