DetailPage-MSS-KB

Knowledge Base

Artikel-ID: 325864 - Geändert am: Donnerstag, 17. November 2005 - Version: 4.2

Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
325864  (http://support.microsoft.com/kb/325864/EN-US/ ) How to install and use the IIS Lockdown Wizard
Es wird allen Benutzern dringend empfohlen, auf Microsoft Internet Information Services (IIS) Version 6.0 unter Microsoft Windows Server 2003 zu aktualisieren. Mit IIS 6.0 wird die Sicherheit von Web-Infrastrukturen deutlich verbessert. Weitere Informationen zu Sicherheitsfragen in Verbindung mit IIS finden Sie auf folgender Microsoft-Website:
http://www.microsoft.com/technet/security/prodtech/IIS.mspx (http://www.microsoft.com/technet/security/prodtech/IIS.mspx)
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.

Auf dieser Seite

Zusammenfassung

Dieser Artikel beschreibt Schritt für Schritt, wie Sie einen Webserver mithilfe des IIS-Lockdown-Assistenten (IIS = Internet Information Services) sichern. Er enthält außerdem Informationen zur Behandlung von Problemen, die nach der Ausführung des Assistenten auftreten können.

Vorbereiten der Ausführung des IIS-Lockdown-Assistenten

Mithilfe des IIS-Lockdown-Assistenten können Sie verschiedene optionale Features von IIS deaktivieren, um Ihren IIS-Server vor Angriffen zu schützen. Lesen Sie vor der Ausführung des Assistenten die Hilfedatei, um sich mit den vom Assistenten angebotenen Optionen vertraut zu machen. Gehen Sie folgendermaßen vor, um auf die Hilfedatei zuzugreifen:
  1. Laden Sie den IIS-Lockdown-Assistenten herunter. Der Assistent steht auf folgender Website von Microsoft zum Download zur Verfügung:
    http://www.microsoft.com/downloads/release.asp?ReleaseID=43955 (http://www.microsoft.com/downloads/release.asp?ReleaseID=43955)
  2. Extrahieren Sie die Dateien des Lockdown-Assistenten aus der ausführbaren Datei.
  3. Suchen Sie den Ordner, den Sie beim Extrahieren der Dateien angegeben haben, und doppelklicken Sie auf die Datei "Iislockd.chm".
Beachten Sie, dass der Lockdown-Assistent die Deaktivierung bestimmter optionaler Features von IIS ermöglicht, die für das korrekte Funktionieren anderer Anwendungen, wie Exchange oder FrontPage, erforderlich sind. Wenn Sie beim Ausführen des Lockdown-Assistenten nicht die korrekten Optionen auswählen, funktionieren diese Anwendungen möglicherweise nicht mehr. Lesen Sie vor der Ausführung des Lockdown-Assistenten sorgfältig die folgenden Artikel der Microsoft Knowledge Base, die sich auf Ihre Systemkonfiguration beziehen, um auftretende Probleme möglichst zu vermeiden:
  • Exchange und Outlook Web Access (OWA):
    309508  (http://support.microsoft.com/kb/309508/DE/ ) XCCC: IIS-Lockdown- und URLscan-Konfigurationen in einer Exchange-Umgebung
  • Microsoft Mobile Information Server:
    311595  (http://support.microsoft.com/kb/311595/DE/ ) XCCC: Installieren von Das Microsoft Security Toolkit auf einem Microsoft Mobile Information Server und Das Microsoft Security Toolkit auf einem Microsoft Mobile Information Server konfigurieren zu
  • Microsoft Small Business Server:
    311862  (http://support.microsoft.com/kb/311862/DE/ ) Wie Verwenden des IIS Lockdowntool mit Small Business Server
  • Microsoft Project, Project Server und Project Web Access:
    321357  (http://support.microsoft.com/kb/321357/DE/ ) PSRV2002: Fehlermeldungen beim Anzeigen einer Microsoft Project Web Access-Seite mit Raster
    316398  (http://support.microsoft.com/kb/316398/DE/ ) Konfigurieren des IIS Lockdowntool und des Sicherheitstools URLScan auf einem Computer, auf dem Microsoft Project Server oder Microsoft Project Central ausgeführt werden
  • Microsoft SharePoint Portal Server
    309675  (http://support.microsoft.com/kb/309675/DE/ ) Auswirkung IIS Lockdowntool SharePoint Portal Server
    319633  (http://support.microsoft.com/kb/319633/DE/ ) " Sie skriptsteuern Ausführungsfehler: Fehler bei dem Ausführen von AUFRUFEN " Fehlermeldung, nachdem Sie II-Lockdown-Assistenten installieren
  • Microsoft Visual Studio .NET:
    310588  (http://support.microsoft.com/kb/310588/DE/ ) PRB: Security Toolkit bricht ASP.NET-Debuggen in Visual Studio .NET ab
    315904  (http://support.microsoft.com/kb/315904/DE/ ) Fehler: Fehlermeldung "ExternalException: Ein Programm kann nicht ausgeführt werden" beim Aufrufen der Methode "WebServices" von einer ASPX-Seite aus
  • Microsoft FrontPage:
    317390  (http://support.microsoft.com/kb/317390/DE/ ) HTTP/1.1 404 "Object not found" Fehlermeldung einem Benutzer wenn ihrer Webseite führt eine Suche in FrontPage durch
    307976  (http://support.microsoft.com/kb/307976/DE/ ) Wenn Sie FrontPage mit URLScan verwenden, wird eine Fehlermeldung Ihnen angezeigt
  • Microsoft Proxy Server:
    311675  (http://support.microsoft.com/kb/311675/DE/ ) Kann Proxy Server 2.0-Online-Hilfe nicht durchsuchen, nachdem der II-Lockdown-Assistent installiert wird

Download und Installation des IIS-Lockdown-Assistenten

  1. Doppelklicken Sie auf die ausführbare Datei, die Sie im Abschnitt Vorbereiten der Ausführung des IIS-Lockdown-Assistenten heruntergeladen haben, um den Assistenten zu starten.
  2. Lesen Sie auf der Seite "Welcome" die Erklärung, und klicken Sie auf Next.
  3. Lesen Sie auf der Seite "License Agreement" die Lizenzvereinbarung, klicken Sie auf I Agree und anschließend auf Next.
  4. Wählen Sie auf der Seite "Select Server Template" die Vorlage aus, die am ehesten der Rolle Ihres Servers entspricht, und aktivieren Sie die Option View Template Settings. Die nachfolgenden Seiten enthalten Optionen, die basierend auf der zuvor ausgewählten Serverrolle bereits aktiviert sind, sodass Sie alle aktivierten Standardoptionen übernehmen können.

    Wenn der Server mehrere Rollen ausfüllt (zum Beispiel ein dynamischer Webserver, der auch als Proxyserver fungiert), aktivieren Sie die Option Other (Server that does not match any of the listed roles). Überprüfen Sie anschließend sorgfältig die auf den folgenden Seiten angebotenen Optionen, da die bereits aktivierten Standardoptionen möglicherweise für Ihren Server nicht passen. Nachdem Sie die geeigneten Einstellungen aktiviert haben, klicken Sie auf Next.
  5. Wählen Sie auf der Seite "Internet Services" die Dienste aus, die Ihr Server bereitstellen soll. Für die meisten Server ist der Webdienst erforderlich. Wenn Ihr Server die Dateitransfer- und E-Mail-Dienste FTP (File Transfer Protocol) und SMTP (Simple Mail Transfer Protocol) nicht bereitstellen soll, können Sie diese Optionen deaktivieren. Beachten Sie, dass SMTP aktiviert sein muss, wenn Sie mit Exchange oder Small Business Server arbeiten.

    Dienste, die auf dieser Seite nicht ausgewählt werden, werden auf Deaktiviert gesetzt und können nicht starten. Wenn Sie den Lockdown-Assistenten auf IIS 5.0 ausführen, können Sie auch die Option Remove unselected services aktivieren, wodurch die nicht ausgewählten Dienste vollständig von Ihrem System entfernt werden. Nachdem Sie die geeigneten Einstellungen aktiviert haben, klicken Sie auf Next.
  6. Deaktivieren Sie auf der Seite "Script Maps" die Kontrollkästchen neben den Dateitypen, die Ihr Server bereitstellen soll. Wenn Sie nicht sicher sind, welche Optionen zu deaktivieren sind, können Sie Ihre Informationsverzeichnisse durchsuchen, um herauszufinden, ob diese Dateinamenerweiterungen existieren. Beachten Sie, dass die meisten Server Active Server Pages (.asp) benötigen. Sie müssen also dieses Kontrollkästchen deaktivieren, es sei denn Sie wissen, dass Ihr Server keine ASP-Seiten bereitstellt. Klicken Sie auf Next.
  7. Wählen Sie auf der Seite "Additional Security" die virtuellen Verzeichnisse aus, die von diesem Server entfernt werden sollen. Diese virtuellen Verzeichnisse werden standardmäßig zusammen mit IIS installiert, weshalb sie bekannte und bevorzugte Ziele für Angreifer sind. Es empfiehlt sich daher, diese virtuellen Verzeichnisse auf Produktionscomputern zu verschieben oder umzubenennen. Durch Entfernen dieser virtuellen Verzeichnisse von IIS werden keine damit verbundenen physischen Verzeichnisse auf dem Datenträger entfernt, es gehen also durch Aktivieren dieser Option keine Daten verloren.
  8. Aktivieren Sie auf der Seite "Additional Security" die Option Running system utilities, wenn Sie dem Internetgastkonto (standardmäßig <IUSR_Computername>) Rechte für ausführbare Dateien im Windows-Verzeichnis verweigern wollen. Diese Option sollte auf den meisten Systemen aktiviert werden.
  9. Aktivieren Sie auf der Seite "Additional Security" die Option Writing to content directories, wenn Sie dem Internetgastkonto Schreibrechte für die Verzeichnisse mit Ihren Webinhalten verweigern möchten. Achten Sie darauf, diese Option nicht zu aktivieren, wenn Ihr Server FrontPage-Servererweiterungen nutzt oder als Proxyserver fungiert.
  10. Aktivieren Sie auf der Seite "Additional Security" die Option Disable Web Distributed Authoring and Versioning (WebDAV), wenn Sie WebDAV nicht auf diesem Server nutzen, um Webinhalte zu erstellen und zu verteilen. Aktivieren Sie diese Option nicht, wenn der Server Outlook Web Access (OWA) für Exchange 2000 ausführt.
    Hinweis: Wenn Sie diese Option aktivieren, werden für die DLL, die die WebDAV-Funktionalität implementiert (Httpext.dll), Ausführungsrechte verweigert. Dies lässt möglicherweise immer noch die Ausführung bestimmter WebDAV-Anfragen zu. Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
    307934  (http://support.microsoft.com/kb/307934/DE/ ) Sperre herunter WebDAV durch ACL ermöglicht PUT und DELETE-Anforderungen weiterhin
  11. Klicken Sie auf Next.
  12. Aktivieren Sie auf der Seite "URLScan" die Option zum Installieren von URLScan, wenn Sie dieses Feature verwenden wollen, um eingehende Anfragen anhand eines Regelpakets zu filtern. Wenn von einem Client eine Anfrage eingeht, die gemäß den URLScan-Regeln nicht gültig ist, gibt IIS eine Fehlermeldung "404 - Datei wurde nicht gefunden" zurück und protokolliert die Anfrage in der URLScan-Protokolldatei. Diese Datei befindet sich standardmäßig unter "%WINDIR%\System32\Inetsrv\Urlscan\Urlscan.log".

    Hinweis: Wenn Sie WebDAV auf der Seite "Additional Security" aktiviert lassen, aber anschließend entscheiden, URLScan zu installieren, werden WebDAV-Anfragen standardmäßig von URLScan blockiert. Sie müssen die Datei "Urlscan.ini" ändern, wenn Sie WebDAV und URLScan zusammen nutzen wollen.
  13. Überprüfen Sie auf der Seite "Ready to Apply Settings" die Änderungen, die vorgenommen werden, und klicken Sie auf Next.
  14. Der Lockdown-Assistent sichert Ihre Metabasis und führt die ausgewählten Änderungen durch. Klicken Sie nach dem Abschluss dieses Vorgangs auf View Report, um einen Bericht anzuzeigen, der die von dem Assistenten vorgenommenen Änderungen beschreibt. Klicken Sie auf Weiter, um fortzufahren.

    Hinweis: Wenn Sie den Installationsbericht anzeigen möchten, öffnen Sie die Datei "%WINDIR%\System32\Inetsrv\Oblt-rep.log" im Editor.
  15. Klicken Sie auf Finish, um den IIS-Lockdown-Assistenten zu schließen.
  16. Führen Sie einen vollständigen Test aller Serverfunktionen durch. Dieser Schritt ist sehr wichtig. Wenn Sie feststellen, dass Sie versehentlich erforderliche Funktionen Ihres Servers deaktiviert haben, machen Sie alle vom Lockdown-Assistenten vorgenommenen Änderungen rückgängig, und führen Sie anschließend den Assistenten erneut aus, um die korrekten Optionen zu aktivieren. Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
    317052  (http://support.microsoft.com/kb/317052/DE/ ) Wie Machen von rückgängiges Änderungen, die von dem II-Lockdown-Assistent vorgenommen werden

Konfigurieren von URLScan

Während der Ausführung des IIS-Lockdown-Assistenten können Sie URLScan installieren. Bei URLScan handelt es sich um einen ISAPI-Filter, der HTTP-Anfragen anhand eines konfigurierbaren Filterpakets blockiert. Sie können URLScan beispielsweise darauf konfigurieren, alle Anfragen für eine bestimmte Dateinamenerweiterung zu blockieren, bestimmte HTTP-Befehle (wie GET oder POST) zu blockieren, oder Anfragen zu blockieren, die Zeichen enthalten, die häufig bei Angriffen auf Webserver verwendet werden.

Verwenden Sie zum Konfigurieren von URLScan einen Texteditor wie den Editor, um die Datei "%WINDIR%\System32\Inetsrv\Urlscan\Urlscan.ini" zu bearbeiten. Diese Datei enthält ausführliche Hinweisen zur Erklärung jeder einzelnen Konfigurationsoption. Wenn Sie die Bearbeitung der .ini-Datei abgeschlossen haben, speichern Sie sie und starten Sie IIS neu.

Weitere Informationen zum Konfigurieren von URLScan finden Sie in den folgenden Artikeln der Microsoft Knowledge Base:
312376  (http://support.microsoft.com/kb/312376/DE/ ) SO WIRD'S GEMACHT: URLScan in IIS auf das Zulassen von Requests mit Nullerweiterung konfigurieren
326444  (http://support.microsoft.com/kb/326444/DE/ ) SO WIRD'S GEMACHT: Konfigurieren des Dienstprogramms URLScan

Problembehandlung nach der Ausführung des IIS-Lockdown-Assistenten

Das häufigste Problem nach der Ausführung des IIS-Lockdown-Assistenten ist die Anzeige unerwarteter Fehlermeldungen "404 - Datei wurde nicht gefunden" beim Öffnen der gesicherten Site. Diese Fehlermeldungen können auch für Dateien angezeigt werden, die vorhanden sind. Dieses Verhalten tritt auf, wenn ein Client eine Datei anfordert, die durch den Lockdown-Assistenten oder URLScan gesperrt ist. In diesem Fall meldet IIS aus Sicherheitsgründen, dass die Datei nicht existiert. Wenn ein böswilliger Benutzer weiß, dass ein angreifbarer Dienst auf dem Server existiert, aber blockiert wird, kann er die Sperre eventuell umgehen und die Anfälligkeit dennoch ausnutzen; wenn der Benutzer aber annimmt, dass der Dienst nicht installiert ist, wird er nicht versuchen, die Anfälligkeit auszunutzen.

Wenn nach der Ausführung des IIS-Lockdown-Assistenten eine 404-Fehlermeldung angezeigt wird, gehen Sie folgendermaßen vor, um das Problem zu beheben:
  1. Stellen Sie sicher, dass die angeforderte Datei auf dem Server vorhanden ist. Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
    248033  (http://support.microsoft.com/kb/248033/DE/ ) Typische Ursachen und Problembehandlung der Fehlermeldung "HTTP 404 - Datei wurde nicht gefunden"
  2. Überprüfen Sie anhand der URLScan-Protokolldatei, ob die Anfragen durch URLScan blockiert werden. Diese Datei befindet sich unter "%WINDIR%\System32\Inetsrv\Urlscan\UrlscanMMTTJJ.log" (wobei MMTTJJ das Datum des Protokolls darstellt). Wenn Sie feststellen, dass die Anfragen durch URLScan blockiert werden, lesen Sie im Abschnitt Konfigurieren von URLScan nach, wie Sie URLScan darauf konfigurieren können, diese Anfragen zuzulassen.
  3. Wenn Sie eine Nicht-HTML-Datei anfordern, zum Beispiel eine ASP-Seite oder eine serverseitig aktivierte Datei, überprüfen Sie im Internetdienste-Manager die Anwendungszuordnung für den Dateityp:
    1. Klicken Sie mit der rechten Maustaste auf Ihre Website, und klicken Sie auf Eigenschaften.
    2. Klicken Sie auf der Registerkarte Basisverzeichnis auf Konfiguration.
    3. Klicken Sie auf die Registerkarte Anwendungszuordnung.
    4. Klicken Sie auf die Zeile, die für die Erweiterung der Datei steht, auf die Sie zugreifen wollen.
    5. Wenn Pfad für ausführbare Datei auf "%WINDIR%\System32\Inetsrv\404.dll" gesetzt ist, klicken Sie auf Bearbeiten, und setzen Sie Pfad für ausführbare Datei auf den Standard-Ausführungspfad für diese Dateierweiterung. Wenn Sie nicht sicher sind, wie der Standardpfad lautet, öffnen Sie die Datei "%WINDIR%\System32\Inetsrv\oblt-log.log", die während der Ausführung des Lockdown-Assistenten erstellt wurde. Suchen Sie nach einer Zeile, die mit SMAP beginnt, gefolgt von der Dateinamenerweiterung. Diese Zeile enthält auch den Standard-Ausführungspfad für diesen Dateityp.
Wenn Probleme mit einem von IIS abhängigen Dienst auftreten, zum Beispiel Exchange oder SharePoint, lesen Sie die im Abschnitt Vorbereiten der Ausführung des IIS-Lockdown-Assistenten aufgelisteten Artikel der Microsoft Knowledge Base.

Eventuell stellen Sie auch fest, dass FTP oder SMTP nach der Ausführung des IIS-Lockdown-Assistenten nicht funktionieren. Dieses Problem tritt auf, wenn Sie diese Dienste entweder deaktiviert oder entfernt haben. Wenn Sie die Dienste deaktiviert haben, gehen Sie folgendermaßen vor, um sie wieder zu aktivieren:
  1. Öffnen Sie die Systemsteuerung.
  2. Öffnen Sie unter Windows NT 4.0 das Applet Dienste. Öffnen Sie unter Windows 2000 oder Windows XP den Ordner "Verwaltung" und anschließend das Applet Dienste.
  3. Doppelklicken Sie auf FTP Publishing oder SMTP (Simple Mail Transfer Protocol).
  4. Setzen Sie den Starttyp auf Automatisch.
  5. Klicken Sie auf Starten, wenn der Dienst sofort gestartet werden soll.
Wenn Sie während der Ausführung des IIS-Lockdown-Assistenten unter IIS 5.0 einen oder beide dieser Dienste durch Aktivieren von Remove unneeded services vollständig entfernt haben, gehen Sie folgendermaßen vor, um die Dienste neu zu installieren:
  1. Öffnen Sie die Systemsteuerung.
  2. Öffnen Sie das Applet Software, und klicken Sie im linken Fenster auf Windows-Komponenten hinzufügen/entfernen.
  3. Klicken Sie auf Internet-Informationsdienste (IIS) und anschließend auf Details.
  4. Aktivieren Sie eine oder beide der Optionen FTP-Dienst (File Transfer Protocol) und SMTP-Dienst.
  5. Klicken Sie auf OK und anschließend auf Weiter. Die ausgewählten Dienste werden installiert. Sie werden eventuell aufgefordert, Ihre Windows-CD einzulegen.
  6. Denken Sie daran, das neueste Windows Service Pack und alle installierten Updates neu anzuwenden.
Wenn keine dieser Methoden funktioniert, können Sie die Berichtdatei des IIS-Lockdown-Assistenten anzeigen, um alle vom Assistenten vorgenommenen Änderungen zu überprüfen. Anhand dieser Aufzeichnungen lässt sich leichter bestimmen, durch welche Änderungen die auftretenden Probleme verursacht werden. Diese Berichtdatei finden Sie unter "%WINDIR\System32\Inetsrv\Oblt-rep.log".

Weitere Informationen zum Rückgängigmachen der vom IIS-Lockdown-Assistenten vorgenommenen Änderungen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
317052  (http://support.microsoft.com/kb/317052/DE/ ) Wie Machen von rückgängiges Änderungen, die von dem II-Lockdown-Assistent vorgenommen werden

Verweise

Weitere Informationen über den IIS-Lockdown-Assistenten und Maßnahmen zum Schützen Ihres IIS-Servers finden Sie in den folgenden Artikeln der Microsoft Knowledge Base:
310725  (http://support.microsoft.com/kb/310725/DE/ ) SO WIRD'S GEMACHT: Unbeaufsichtigte Ausführung des IIS-Lockdown-Assistenten in IIS
311350  (http://support.microsoft.com/kb/311350/DE/ ) SO WIRD'S GEMACHT: Erstellen eines benutzerdefinierten Servertyps für die Verwendung mit dem IIS-Lockdown-Assistenten
282060  (http://support.microsoft.com/kb/282060/DE/ ) Ressourcen zu dem Sichern von Internetinformationsdienst

Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Internet Information Services 5.0
  • Microsoft Internet Information Services 5.1
  • Microsoft Internet Information Server 4.0
Keywords: 
kbhowtomaster KB325864
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.
Freigeben
Weitere Supportoptionen
Microsoft Community-Supportforen
Kontaktieren Sie uns direkt
Zertifizierten Partner finden
Microsoft Store
Folgen Sie uns: