Zum Installieren und Verwenden des IIS Lockdown-Assistenten

Es wird dringend empfohlen, dass alle Benutzer auf Microsoft-Internetinformationsdienste (IIS) 6.0 aktualisieren auf Microsoft Windows Server 2003 ausgeführt. IIS 6.0 erhöht die Sicherheit der Webinfrastruktur beträchtlich. Weitere Informationen über IIS sicherheitsbezogene Themen finden Sie auf der folgenden Microsoft-Website:

Zusammenfassung

Dieser Artikel beschreibt, wie einen Webserver mithilfe des Lockdown-Assistenten von Internet Information Services (IIS) sichern. Sie enthält außerdem Informationen zu Problemen, die auftreten, nachdem Sie den Assistenten ausführen.

Vorbereiten der Ausführung des IIS Lockdown-Assistenten

Mit dem IIS Lockdown Wizard können Sie verschiedene optionale Features von IIS auf dem IIS-Server vor Angriffen zu schützen deaktivieren. Lesen Sie vor dem Ausführen des Assistenten die Hilfedatei, um sich mit den Optionen, die der Assistent präsentiert. Um die Hilfedatei zuzugreifen:
  1. Downloaden Sie den IIS Lockdown Wizard. Der Assistent zum Herunterladen finden Sie auf der folgenden Microsoft-Website:
  2. Extrahieren Sie Lockdown-Assistenten aus der ausführbaren Datei.
  3. Suchen Sie den Ordner, den Sie beim Extrahieren der Dateien angegeben, und doppelklicken Sie auf die Datei "Iislockd.chm".
Beachten Sie, dass der Lockdown-Assistent ermöglicht es Ihnen, bestimmte optionale Features von IIS deaktivieren, die für den ordnungsgemäßen Betrieb von anderen Programmen wie Exchange und FrontPage. Wenn Sie den Lockdown-Assistenten ausführen und die richtigen Optionen nicht auswählen, können die Funktionalität der Anwendung unterbrochen werden. Um Probleme zu minimieren, sorgfältig Microsoft Knowledge Base Artikel zu Ihrem System vor Ausführung des Lockdown-Assistenten:
  • Exchange und Outlook Web Access (OWA):
    309508 IIS Lockdown und URLscan-Konfigurationen in einer Exchange-Umgebung

  • Microsoft Mobile Informationsserver:
    311595 zum Installieren und Konfigurieren von Microsoft Security Tool Kit auf einem Microsoft Mobile Information Server

  • Microsoft Small Business Server:
    311862 Verwendung des IIS Lockdown-Tool mit Small Business Server

  • Microsoft Project, Projektserver und Project Web Access:
    Fehlermeldungen 321357 Sie Microsoft Project Web Access-Seite anzeigen, die Raster

    316398 wie das IIS Lockdown Tool und URLScan Security Tool auf einem Computer konfigurieren, auf dem Microsoft Project Server und Microsoft Project Central ausgeführt wird

  • Microsoft SharePoint Portal Server:
    309675 das IIS Lockdown Tool wirkt sich auf SharePoint Portal Server

    319633 "Fehler beim Ausführen des Skripts: Fehler beim Ausführen von Aufrufen ' Fehlermeldung nach der Installation von IIS Lockdown-Assistenten

  • Microsoft Visual Studio .NET:
    310588 PRB: Security Toolkit wird ASP.NET in Visual Studio .NET Debuggen

    315904 Fehler: "ExternalException: eine Programm kann nicht ausgeführt werden" Fehlermeldung, wenn Sie Webdienste von ASPX-Seite aufrufen

  • Microsoft FrontPage:
    317390 "HTTP/1.1 404 Objekt nicht gefunden" Fehlermeldung tritt auf, wenn ein Benutzer die Webseite eine Suche durchführt

    307976 -Fehlermeldung bei Verwendung von FrontPage mit URLScan

  • Microsoft Proxy Server:
    311675 kann nicht nach der Installation von IIS Lockdown-Assistenten suchen Onlinehilfe von Proxy Server 2.0

  • 888936 den erweiterten Client von SMS 2003 kann nicht installiert werden

Herunterladen Sie und installieren Sie des IIS Lockdown-Assistenten

  1. Doppelklicken Sie auf die ausführbare Datei, die Sie Vorbereiten der Ausführung des IIS Lockdown-Assistenten heruntergeladen Abschnitt, um den Assistenten zu starten.
  2. Auf der Seite Willkommen den erklärenden Text, und klicken Sie auf Weiter.
  3. Lesen Sie auf der Seite Lizenzvertrag den Lizenzvertrag auf ich stimme zuund klicken Sie dann auf Weiter.
  4. Wählen Sie auf der Seite Select Server Template die Vorlage, die die Rolle des Servers entspricht, und klicken Sie auf View Template Settings. Seiten basierend auf der Rolle des Servers, der in der vorherigen Seite ausgewählt, sodass Sie alle aktivierten Standardoptionen verwenden können, führen Sie diese Optionen bereits aktiviert haben.

    Wenn der Server mehrere Rollen (z. B. eine dynamische Webserver, die auch einen Proxy-Server), wählen Sie andere (Server, die keinem der aufgelisteten Funktionen entspricht)und stellen sicher, dass Sie alle Optionen, die auf den folgenden Seiten, sorgfältig da möglicherweise nicht für Ihren Server die Standardauswahl klicken. Wenn Sie die entsprechenden Einstellungen ausgewählt haben, klicken Sie auf Weiter.
  5. Wählen Sie auf der Seite Internet Services die Dienste, die Ihr Server bereitstellen soll. Die meisten Server ist der Webdienst erforderlich. Wenn Sie nicht Ihr Server (FTP = File Transfer Protocol) oder (SMTP = Simple Mail Transfer Protocol) Dienste (d. h. Datei übertragen oder E-mail) bereitstellen möchten, können Sie diese Optionen deaktivieren klicken. Beachten Sie, dass Sie SMTP aktiviert, wenn Sie Exchange oder Small Business Server ausgeführt sein müssen.

    Die nicht auf dieser Seite ausgewählten Dienste werden auf deaktiviert gesetzt und können nicht gestartet werden. Wenn Sie den Lockdown-Assistenten auf IIS 5.0 ausführen, können Sie auch klicken Remove unselected Servicesvollständig entfernt die Dienste, die Sie von Ihrem System nicht ausgewählt haben. Wenn Sie die entsprechenden Einstellungen ausgewählt haben, klicken Sie auf Weiter.
  6. Klicken Sie auf der Seite Script Maps deaktivieren das Kontrollkästchen Dateityp oder Dateitypen, die Ihr Server bereitstellen soll. Wenn Sie nicht sicher zu deaktivieren sind, können Sie Ihre Inhaltsverzeichnisse um herauszufinden, ob die Datei Name Extensions vorhanden suchen. Beachten Sie, dass die meisten Server Active Server Pages (ASP), benötigen Sie dieses Kontrollkästchen, wenn Sie sicher sind, dass der Server keine ASP-Seiten dienen klicken müssen. Klicken Sie auf Weiter.
  7. Wählen Sie auf der Seite zusätzliche virtuelle Verzeichnisse, die von diesem Server entfernen möchten. Standardmäßig sind diese virtuellen Verzeichnisse standardmäßig mit IIS bekannte Ziele für Angreifer sind und Sie diese virtuellen Verzeichnisse zu entfernen oder auf Produktionscomputern umbenennen möchten. Entfernen diese virtuellen Verzeichnisse von IIS entfernt nicht verbundenen physischen Verzeichnisse auf der Festplatte, damit Sie keine Daten verlieren diese Option.
  8. Klicken Sie auf der Seite Additional Security Running System Utilities (standardmäßig IUSR_ <Computername>) Rechte für ausführbare Dateien im Windows-Verzeichnis auf dem verweigern soll. Diese Option sollte auf den meisten Systemen aktiviert.
  9. Auf der Seite zusätzliche Sicherheit das Internetgastkonto Schreibrechte Konto auf die Verzeichnisse, die Ihren Inhalt auf das Schreiben in Verzeichnisse mit Webinhalten verweigern soll schreiben. Stellen Sie sicher, dass Sie diese Option, wenn Sie FrontPage Server Extensions auf diesem Server oder diesen Server als Proxy-Server fungiert.
  10. Klicken Sie auf der Seite zusätzliche Sicherheit auf Disable Web Distributed Authoring and Versioning (WebDAV) Wenn Sie nicht WebDAV erstellen und Bereitstellen von Webinhalten auf diesem Server. Wenn dieser Server Outlook Web Access (OWA) für Exchange 2000 ausgeführt wird, stellen Sie sicher, dass diese Option deaktiviert lassen.
    Hinweis: Bei dieser Option wird die Ausführungsberechtigung Lockdown-Assistent legt die Rechte auf die DLL, die WebDAV-Funktionalität (Httpext.dll) verweigern. Dies kann weiterhin Ausführen bestimmter WebDAV-Anfragen zulassen. Für Weitere Informationen klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:

    307934 Sperren WebDAV über ACL kann weiterhin PUT und DELETE-Anfragen

  11. Klicken Sie auf Weiter.
  12. Auf der Seite URLScan die Option zum Installieren von URLScan, wenn Sie URLScan verwenden, um eingehende Anfragen anhand der Regeln filtern möchten. Wenn ein Client versucht, eine Anforderung stellen, die gemäß den URLScan-Regeln nicht gültig ist, wird IIS Antworten mit Fehler 404 Datei nicht gefunden und protokolliert die Anfrage in der URLScan-Protokolldatei. Diese Datei befindet sich standardmäßig in % WINDIR%\System32\Inetsrv\Urlscan\Urlscan.log.

    Hinweis Wenn Sie WebDAV auf der Seite Additional Security aktiviert lassen, aber Sie URLScan installieren möchten, beachten Sie URLScan blockiert standardmäßig WebDAV-Anfragen. Wenn Sie WebDAV und URLScan zusammen nutzen möchten, müssen Sie die Datei Urlscan.ini ändern.
  13. Überprüfen Sie auf der Seite Einstellungen übernehmen Änderungen, die durchgeführt werden, und klicken Sie dann auf Weiter.
  14. Lockdown-Assistenten die Metabasis gesichert und ausgewählte ändert. Wenn dieser Prozess abgeschlossen ist, klicken Sie auf Bericht anzeigen , um einen Bericht anzuzeigen, der die Änderung beschreibt, die der Assistent erstellt hat. Klicken Sie auf Weiter .

    Hinweis Den Installationsbericht sehen %WINDIR%\System32\Inetsrv\Oblt-rep.log in Editor öffnen.
  15. Klicken Sie auf Fertig stellen , um IIS Lockdown-Assistenten zu schließen.
  16. Testen Sie alle Funktionen des Servers vollständig. Dieser Schritt ist sehr wichtig. Wenn Sie feststellen, dass erforderliche Funktionalität Ihres Servers versehentlich deaktiviert haben, sofort den Rollback Änderungen des Lockdown-Assistenten, und führen Sie den Assistenten, um die richtigen Optionen auswählen. Für Weitere Informationen klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:

    317052 wie vom IIS Lockdown-Assistenten Änderungen rückgängig machen

Konfigurieren von URLScan

Beim Ausführen des IIS Lockdown-Assistenten können Sie URLScan installieren. URLScan ist ein ISAPI-Filter, der HTTP-Anfragen anhand eines konfigurierbaren Regeln blockiert. Beispielsweise können Sie URLScan blockieren alle Anfragen für eine bestimmte Erweiterung blockieren bestimmte HTTP-Verben (wie GET oder POST) oder Anfragen blockieren, die Zeichen enthalten, die häufig auf Webservern enthalten sind.

Verwenden Sie zum Konfigurieren von URLScan einen Texteditor wie Notepad die Datei %WINDIR%\System32\Inetsrv\Urlscan\Urlscan.ini. Diese Datei enthält ausführliche Kommentare, in denen jede Konfigurationsoption erläutert. Abschluss der Bearbeitung der .ini-Datei speichern, und starten Sie IIS neu.

Weitere Informationen zum Konfigurieren von URLScan finden Sie im folgenden Artikel der Microsoft Knowledge Base:

312376 URLScan zu konfigurieren Anfragen mit einer Null-Erweiterung in IIS

326444 wie URLScan-Tool konfigurieren

Probleme nach dem Ausführen des IIS Lockdown-Assistenten

Das häufigste Problem nach Ausführung des IIS Lockdown-Assistenten ist unerwartete 404 Datei nicht gefunden Fehlermeldungen beim Öffnen der gesicherten Site. Sie erhalten diese Fehlermeldungen auch für Dateien, die vorhanden sind. Dies tritt auf, wenn ein Client eine Datei anfordert, die durch den Lockdown-Assistenten oder URLScan gesperrt. In diesem Fall meldet IIS aus, dass die Datei aus Sicherheitsgründen nicht existiert. Wenn ein böswilliger Benutzer bekannt ist, dass gefährdete Dienst existiert auf dem Server blockiert wird, kann der Benutzer weiterhin feststellen der Block und die Schwachstelle; jedoch versucht Benutzer geht davon aus, dass der Dienst nicht installiert ist, der Benutzer nicht, diese auszunutzen.

Wenn Sie nach dem Ausführen des IIS Lockdown-Assistenten eine 404-Fehlermeldung erhalten, folgendermaßen Sie vor, um das Problem zu beheben:

  1. Stellen Sie sicher, dass die angeforderte Datei auf dem Server vorhanden ist. Für Weitere Informationen klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:

    248033 wie Systemadministratoren "HTTP 404 - Datei nicht gefunden" beheben können Fehlermeldung auf einem Server mit IIS

  2. Überprüfen Sie die URLScan-Protokolldatei, um festzustellen, ob die Anfragen durch URLScan blockiert werden. Diese Datei befindet sich unter %WINDIR%\System32\Inetsrv\Urlscan\UrlscanMMDDYY.log (wobei MMTTJJ das Datum des Protokolls ist). Wenn Sie feststellen, dass die Anfragen durch URLScan blockiert werden, finden Sie im Abschnitt Konfigurieren von URLScan URLScan einrichten, können diese Anfragen zuzulassen.
  3. Wenn Sie eine nicht-HTML-Datei einen Server einschließen aktiviert Datei oder eine ASP-Seite anfordern überprüfen Sie die Zuordnung für den Dateityp im Internet Services Manager:
    1. Maustaste auf Ihrer Website, und klicken Sie dann auf Eigenschaften.
    2. Klicken Sie auf die Registerkarte Basisverzeichnis auf Konfiguration.
    3. Klicken Sie auf die Registerkarte Apps Mappings .
    4. Klicken Sie auf die Zeile, die die Erweiterung der Datei entspricht, die Sie versuchen zuzugreifen.
    5. Pfad der ausführbaren Datei % WINDIR%\System32\Inetsrv\404.dll festgelegt ist, klicken Sie auf Bearbeitenund festlegen Sie Ausführbaren Pfad zur ausführbaren Standardpfad für diese Erweiterung. Wenn Sie die Standardeinstellung nicht kennen, öffnen Sie die Datei %WINDIR%\System32\Inetsrv\oblt-log.log des Lockdown-Assistenten erstellt wurde. Suchen Sie nach einer Zeile, die mit SMAP

      gefolgt von der Erweiterung. Diese Zeile enthält auch den Standard-Ausführungspfad für diesen Dateityp.
Haben Sie Probleme mit dem Dienst, die abhängig von IIS, Exchange oder SharePoint, finden Sie unter Microsoft Knowledge Base-Artikeln, die im Abschnitt Vorbereiten der Ausführung des IIS Lockdown-Assistenten aufgelistet sind.

Möglicherweise finden Sie auch, dass FTP oder SMTP nach der Ausführung des IIS Lockdown-Assistenten nicht funktionieren. Dies tritt auf, wenn Sie deaktivieren oder entfernen Sie diese Dienste. Deaktivierte Dienste folgendermaßen Sie wieder aktivieren
  1. Öffnen Sie die Systemsteuerung.
  2. Öffnen Sie unter Windows NT 4.0 das Applet Dienste . Öffnen Sie unter Windows 2000 oder Windows XP im Ordner Verwaltung, und öffnen Sie das Applet " Dienste ".
  3. Doppelklicken Sie auf FTP-Veröffentlichung oder Simple Mail Transfer Protocol (SMTP).
  4. Starttypklicken Sie auf automatisch.
  5. Klicken Sie auf Starten , wenn der Dienst sofort gestartet werden soll.
Gehen folgendermaßen Sie vor, um sie erneut zu installieren, wenn Sie vollständig entfernt eine oder beide dieser Dienste durch Auswahl Entfernen Sie nicht benötigte Dienste , beim Ausführen des IIS Lockdown-Assistenten unter IIS 5.0:

  1. Öffnen Sie die Systemsteuerung.
  2. Öffnen Sie das Applet Software, und klicken Sie dann im linken Bereich auf Windows-Komponenten hinzufügen/entfernen .
  3. Wählen Sie Internetinformationsdienste (IIS), und klicken Sie dann auf Details.
  4. Klicken Sie auf Dienst (FTP = File Transfer Protocol) oder SMTP-Dienst.
  5. Klicken Sie auf OK, und klicken Sie dann auf Weiter. Die ausgewählten Dienste werden installiert werden. Sie eventuell aufgefordert, Ihre Windows-CD einzulegen.
  6. Stellen Sie sicher, dass Sie erneut das neueste Windows Servicepack und Hotfixes, die Sie installiert haben.
Wenn keine dieser Methoden funktioniert, können Sie die IIS Lockdown Wizard Berichtsdatei darauf das Tool alle anzeigen. Dadurch können Sie bestimmen, was ändert die Probleme, die Sie haben. Dieser Bericht ist % WINDIR\System32\Inetsrv\Oblt-rep.log gespeichert.

Informationen über die geänderten IIS Lockdown-Assistenten aus, klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:

317052 wie vom IIS Lockdown-Assistenten Änderungen rückgängig machen

Referenzen

Weitere Informationen zum IIS Lockdown-Assistenten und zum Schützen Ihres IIS-Servers finden Sie in den folgenden zu Artikeln der Microsoft Knowledge Base:

310725 so wird das IIS Lockdown-Assistenten unbeaufsichtigt im IIS ausführen

311350 zum Erstellen eines benutzerdefinierten Servertyps für die Verwendung mit dem IIS Lockdown Wizard

282060 Ressourcen zum Sichern von Internet-Informationsdienste

Eigenschaften

Artikelnummer: 325864 – Letzte Überarbeitung: 16.01.2017 – Revision: 2

Feedback