Ankündigung

Einklappen
Keine Ankündigung bisher.

Ist mein IIS sicher?

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Ist mein IIS sicher?

    Hallo hab Windows 2000 SP 4 installiert und den IIS aktiviert.
    Nachträglich habe ich über das Windows Update alle Patches installiert die er für notwendig hielt.

    Ist mein IIS 5 nun sicher oder muss man da separat noch Patches runterladen? Und wenn ja wo?
    MCSE+S, CompTIA S+, CAS Information Security, MAS Information Security

  • #2
    Checke mit dem MBSA um das System zu checken, wegen Patches:
    download, software, update, Microsoft, product, computer, PC, Windows, Office, server, MSN, Live, game, Xbox, security, driver, install, trial, preview, demo, popular


    Mit dem MS Lockdown Tool,kannst Du alle nicht verwendeten
    Dienste für den IIS deaktivieren und das System verbessern:


    Und je nachdem eine andere Sicherheitsvorlage einbinden:


    Wenn man alles ausgeschaltet hat, was unmöglich ist, bleibt am Ende etwas übrig, das die Wahrheit enthalten muss

    Kommentar


    • #3
      Zur sicherheitsvorlage noch was ... da gibt es bei Microsoft schon eine zum downloaden extra für den IIS - wie immer dre Stufen normal,sec, hisec - suche grad den link - sonst als info es sind *.inf Dateien
      Wenn man alles ausgeschaltet hat, was unmöglich ist, bleibt am Ende etwas übrig, das die Wahrheit enthalten muss

      Kommentar


      • #4
        Da ist er ja:


        Hier noch paars aus Zeitschriften:

        Wenn man alles ausgeschaltet hat, was unmöglich ist, bleibt am Ende etwas übrig, das die Wahrheit enthalten muss

        Kommentar


        • #5
          Thx werde die Sachen anschauen...weil das muss schon richtig sicher sein...gibt en ebanking webserver

          zertifikat hab ich auch gerade vorhin bestellt
          MCSE+S, CompTIA S+, CAS Information Security, MAS Information Security

          Kommentar


          • #6
            okey würde aber den Webserver via Firewall absichern, zusätzlich
            zu den obrigen Securityeinstellungen.
            Dazu gibt viele gute Lösungen Software / Hardwaremässig mit oder ohne DMZ. Das Microsofttool dazu heisst ISA Server.
            Wenn man alles ausgeschaltet hat, was unmöglich ist, bleibt am Ende etwas übrig, das die Wahrheit enthalten muss

            Kommentar


            • #7
              Jope hab ne Checkpoint Firewall am laufen

              Werde zusätzlich noch im IIS Server IP Restriktionen festlegen welche IP drauf zugreifen kann. Die Bankübermittlungen selbst laufen dann sowieso über einen eigenen Server der in der DMZ steht.
              MCSE+S, CompTIA S+, CAS Information Security, MAS Information Security

              Kommentar


              • #8
                Uhhii

                Dann würde ich gleich Windows 2003 und den IIS 6 nehmen...

                Ist von Grund auf schon mal sicherer....

                Gruss,

                Lukas

                Kommentar


                • #9
                  @lucky

                  Mit dem Lockdwon Tool und eine gute Sicherheitsrichtline ist
                  W2k sicher. Warum nochmals dann eine Lizenz kaufen???
                  Wenn man alles ausgeschaltet hat, was unmöglich ist, bleibt am Ende etwas übrig, das die Wahrheit enthalten muss

                  Kommentar


                  • #10
                    Neues...

                    Da haste schon recht, aber:

                    - Win 200 Server ist wie Win 2000 professional
                    - Windows 2003 Server vergleich ich mal mit dem XP Prof.

                    Man kann den 2000 schon so sicher machen wie den 2003er, aber der 2003er ist von Hause aus schon ettliches sicher als der 2000er Server.

                    Weiter ist der IIS6 etwas moderner als der IIS5 und so kriegst Du nebst dem Security auch noch nen gewissen Investitionsschutz drauf. Oder willst Du in einem Jahr schon wieder alles neu machen, weill Du dann auf 2003 oder den Nachfolger umsteigen musst?

                    Gruss,

                    Lukas

                    Kommentar


                    • #11
                      @lucky

                      Hast Du Aktien bei MS ???
                      Wobei noch sehr viele Firmen W2k verwenden, ausserdem sind
                      schon viele Fehler bekannt und nach 4 SP's sehr weit behoben.
                      Da W2k3 hat da noch seine tücken und macken - naja. Für die
                      Anwendung, welche er macht wirds woll reichen mit W2k ...

                      @kazeerulaz
                      Poste ein Feedback, wie es Dir mit IIS ergangen ist und ob die
                      Tools gingen ??? Viel erfolg
                      Wenn man alles ausgeschaltet hat, was unmöglich ist, bleibt am Ende etwas übrig, das die Wahrheit enthalten muss

                      Kommentar


                      • #12
                        Aktien?

                        Hello

                        Ne, von MS kaufe ich keine Aktien und habe auch keine. Es geht mir ja besonders um den IIS 6, der sich schon etwas vom IIS 5 unterscheidet. Zudem kommt nun dann da SP1 vom W2K3 Server...

                        Und dann schaue mal, wie manche Vulnerability es für den W2K und wie manche es für den W2K3 Server gibt! Es sind etwa 2:1!!

                        Ich meine ja nur, wenn ich heute ein neues System aufsetze, dann sicher nicht mehr mit Win 2000. Die Kohle für das Update auf 2003 ist schnell mal eingespielt durch geringere Servicekosten, Stabilität und die etwas länger zu erhoffte Unterstützung von MS.

                        Is ja egal, hauptsache die Anwendung funzt...

                        Grüsschen

                        Lucky

                        Kommentar


                        • #13
                          Warum ned IIS6 und Windows 2003? Es geht wie gesagt um die Lizenz. Wir haben noch keine 2003er. Sind sowieso en bisschn zurückgeblieben....muss mich leider noch mit 2 NT4 Domains rumschlagen.

                          Hab den Baseline Analyzer laufen lassen...cooles Tool

                          Bei einem Punkt bin ich nicht sicher ob ichs machen soll...es sind NT Workstation die auf den Webserver anonym zugreifen. Anschliessend müssen sie sich in der Software die auf IIS läuft authentifizieren. Nicht mit den NT User names sonder eigene die definiert werden.

                          Einschränken anonymer Anmeldungen
                          "RestrictAnonymous" hat den Wert 0. Diese Stufe verhindert die grundlegende Auflistung von Benutzerkonten, Kontenrichtlinien und Systeminformationen. Legen Sie den Wert RestrictAnonymous auf 2 fest, um höchste Sicherheit zu gewährleisten.
                          Sagt euch das was?

                          Und hier noch eins:
                          Übergeordnete Pfade
                          In einigen Websites und/oder virtuellen Verzeichnissen sind übergeordnete Pfade aktiviert

                          Ich versteh ned ganz warum das unsicher sein soll.

                          Die Beispiele muss ich auch noch löschen. kommt ja im iis6 ned mehr vor .

                          SQL2000 muss ich da auch noch installieren und werd ihn dann da nochmals laufen lassen.

                          Das Lockdown Tool werde ich wahrscheinlich auch erst einsetzen sobald das Zeuchs läuft um so nicht schon vorneweg zuviel zu schliessen. Das ganze läuft ja auch erst intern und ist öffentlich nicht zu erreichen
                          MCSE+S, CompTIA S+, CAS Information Security, MAS Information Security

                          Kommentar


                          • #14
                            Hallo

                            Ich würde den Wert auf 1 setzen, da Du ne NT 4.0 Domain hast.

                            Hier die Werte:

                            0 None. Rely on default permissions

                            1 Do not allow enumeration of SAM accounts and names

                            2 No access without explicit anonymous permissions

                            Alles zu lesen unter:

                            Microsoft support is here to help you with Microsoft products. Find how-to articles, videos, and training for Microsoft Copilot, Microsoft 365, Windows, Surface, and more.



                            Gruss,

                            Lucky

                            Kommentar


                            • #15
                              SQL 2000 Security

                              Da Du SQL einsetzen willst, habe ich Dir noch zwei Links von MS
                              gepostet (PPT-Files) zum Thema SQL Security:




                              und hier das SQL 2000 Security Tool:
                              download, software, update, Microsoft, product, computer, PC, Windows, Office, server, MSN, Live, game, Xbox, security, driver, install, trial, preview, demo, popular

                              Noch Infos zum SP 3 SQL 2000:
                              Zuletzt geändert von Xheon; 14.09.2004, 15:38.
                              Wenn man alles ausgeschaltet hat, was unmöglich ist, bleibt am Ende etwas übrig, das die Wahrheit enthalten muss

                              Kommentar

                              Lädt...
                              X