IIS-Sicherheitsfunktionen

Die Inhaltssicherheitsrichtlinie (CSP) ist ein Sicherheitsrichtlinienstandard, der von modernen Browsern zum Schutz vor Data-Injection-Angriffen, wie Cross Site Scripting (XSS), verwendet wird. CSP stellt mithilfe einer Whitelist fest, welche Ressourcen sicher zu laden sind, ignoriert aber auch Ressourcen aus nicht verifizierten Quellen und sammelt Daten über Versuche, die Sicherheitsrichtlinie zu umgehen.

Um von dieser Richtlinie Gebrauch zu machen, muss der Server einen Inhaltssicherheitsrichtlinien-HTTP-Header mit einer oder mehreren Vorgaben eingerichtet haben, wobei jede Vorgabe für einen bestimmten einzelnen Ressourcentyp verantwortlich ist. Vorgaben legen ein Sicherheitsregelwert fest, indem sie Regeln spezifizieren, die auf Ressourcen angewendet werden.

Um CSP für Ihren Internet-Browser einzurichten, fügen Sie den folgenden Code in die Web-Konfigurationsdatei ein:

<system.webServer>
<httpProtocol>
<customHeaders>
<add name="Content-Security-Policy" value="default-src https: data: 'unsafe-inline' 'unsafe-eval'" />
</customHeaders>
</httpProtocol>
</system.webServer>

Hinweis. Wenn Sie die ABBYY FlexiCapture-Integrationsfunktionen von Drittanbietern verwenden und Zugriff auf andere Hosts benötigen, geben Sie diese ebenfalls in der Web-Konfigurationsdatei an. Vergewissern Sie sich immer, dass die Software nach Änderungen Ihrer Sicherheitseinstellungen noch funktionsfähig ist.

Weitere Informationen zur Inhaltssicherheitsrichtlinie finden Sie auf dieser Website.

HTTP Strict-Transport-Security (HSTS) ist ein Schutzmechanismus für Websites, der unter Verwendung des SSL-Protokolls alle Interaktionen zwischen dem Browser und der Website auf eine sichere Verbindung beschränkt. Ein Webserver, auf dem HSTS eingerichtet ist, enthält eine Anweisung für den Browser, ausschließlich HTTPS zu verwenden, und verbietet ihm die Verwendung von HTTP. HSTS dient in erster Linie der Abwehr von Abfangangriffen auf Anfragen und Antworten, z. B. MITM (Man-in-the-Middle-Angriffe).  

Um diese Sicherheitsrichtlinie verwenden zu können, müssen Sie URL-Address-Rewrite-Regeln verwenden, um einen Strict-Transport-Security (STS)-Header zu HTTP-Antworten hinzuzufügen. Dies ist notwendig, um unerwünschte HTTP-Anfragen zu verhindern und den gesamten HTTP-Verkehr auf HTTPS umzuleiten (basierend auf der in den Regeln festgelegten Logik). Um die Regeln einzurichten, müssen Sie das URL-Rewrite-Modul installieren. Weitere Informationen finden Sie auf der Microsoft-Website.

Um HSTS für Ihren Browser einzurichten, fügen Sie den folgenden Code in Ihre web.config-Datei ein:

<rule name="Add the STS header in HTTPS responses">
<match serverVariable="RESPONSE_Strict_Transport_Security" pattern=".*" />
<conditions>
<add input="{HTTPS}" pattern="on" />
</conditions>
<action type="Rewrite" value="max-age=31536000" />
</rule>

Hinweis. Die Direktive max-age gibt die Zeitspanne (in Sekunden) an, in der die Regel angewendet wird. Der im obigen Codeausschnitt angegebene Wert entspricht einem Zeitraum von einem Jahr.

Weitere Informationen zu HSTS finden Sie auf der Microsoft-Website.

Neben den HTTP-Headern, die für die Verbesserung der Sicherheit Ihres Webservers unerlässlich sind, gibt es auch Header, die optional sind. Oft sind solche optionalen Header nicht durch Standards geregelt und ihre Verwendung erhöht die Menge des von jeder HTTP-Anfrage erzeugten Traffics, was die Durchführung bösartiger Angriffe erleichtert.

Im Folgenden sind zwei solcher optionalen Header aufgeführt:

• X-Powered-By ist ein HTTP-Header, der Informationen über verschiedene vom Webserver verwendete Technologien enthält.
• X-AspNet-Version ist ein HTTP-Header, der Informationen über die ASP.NET-Version enthält, die für die Bereitstellung von Anwendungen auf dem Webserver verwendet wird.

Standardmäßig sind sowohl X-Powered-By als auch X-AspNet-Version in Serverantworten enthalten. Wir empfehlen Ihnen, diese Header zu deaktivieren, da die Bereitstellung von identifizierenden Informationen ein Sicherheitsrisiko darstellen kann.

Um den X-Powered-By-Header aus der IIS-Konfiguration zu entfernen, fügen Sie den folgenden Code in Ihre web.config-Datei ein:

<httpProtocol>
<customHeaders>
<remove name="X-Powered-By" />  
</customHeaders></httpProtocol>

Um den Header X-AspNet-Version aus der IIS-Konfiguration zu entfernen, fügen Sie den folgenden Code in Ihre web.config-Datei ein:

<httpRuntime enableVersionHeader="false" />

X-XSS-Protection ist ein HTTP-Header, der von den Browsern zur Verhinderung von Cross Site Scripting-Angriffen verwendet wird. Der Header aktiviert einen XSS-Filter, der unerwünschte Versuche abfängt, bösartigen Code von Drittanbietern in Webseiten einzufügen, die in einem Browser geöffnet sind.

X-XSS-Protection ist mit den folgenden Browsern kompatibel: Internet Explorer 8+, Chrome und Safari. Die meisten modernen Browser verwenden jedoch eine strengere Sicherheitsrichtlinie (z. B. Inhaltssicherheitsrichtlinie), sodass dieser Header nur erforderlich ist, wenn Sie einen älteren Browser verwenden, der CSP nicht unterstützt.

Um den X-XSS-Protection-Header für Ihren Browser zu aktivieren, kopieren Sie den folgenden Code in Ihre web.config-Datei:

<system.webServer>
<httpProtocol>
<customHeaders>
<add name="X-XSS-Protection" value="1; mode=block" />
</customHeaders>
</httpProtocol>
</system.webServer>

X-Content-Type-Options ist ein HTTP-Header, der von Browsern verwendet wird, um Angriffe zu verhindern, die MIME-Schwachstellen (Multipurpose Internet Mail Extensions) ausnutzen. MIME ist ein Internetstandard für Inhalte, die über eine Internetverbindung gesendet werden. Alle vom Webserver bereitgestellten Dateien werden von den Browsern auf eine Weise verarbeitet, die vom MIME-Typ dieser bestimmten Dateien abhängt. Die Browser ermitteln den Ressourcentyp entweder anhand der Content-Type-Antwort oder durch Überprüfung des Ressourceninhalts, was es Angreifern ermöglicht, HTML-Dateien als Dateien eines anderen Typs zu maskieren.

Die einzige Direktive, die für diesen Header verfügbar ist, ist die Direktive nosniff. Sie weist die Browser an, nur den MIME-Typ zu verwenden, der vom Webserver angegeben wurde.

Um den Header X-Content-Type-Options für Ihren Browser zu aktivieren, kopieren Sie den folgenden Code in Ihre web.config-Datei:

<system.webServer>
<httpProtocol>
<customHeaders>
<add name="X-Content-Type-Options" value="nosniff" />
</customHeaders>
</httpProtocol>
</system.webServer>

Der Server-Header ist ein Antwort-Header, der Informationen über die Anwendung enthält, die der Quellserver zur Bearbeitung einer Anfrage verwendet (z. B. die Versionsnummer der Anwendung). Die potenzielle Verfügbarkeit dieser Art von Informationen für Dritte stellt ein Sicherheitsrisiko dar. Aus diesem Grund empfehlen wir, den Inhalt des Server-Headers zu löschen.

Um den Inhalt des Server-Headers zu löschen, fügen Sie den folgenden Code in Ihre web.config-Datei ein:

<rewrite>  
    <outboundRules rewriteBeforeCache="true">
   <rule name="Remove Server header">
     <match serverVariable="RESPONSE_Server" pattern=".+" />
     <action type="Rewrite" value="" />
   </rule>  
</outboundRules>
</rewrite>

Wenn Sie IIS 10.0, Windows Server 2016 oder höher nutzen, verwenden Sie stattdessen den folgenden Code:

Set-WebConfigurationProperty  
-pspath 'MACHINE/WEBROOT/APPHOST'  
-filter "system.webServer/security/requestFiltering"  
-name "removeServerHeader"  
-value "True"

Hinweis. Die oben beschriebenen Einstellungen setzen voraus, dass das Modul URL-Rewrite installiert ist. Weitere Informationen finden Sie in der Microsoft-Dokumentation.

Standardmäßig ist es erlaubt, ABBYY FlexiCapture Web-Stationen über iFrame in die Websites anderer Unternehmen einzubetten. Wenn Sie jedoch auf Framesniffing aufmerksam werden, können Sie Folgendes tun, um zu verhindern, dass Inhalte in einem domänenübergreifenden iFrame gehostet werden:

1. Erweitern Sie im Bereich Verbindungen auf der linken Seite den Ordner Websites und wählen Sie die Website aus, die Sie schützen möchten.
2. Doppelklicken Sie in der Funktionsliste in der Mitte auf das Symbol HTTP Response Headers.
3. Klicken Sie im Bereich Aktionen auf der rechten Seite auf Hinzufügen.
4. Geben Sie in dem sich öffnenden Dialogfeld X-Frame-Optionen in das Feld Name ein und geben Sie SAMEORIGIN oder DENY in das Feld Wert ein.

Weitere Informationen finden Sie in der Microsoft-Dokumentation.

Eine Schwachstelle bei langsamem HTTP POST ist eine Variante eines langsamen HTTP-Denial-of-Service-Angriffs (DoS), der auch als Slowloris HTTP-Angriff bezeichnet wird. Bei einem langsamen HTTP POST-Angriff deklariert der Angreifer eine große Menge an Daten, die in einer HTTP POST-Anforderung gesendet werden sollen, und sendet sie dann sehr langsam. Um die Schwachstelle bei langsamen HTTP Posts auf Kundenseite zu beheben, ist es erforderlich, Web-Limits in den IIS-Konfigurationen auf den Computern einzurichten, auf denen der Anwendungsserver installiert ist. Die Grenzwerte sollten für die folgenden Parameter festgelegt werden:

• ConnectionTimeout
• MinDateiBytesPerSec.

Weitere Informationen zu Web-Limits finden Sie in der Microsoft-Dokumentation.

Dem HTTP-Protokoll fehlen Sicherheitsmechanismen zur Verschlüsselung von Daten, während HTTPS ein SSL- oder TLS-Digitalzertifikat zur Verfügung stellt, um die Kommunikation zwischen Server und Client zu sichern. Bitte stellen Sie sicher, dass der gesamte Datenverkehr zwischen dem Browser des Benutzers und dem Webserver über einen verschlüsselten Kanal mit HTTPS erzwungen wird. HTTP arbeitet standardmäßig auf Port 80. Schließen Sie diesen Port, um die Verwendung von HTTP zu verhindern.

TLSv1.1 gilt als schwaches Verschlüsselungsprotokoll. Ein Angreifer kann Schwachstellen im Protokoll ausnutzen, um sichere Kommunikation zu lesen oder böswillig Nachrichten zu ändern. Wir empfehlen, immer die neueste Version von TLS und nur starke Chiffren zu verwenden (eine Liste geeigneter Chiffren finden Sie unter https://wiki.mozilla.org/Security/Server_Side_TLS). So konfigurieren Sie die SSL-Verschlüsselung über die Gruppenrichtlinie:

1. Geben Sie an einer Eingabeaufforderung gpedit.msc ein. Der Gruppenrichtlinienobjekt-Editor wird angezeigt.
2. Erweitern Sie Computerkonfiguration, Administrative Vorlagen, Netzwerk, und klicken Sie dann auf SSL-Konfigurationseinstellungen.
3. Klicken Sie unter SSL-Konfigurationseinstellungen auf die Einstellung Reihenfolge der SSL-Verschlüsselungssammlungen.
4. Scrollen Sie im Bereich Reihenfolge der SSL-Verschlüsselungssammlungen zum unteren Rand des Bereichs.
5. Folgen Sie den Anweisungen mit der Beschriftung Änderung dieser Einstellung.

Sie müssen den Computer neu starten, damit die Änderungen wirksam werden.

Bei verteilten Denial-of-Service-Angriffen (DDoS) wird eine Anwendung mit HTTP-Anfragen überlastet, was zu einem erheblichen Anstieg des Traffics führt und die Anwendung für legitime Benutzer unzugänglich macht. Es ist möglicherweise nicht einfach, solche Angriffe zu erkennen, da es oft schwierig ist, zwischen legitimem und bösartigem Datenverkehr zu unterscheiden.

Um Ihren Webserver vor DDoS-Angriffen zu schützen, empfehlen wir Ihnen, Ihren IIS-Server so einzurichten, dass er den Zugriff auf Ihre Anwendung blockiert, wenn jemand entweder die zulässige Anzahl der Anfragen über einen bestimmten Zeitraum oder die zulässige Anzahl der gleichzeitigen Anfragen überschreitet.

Um den DDoS-Schutz im IIS wie oben beschrieben einzurichten, gehen Sie wie folgt vor:

1. Starten Sie den IIS Manager.
2. Wählen Sie Ihre Website in der Ordnerstruktur aus und doppelklicken Sie auf das Symbol IP-Adresse und Domainbeschränkungen auf der Homepage der Website.
3. Klicken Sie im Fenster Aktionen auf Dynamische Beschränkung bearbeitenEinstellungen.
4. Wählen Sie im sich öffnenden Dialogfeld die bevorzugte Methode aus: IP-Adresse basierend auf der Anzahl der gleichzeitigen Anfragen verweigern oder IP-Adresse basierend auf der Anzahl der Anfragen über einen bestimmten Zeitraum verweigern.
5. Klicken Sie auf OK.

Sie können in den IIS-Servereinstellungen auch den Zugriff auf Ihre Anwendung von bestimmten IP-Adressen aus beschränken und die Art der Aktion festlegen, die der Server ausführen soll, wenn versucht wird, von eingeschränkten IP-Adressen aus auf Ihre Anwendung zuzugreifen:

1. Starten Sie den IIS Manager.
2. Wählen Sie Ihre Website in der Ordnerstruktur aus und doppelklicken Sie auf das Symbol IP-Adresse und Domainbeschränkungen auf der Homepage der Website.
3. Klicken Sie im Fenster Aktionen auf Dynamische Beschränkungseinstellungen bearbeiten.
4. Wählen Sie im sich öffnenden Dialogfeld den gewünschten Aktionstyp aus der Dropdownliste Aktionstyp verweigern aus.
5. Klicken Sie auf OK.

Für Fälle, in denen mehrere HTTP-Anfragen von mehreren Benutzern von einer einzigen IP-Adresse gesendet werden, aktivieren Sie den Proxy-Modus in den IIS-Server-Einstellungen. Auf diese Weise kann der Proxyserver den x-forwarded-for-Header an den Webserver weitergeben, um den Benutzer zu identifizieren.

Gehen Sie folgendermaßen vor, um den Proxy-Modus zu aktivieren:

1. Starten Sie den IIS Manager.
2. Wählen Sie Ihre Website in der Ordnerstruktur aus und doppelklicken Sie auf das Symbol IP-Adresse und Domainbeschränkungen auf der Homepage der Website.
3. Klicken Sie im Fenster Aktionen auf Funktionseinstellungen bearbeiten.
4. Wählen Sie im Dialogfeld Einstellungen für IP und Domainbeschränkungen bearbeiten die Option Proxy-Modus aktivieren.
5. Klicken Sie auf OK.

Weitere Informationen zur Verwendung des IIS, um den Zugriff auf Ihre Anwendung von bestimmten IP-Adressen aus zu beschränken, finden Sie in der Microsoft-Dokumentation.

Hinweis. Die Verwendung des Proxy-Modus für die Verarbeitung großer Datenmengen kann die Systemleistung beeinträchtigen und den Zugriff auf Ihre Anwendung für legitime Benutzer erschweren.