Re: Hardening IIS6.0 Server

Tech-Archive recommends: Repair Windows Errors & Optimize Windows Performance

From: Joachim Rosner (joachim.rosner_at_gmx.de)
Date: 03/12/04 

Date: Fri, 12 Mar 2004 16:39:47 +0100

Hallo Andreas,

das mit IPsec Policies habe ich schon im Windows Server 2003
Security Guide gelesen.
Was ich aber suche ist so eine Art Checkliste, anhand der man
den Prozess und die Reihenfolge der der einzelnen Steps,welche
generell für das Hardening durchzuführen sind, aufzeigen kann.

Wenn es so etwas nicht geben sollte werden wir warscheinlich MS Consulting
 und SAP bemühen müssen. Um im einem "Proof of Conzept" ein wiederholbares
Szenario zu erstellen. 

-- 
bb Joachim
Wer Schreibfehler findet,
der darf sie behalten.
"Andreas Klein [MSFT]" <andrekl@online.microsoft.com> schrieb im Newsbeitrag
news:uV8CIFDCEHA.3848@TK2MSFTNGP11.phx.gbl...
> "Joachim Rosner" <joachim.rosner@gmx.de> wrote
> > gibt es irgendwo eine Schritt für Schritt Anleitung wie man den IIS 6.0
> > einschliesslich des Windows 2003 Servers sicher macht.
> > Im Augenblick lese ich die Technischen Referenzen und HowToo`s zu dem
> > Themenkreis. Aber es ist ziemlich schwierg, herauszufinden wie denn
> wirklich vorgegangen
> > werden muss.
>
> Das liegt daran, daß Windows 2003 und IIS6 schon vom Setup aus nur soweit
> aufgemacht werden wie unbedingt nötig.
>
> Weitere Absicherung kann man z.B. via IPSec Policies machen, damit nach
> extern nur noch port 80 offen ist. Zus#tzlich sollte aber auch der
> web-applications-code analysiert werden, damit nicht via injection-Attacken
> der Server erfolgreich angegriffen werden kann.
>
> "Writing secure Web-Applications" von Michael Howard geht da ins
> Eingemachte.
> Ich hoffe, das hilft Dir.
>
> -- 
> Mit freundlichen Grüßen /  Kind Regards,
>
> Andreas Klein
> Microsoft Services
>
> Die Inhalte der in dieser Newsgroup eingestellten Nachrichten stammen von
> Dritten. Microsoft kann daher für die Richtigkeit und Vollständigkeit der
> Inhalte keine Haftung übernehmen.
> This posting is provided "AS IS" with no warranties, and confers no rights.
>

Relevant Pages

  • Re: Proxy 2.0 Passtrough Authentifizierung
    ... angekommen ist (genauso wie Windows NT4!) und ich sehr empfehle, ... Server 2003und ISA Server 2004 ins Auge zu fassen. ... Microsoft kann daher für die Richtigkeit und Vollständigkeit der ... Inhalte keine Haftung übernehmen. ...
    (microsoft.public.de.inetserver.iis)
  • Wichtig: Sicherheitsproblem in ASP.NET
    ... Microsoft Windows 2000, Windows 2000 Server, Windows XP Professional, sowie ... Microsoft kann für die Richtigkeit und Vollständigkeit der Inhalte in dieser ...
    (microsoft.public.de.german.entwickler.dotnet.asp)
  • Re: Temporäre Datei - Fehlermeldung
    ... > Ordner \FrontpageTempdir existiert aber gar nicht. ... Windows ein, und lösch auch gleich die Inhalte von ... "%APPDATA%\Microsoft\Web Server Extensions\Cache". ...
    (microsoft.public.de.frontpage)
  • SecurityFocus Microsoft Newsletter #154
    ... MICROSOFT VULNERABILITY SUMMARY ... ISS RealSecure Server Sensor SSL Denial Of Service Vulnerabi... ... Roger Wilco Remote Server Side Buffer Overrun Vulnerability ... available for Microsoft Windows operating systems. ...
    (Focus-Microsoft)
  • SecurityFocus Microsoft Newsletter #49
    ... Subject: SecurityFocus Microsoft Newsletter #49 ... Microsoft Windows NNTP Denial of Service Vulnerability ... Microsoft IIS SSI Buffer Overrun Privelege Elevation Vulnerability ... Microsoft ISA Server H.323 Memory Leak Denial of Service... ...
    (Focus-Microsoft)