So sichern Sie IIS-Installationen

Wenn Sie einen PC mit IIS auf Ihrem Windows-Betriebssystem haben und sich mit Webdesign befassen möchten, denken Sie möglicherweise darüber nach, wie Sie die Sicherheit Ihres Webservers gewährleisten können. Sie denken wahrscheinlich, dass Sie in die Welt der Webentwicklung eintauchen und den zugrunde liegenden Webserver völlig vergessen können. Obwohl IIS ein Microsoft-Produkt ist, müssen Sie dennoch Sicherheitsfunktionen implementieren, um die Sicherheit Ihres Servers zu erhöhen.

Dies ist notwendig, da diese Sicherheitsfunktionen häufig nicht standardmäßig konfiguriert sind. Um die Sicherheit Ihrer IIS-Installationen zu gewährleisten, geben wir Ihnen in diesem Artikel Tipps und Schritte, die Sie befolgen sollten, um Ihre IIS-Installationen zu sichern.

TIPP 1:
Übertragen Sie den Inetpub-Ordner auf ein anderes Laufwerk

Der Inetpub-Ordner ist der voreingestellte Speicherort für Ihre Website-Inhalte, die IIS-Anmeldung und vieles mehr. Microsoft IIS7 und neuere Versionen verfügen über einen voreingestellten Inetpub-Ordner auf dem Systemlaufwerk. Um die Sicherheit Ihres Systems zu erhöhen, wird empfohlen, den Inetpub-Ordner von dieser Position auf eine andere Partition zu verschieben, um Webinhalte vom Windows-Betriebssystem zu isolieren. Normalerweise müssen Sie dies übertragen, sobald Sie die Installation abgeschlossen haben.

Tipp 2:
Richten Sie geeignete IIS-Module ein

IIS umfasst über dreißig Elemente oder Module. Sie müssen nicht alle installieren. Sie sollten nur die Module installieren, die Sie wirklich für Ihre Web-Apps benötigen. Um die Sicherheit Ihrer Website zu erhöhen, deaktivieren Sie alle Module, die Sie nicht benötigen, um zu erkennen, dass Ihr Webserver möglicherweise dem Risiko von Hackerangriffen ausgesetzt ist. Von Zeit zu Zeit müssen Sie die installierten Module überprüfen und nicht mehr benötigte Module entfernen. Um den Überblick über die von Ihnen installierten und aktivierten Module zu behalten, verwenden Sie den IIS-Manager. um alle aktivierten Module aufzulisten. Gehen Sie dazu wie folgt vor:

  • Navigieren Sie zum IIS-Manager und öffnen Sie ihn
  • Klicken Sie auf den Namen der Engine, um alle darin enthaltenen Elemente zu untersuchen. Navigieren Sie alternativ zu der jeweiligen Website, um alle für diese bestimmte Website zulässigen Module zu prüfen.
  • Klicken Sie zweimal auf „ Module“.
  • Wenn Sie eine Komponente deaktivieren möchten, klicken Sie in der gesamten Komponentenliste darauf und dann  im Bedienfeld „Aktionen “ auf „ Entfernen“ .
  •  Bestätigen Sie als Nächstes, dass Sie das Element tatsächlich entfernen möchten, indem Sie auf Ja klicken

So sichern Sie IIS-Installationen

Tipp 3:
Deaktivieren Sie die OPTIONS-Methode

Die OPTIONS-Methode bietet eine Aufzeichnung der Methoden, die der Webserver unterstützt. Obwohl dies nützlich erscheint, fungiert es gleichzeitig als potenzielle Verbindung zwischen Ihrem Webserver und Angreifern. Es gibt einem potenziellen Angreifer die Informationen, die er benötigt, um Ihre Website zu untersuchen und zu erkunden und potenzielle Möglichkeiten für einen Angriff zu entdecken. Daher empfiehlt es sich, die OPTIONS-Methode vollständig zu deaktivieren. Sie können dies erreichen, indem Sie das OPTIONS-Verb aus den Filterregeln für HTTP-Verbanfragen in IIS ausschließen. Um dies zu tun:

  • Gehen Sie zum IIS-Manager und öffnen Sie ihn
  • Wählen Sie den Namen der Engine, um diese global einzurichten. Alternativ können Sie die Einstellung auf der jeweiligen Website ändern, auf der Sie dies einrichten möchten.
  • Klicken Sie zweimal auf „Filterung anfordern“.
  • Gehen Sie zur Schaltfläche „HTTP-Verben“.
  • Navigieren Sie zum Bereich „Aktionen“ und klicken Sie auf „Verb verweigern“.
  • Klicken Sie dann auf „ OPTIONEN“  im Verb einfügen und klicken Sie auf „OK“. Dadurch werden die von Ihnen vorgenommenen Änderungen gespeichert.

So sichern Sie IIS-Installationen

TIPP 4:
Dynamische IP-Einschränkungen zulassen

Das Modul „Dynamic IP Restrictions“ ermöglicht es einem potenziellen Angreifer, den Zugriff auf IP-Adressen zu blockieren, die eine bestimmte Anzahl von Anfragen verarbeiten, und trägt so dazu bei, Denial-of-Service-Angriffe (DoS) zu verhindern. Diese Komponente überprüft die IP-Adresse jeder an den Webserver weitergeleiteten Anfrage und filtert diese Anfragen, um IP-Adressen, die eine bestimmte Angriffsstruktur darstellen, vorübergehend deaktivieren zu können. Sie können die Komponente „Dynamische IP-Einschränkungen“ so einstellen, dass der Zugriff auf IP-Adressen nach einer Anzahl gleichzeitiger Abfragen eingeschränkt wird oder indem IP-Adressen blockiert werden, die über einen bestimmten Zeitraum hinweg eine bestimmte Anzahl von Abfragen senden. Sie müssen lediglich entweder die Funktion „IP-Sicherheit“ oder „IP- und Domänenbeschränkungen“ aktivieren. Welche davon Sie aktivieren, hängt von der IIS-Version ab, mit der Sie arbeiten.

So sichern Sie IIS-Installationen

Auf diese Weise integrieren Sie die Komponente „IP-Adress- und Domänenbeschränkungen“ in den IIS-Manager. Von dort aus können Sie die dynamischen IP-Einschränkungen festlegen. Befolgen Sie die folgenden Schritte, um dies zu erreichen:

  • Gehen Sie zum Open IIS Manager und drücken Sie, um ihn zu öffnen
  • Wählen Sie den Namen des Geräts, das Sie einrichten möchten, damit Sie es global einrichten können.

Alternativ können Sie die jeweilige Website ändern, für die Sie dies einrichten müssen.

  • Drücken Sie zweimal auf „IP-Adress- und Domänenbeschränkungen“.
  • Navigieren Sie zum Bedienfeld „Aktionen“ und wählen Sie „Einstellungen für dynamische Einschränkungen bearbeiten“.
  • Ändern und passen Sie die dynamischen IP-Einschränkungseinstellungen entsprechend Ihren Anforderungen an und klicken Sie auf OK  , um sicherzustellen, dass alle vorgenommenen Änderungen gespeichert werden.

So sichern Sie IIS-Installationen

Tipp 5:
Filterregeln für Anfragen zulassen und einrichten

Es ist auch eine gute Idee, die Arten von HTTP-Abfragen im IIS-Prozess einzuschränken. Um zu verhindern, dass möglicherweise schädliche Abfragen verarbeitet werden, müssen Sie Ausnahmen und Regelungen konfigurieren. Dies ist wichtig, da IIS diese Anforderungen blockieren kann, wenn die Abfragefilterregeln definiert werden. Sie können beispielsweise eine Regel festlegen, um Datenverkehr zu filtern, der Anzeichen von SQL-Injection-Versuchen aufweist. Obwohl die Anfälligkeit von SQL-Injection grundsätzlich festgelegt werden sollte, ist die Filterung nach SQL-Injection-Angriffen unerlässlich, um solche Angriffe zu minimieren. Normalerweise können Sie dies über die Schaltfläche „Regeln“ festlegen, die Sie in der Anforderungsfilterungsoberfläche des IIS-Managers sehen. Befolgen Sie dazu die folgenden Schritte:

  • Klicken Sie hier, um den IIS-Manager zu öffnen
  • Klicken Sie auf den Namen des Geräts, für das Sie es einrichten möchten, um es global einzurichten, oder ändern Sie die Einstellungen auf der jeweiligen Website, für die Sie es einrichten möchten. Befolgen Sie dazu die folgenden Schritte:
  • Klicken Sie zweimal auf „Filterung anfordern“.
  • Ändern Sie die Schaltfläche „Regeln“.
  • Gehen Sie zum Bereich „Aktionen“ und wählen Sie „Filterregel integrieren“.
  • Konfigurieren Sie die erforderlichen Regeln und klicken Sie auf OK, um sicherzustellen, dass die vorgenommenen Änderungen gespeichert werden.

Die im folgenden Screenshot konfigurierte Regel weist IIS an, bei der Abfrage nach ASP- und ASPX-Seiten nach den angebotenen Threads zu suchen. Dies würde IIS anweisen, die Abfrage von solchen Threads zu blockieren, wann immer sie beobachtet werden.

So sichern Sie IIS-Installationen

Außerdem können Sie Anfragen filtern, die aus Funktionen wie High-Bit-Skripten oder Double-Escape-Skripten bestehen.

Tipp 6:
Protokollierungsattribut zulassen

Durch das Einrichten der IIS-Protokollierung werden IIS-Protokolldaten aus HTTP-Abfragen erstellt, die vom Server stammen. Dies ist eine große Hilfe und kann Ihnen helfen, Probleme zu verstehen, die möglicherweise auf Ihrer Website aufgetreten sind, wenn Sie auf Probleme stoßen. Sie können auch die von Ihrem Server gespeicherten Protokolle ständig oder in regelmäßigen Abständen überwachen, um die Leistung Ihres Servers zu überprüfen und Ihnen eine Vorstellung davon zu geben, wann Sie weitere Sicherheitsfunktionen optimieren müssen.

Dies kann durch den Einsatz von Server-Verifizierungstools automatisiert werden. Daher ist es wichtig, die Protokolle Ihres Servers zu sichern.

Microsoft bietet außerdem das Log Parser-Tool an, mit dem Sie bestimmte Daten aus IIS-Protokollen abfragen und retten können. Darüber hinaus sind Protokollkonsolidierungstools sehr wichtig, um die Konsolidierung und Archivierung von Daten aus Serverprotokollen deutlich zu verbessern.

Die IIS-Protokollierung kann zugelassen und der IIS-Manager eingerichtet werden. Klicken Sie im Manager auf den Namen des Geräts, für das Sie die Funktion konfigurieren, und klicken Sie dann auf Protokollierung. Da diese Protokolldateien sehr groß sein können, empfiehlt es sich, von Zeit zu Zeit eine neue Datei zu öffnen.

So sichern Sie IIS-Installationen

Tipp 7:
Nutzen Sie den Security Configuration Wizard (SCW) und den Security Compliance Manager (SCM)

Hierbei handelt es sich um zwei von Microsoft bereitgestellte Tools, mit denen Sie die Sicherheit Ihrer IIS-Installationen überprüfen können. Der Security Configuration Wizard (SCW) führt verschiedene Untersuchungen durch und bietet Vorschläge, wie Sie die Sicherheit Ihrer Webserver erhöhen können.

Das Security Compliance Manager (SCM)-Instrument hingegen führt Sicherheitsüberprüfungen und -untersuchungen auf Ihrem Server durch und vergleicht Ihre Servereinstellungen mit den voreingestellten Vorlagen, die für jeden Industriestandard erforderlich sind, und den Vorschlägen im Sicherheitsleitfaden.

So sichern Sie IIS-Installationen

Zu guter Letzt: Halten Sie Ihren Webserver ständig auf dem neuesten Stand

Stellen Sie schließlich sicher, dass Sie Ihren Webserver ständig aktualisieren, um sicherzustellen, dass er über die neuesten Updates und Sicherheitspatches verfügt. Sehr oft übersehen und vernachlässigen wir diese grundlegende Sicherheitsmaßnahme, die jedoch äußerst notwendig ist. Der Großteil der erfassten Serverangriffe geschieht häufig auf Servern, die nicht ordnungsgemäß gepatcht sind.

Dies ist ein Hinweis darauf, dass es ein äußerst wichtiger Sicherheitstipp ist, Ihren Webserver auf dem neuesten Stand zu halten. Die meisten Hacks, die den Webserver betreffen, erfolgen auf ungepatchten Servern. Dies zeigt nur, wie wichtig es ist, Ihren IIS-Webserver immer auf dem neuesten Stand zu halten.

Schauen Sie sich diese Top 3 der besten Webhosting-Dienste an

Hostinger
4.6

2.436 Nutzerbewertungen

2,99 $ /Monat
Startpreis

Besuchen Sie Hostinger

Bewertung basierend auf Expertenbewertung
  • Benutzerfreundlich
    4.7
  • Unterstützung
    4.7
  • Merkmale
    4.8
  • Zuverlässigkeit
    4.8
  • Preisgestaltung
    4.7
IONOS
4,0

382 Benutzerbewertungen

1,00 $ /Monat
Startpreis

Besuchen Sie IONOS

Bewertung basierend auf Expertenbewertung
  • Benutzerfreundlich
    4.5
  • Unterstützung
    4,0
  • Merkmale
    4.5
  • Zuverlässigkeit
    4.5
  • Preisgestaltung
    4.3
Ultahost
4.9

725 Benutzerbewertungen

2,90 $ /Monat
Startpreis

Besuchen Sie Ultahost

Bewertung basierend auf Expertenbewertung
  • Benutzerfreundlich
    4.3
  • Unterstützung
    4.8
  • Merkmale
    4.5
  • Zuverlässigkeit
    4,0
  • Preisgestaltung
    4.8
  • Suchen Sie nach dem besten Windows-Hosting ? Klicken Sie auf diesen Link und sehen Sie sich alle unsere Empfehlungen an.