bom 10 Geschrieben 25. November 2002 Melden Teilen Geschrieben 25. November 2002 Hallo zusammen !! Hatte leider mit u.g. Thematik noch nie etwas zu tun ! *** Intranet-Seiten auf einen neuen Server "umziehen" lassen. *** Ich habe aber beim Besten Willen noch NIE einen solchen IIS Server (w2k) aufgesetzt, bzw. eingerichtet. :( gibt es denn zufällig eine "Installations-Anleitung" hierfür im Internet, oder kann mir einer von Euch helfen ?? - Was muss ich beachten ? - Wie gehe ich am besten vor ? - Wo gibt es die neuesten Patches für den IIS ? - Wie binde ich die "alten" Intranet-Seiten ein ? - uvm...... ?? Bin über jede Hilfe dankbar !!! Vielen Dank schon mal !! Zitieren Link zu diesem Kommentar
Christoph82 10 Geschrieben 25. November 2002 Melden Teilen Geschrieben 25. November 2002 Sicherer Betrieb einer Website mit IIS4/5 In den täglichen News hören wir über Hacker, welche auf einen Server eingebrochen sind. In etlichen Mailinglisten im Web können Tips zum Betrieb einer sicheren Website gefunden werden. Damit auch sie, als Webmaster eines Microsoft Webservers IIS4/5, ruhig schlafen können, gibt ihnen der Webmeister einige Tips was sie bei der Installation und beim Betrieb beachten müssen. Leider wird bei der Standardinstallation des IIS eine Menge von Files installiert, welche eigentlich nicht benötigt werden. Der wichtigste Tip: halten sie das Webroot sauber. Administrations-Tips: 1. Verzeichnisstruktur anpassen Standardmässig wird bei der Installation des IIS das Webroot-Verzeichnis c:\inetpub\wwwroot angelegt. Erstellen sie eine eigene Verzeichnisstruktur auf einem anderen Laufwerk. Bsp. e:\wwwservers\ Jede virtuelle Domain wird nun unterhalb dieses Verzeichnisses abgelegt. 2. Abschalten der Default-und der Admin-Website Schalten sie diese beiden Standard-Webs ab und erstellen für jede benötigte Domain ein separates virtuelles Web an. Egal ob sie nur ein Web benötigen oder 50. 3. Erstellen eines Verzeichnisses ausserhalb des Webroot für gesammelte Daten Legen sie gesammelte Daten, wie Sample Files, Backup-Dateien und ähnliche, in einem Verzeichnis ausserhalb des Webroot-Verzeichnisses ab. 4. Keine Beispiel-Dateien auf einem produktiven Server ablegen Standardmässig werden bei der IIS-Installation eine Anzahl Beispiele auf dem Server abgelegt. Beispieldateien haben auf einem produktiven Webserver nichts verloren. Beispielverzeichnisse sind folgende: <webroot>/samples/ <webroot>/iissamples/ <webroot>/msadc/samples/ <webroot>/sites/knowledge/ <webroot>/sites/samples/Sample/ <webroot>/scripts/samples/Sample/ <webroot>/scripts/iisadmin/adsamples/ <webroot>/advworks/Sample/ <webroot>/iishelp/iis/Sample/ 5. Regelmässiges Löschen von unnötigen Dateien Beim täglichen Update ihrer Website mit ihrem HTML-Editor werden oftmals auch Sicherungs-Dateien und Logfiles erstellt. Ein Hacker kann aus diesen Dateien Informationen über die Struktur ihres Server erhalten und dies erhöht die Chance auf einen Angriff auf ihren Server. Folgende Dateien in regelmässigen Abständen entfernen: *.bak *.old *.tmp *.temp *.backup *.??0 ws_ftp.log Entfernen sie auch alle Dateien .txt und .log aus ihrem Webroot 6. Entfernen aller nicht benötigten Scripts und ausführbaren Dateien Viele Administratoren lassen ihre Scripts im Web obwohl diese vielleicht erst in Zukunft gebraucht werden. Entfernen sie alle nicht benötigten Scripts. Verwendete Scripts in einem speziellen Verzeichnis ablegen, Bsp /cgi-bin. Wird das Verzeichnis /cgi-bin nicht benötigt, so entfernen sie dieses komplett. 7. Enfernen der Frontpage Server Erweiterungen Wenn sie auf ihrem Webserver installiert haben und diese nicht benötigen, dann entfernen sie diese komplett. 8. Entfernen von angreifbaren Dateien Im Internet gibt es etliche Listen, welche zeigen was für Dateien gewisse Sicherheitslöcher besitzen und ein Ziel von Angreifern darstellen. Mittels Scripts können solche Dateien in ihrem Web gefunden werden. Entfernen sie diese Dateien oder benennen sie diese um. 9. Entfernen von Software vor Neuinstallation/Upgrade Wenn sie CGI-Scrips oder ISAPI-Filter upgrade, oder sogar bei der Installation des IIS4 selbst, sollten sie diese zuerst entfernen und dann den Upgrade installieren. In etlichen Fällen wird bei einem sofortien Upgrade ein Teil der alten Komponenten nicht entfernt. Diese alten Dateien sind aber eine Sicherheitsrisiko und stellen ein Angriffsziel für Hacker dar. 10. Ablegen von Test-Dateien Testen sie keine neuen Scripts auf ihrem produktiven System. Installieren sie besser ein eigenes Testweb mit der gleichen Umgebung wie das Live-Web. Auf diese Weise können sie neue Programme/Scripts in der korrekten Umgebung entwickeln und Testen und bieten kein Angriffsziel für Hacker. Auch stören sie nicht den einwandfreien Betrieb ihres Live-Servers. 11. Entfernen von Scripts auf virtuellen Webs Wenn sie ein virtuelles Web auf einem Server eines Providers betreiben, entfernen sie alle nicht benötigten Beispielsscripts oder sonstigen Tools. Diese sind zwar ein Zusatzdienst ihres Providers, bieten aber ein Angriffsziel für ihr Web. Zitieren Link zu diesem Kommentar
intra101 10 Geschrieben 13. Dezember 2002 Melden Teilen Geschrieben 13. Dezember 2002 Original geschrieben von Christoph82 Sicherer Betrieb einer Website mit IIS4/5 In den täglichen News hören wir über Hacker, welche auf einen Server eingebrochen sind. In etlichen Mailinglisten im Web können Tips zum Betrieb einer sicheren Website gefunden werden. Damit auch sie, als Webmaster eines Microsoft Webservers IIS4/5, ruhig schlafen können, gibt ihnen der Webmeister einige Tips was sie bei der Installation und beim Betrieb beachten müssen. Leider wird bei der Standardinstallation des IIS eine Menge von Files installiert, welche eigentlich nicht benötigt werden. Der wichtigste Tip: halten sie das Webroot sauber. Administrations-Tips: 1. Verzeichnisstruktur anpassen Standardmässig wird bei der Installation des IIS das Webroot-Verzeichnis c:\inetpub\wwwroot angelegt. Erstellen sie eine eigene ...................................... Diese 11 Admin-Tips wurden 1:1 von meiner Website (http://www.webmeister.ch) kopiert. Hier das Original: http://www.webmeister.ch/server/webserver/iis/iis_security.htm Gruss intra101 Intranet Workshop in 2 Teilen http://www.webmeister.ch/intranet Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 13. Dezember 2002 Melden Teilen Geschrieben 13. Dezember 2002 @ intra101 Danke für die Tipps und den Hinweis @ Christoph82 Wenn du schon Infos von anderen Seiten klaust, gib bitte den Ursprungslink mit an! Zitieren Link zu diesem Kommentar
Christoph82 10 Geschrieben 16. Dezember 2002 Melden Teilen Geschrieben 16. Dezember 2002 Hallo Webmeister! Tut mir leid falls ich dass von deiner HP kopiert habe wollte aber ja auch nur schnell weiterhelfen! MFG und leid tu! Christoph82 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.