Microsoft komt met tool om IIS veiliger te maken

Microsoft komt met een nieuwe security tool die het mogelijk maakt om IIS 4.0 en 5.0 snel en makkelijk in een veilige configuratie te zetten. Als deze tool er een paar maanden eerder was geweest zou het hele drama met de Code Red worm nooit gebeurd zijn, aldus Microsoft.

IIS Lockdown biedt twee configuratie mogelijkheden: Express Lockdown en Advanced Lockdown. Met Express Lockdown kan IIS op een simpele manier algemeen beveiligd worden en Advanced Lockdown laat de gebruiker zelf aangeven welke services geactiveerd moeten worden. IIS Lockdown schijnt verder een sneak-preview te zijn van de aankomende IIS 6.0. Deze versie zal een soort "interview" proces hebben waarbij alleen de nodige services en functies worden geïnstalleerd.

The tool offers two operating modes. The default is Express Lockdown which, with a single mouse click, configures the server in a highly secure way that is appropriate for most basic web servers.

For administrators who want to pick and choose the technologies that will be enabled on the server, the tool offers an Advanced Lockdown mode. A comprehensive help system provides information and recommendations for selecting the best configuration, and an undo facility allows the most recent lockdown to be reversed.

Het programma komt net uit voordat Code Red aan een nieuwe cyclus begint. De meeste servers zijn echter al met de laatste patches opgelapt. Waren de eerste keer nog 300.000 servers slachtoffer van de worm, de tweede keer waren dat er 50.000. Hopelijk zullen er door de gemakkelijke configuratie van de IIS servers met behulp van Lockdown nog minder servers slachtoffer worden van de worm en zijn varianten.

Reacties (30)

Made4U 31 augustus 2001 18:30

Volgens mij is het nog steeds IIS i.p.v. ISS (in de titel).

Voor de rest natuurlijk uitstekend dat MS zo'n tooltje uitbrengt, alleen een beetje te laat.

Ook zal zo'n tooltje zich eerst moeten bewijzen. Is dit wel weer veilig???

edit: je moet gewoon nog sneller typen

EfBe @Made4U • 31 augustus 2001 20:07

Hoezo te laat? De patch was er ruim op tijd, mensen die geen patch draaien, gebruiken ook niet zo'n tool. Immers: dan draai je de patch en ben je sowieso klaar. Ik begrijp zo'n tool wel vanuit marketingoverwegingen, maar of hij veel zal worden gebruikt door zn doelgroep lijkt me de vraag.

Martin Sturm 31 augustus 2001 18:34

Ik vraag me af of dit niet een beetje omgekeerde wereld is. Volgens mij ligt het niet zozeer aan de software, maar meer aan de gebruikers. Als je als webmaster een beetje het nieuws volgt, updates installeerd enz. heb je ook een veilig systeem. Maar doordat IIS al zo'n hoog klik klik klik gehalte heeft, denkt iedereen (iig de minder ervaren gebruiker): "het zal wel goed zijn" ipv zich te verdiepen in waar hij eigenlijk mee bezig is.
En ik denk dat deze tool dat eigenlijk nog gaat verergen..

RG 31 augustus 2001 18:42

Met alle respect, maar ik vind het wel erg triest dat je een extra programma nodig hebt om je Microsoft webserver "veilig" te maken. Dat is dus een tekortkoming van de webserver op zich.
Een webserver is zo veilig als ie wordt ingesteld, en aangezien er veel kneuzen zo'n ding wel ff in elkaar denken te sleutelen, krijg je dit soort Code Red problemen.
Veiligheid bereik je niet door nog maar eens een wizard uit te voeren. Mensen die er verstand van hebben die hebben het echt niet nodig. Mensen die er geen verstand van hebben, moeten er gewoon niet aan beginnen

edm @RG • 31 augustus 2001 18:55

Ik vind dat je gedeeltelijk gelijk hebt, 'kneuzen' zoals jij ze noemt zouden zich zelf meer helpen als ze zich een beetje zouden inlezen. Maar een goede default setup, waarbij features aangezet moeten worden in plaats van dat ze aanstaan zal deze 'kneuzen' in veel gevallen helpen. Wellicht voegen ze ook een auto-update feature toe, zodat patches automatisch toegepast worden.. Dat zou de 'kneus' echt helpen.
Tenslotte 'kneuzen' of mensen die er geen verstand van hebben, gebruiken de computer vaak als tool.. En ach net als met een hamer, na een paar keer op je vinger te slaan leer je wel beter richten....

EfBe @RG • 31 augustus 2001 20:09

Met alle respect, maar ik vind het wel erg triest dat je een extra programma nodig hebt om je Microsoft webserver "veilig" te maken. Dat is dus een tekortkoming van de webserver op zich.

Draai de patch, be happy. Die patch is er al een hele tijd. De mensen die gehackt werden, hadden de patch niet gedraaid. Heeft niets met de schuld van Microsoft te maken of een tekortkoming: men had gewoon zn software moeten patchen met de patches die voorhanden zijn. Op elk OS moet je dat, ook op windows.

RG @EfBe • 1 september 2001 00:55

Dat zge ik toch ook niet? ik bedoel dat ik het maar vreemd vind dat je een of ander programma moet downloaden om je webserver veilig te maken. Ik bedoel dat hoort een webserver toch standaard te hebben?
Trouwens dat patchen valt ook wel mee hoor. Bij IIS is dta wel extreem veel als je het vergelijkt met Apache, die heb ikzelf nog noit gepatcht, maar dat terzijde.

Verwijderd @RG • 1 september 2001 10:17

Die tool is vooral bedoeld voor degenen die geen verstand hebben van configureren. Je weet wel dat is wat je hoort te doen als je een machine hebt geinstalleerd en hem dan aan het inet hangt.
Niks bijzonders hoor, dat geld voor elk OS tenslotte, een standaard RH installatie werd in een honeypot experiment tenslotte ook al 15 minuten na het online gaan gehackt.

Die index server ISAPI filter is trouwens wel eng buggy.

Verwijderd @RG • 31 augustus 2001 18:47

idd

in feite zet MS zich een beetje voor lul met zo'n tool. Waarom is de veiligheid niet standaard ingebakken?

wimmi 31 augustus 2001 21:22

Als deze tool er een paar maanden eerder was geweest zou het hele drama met de Code Red worm nooit gebeurd zijn, aldus Microsoft.

Uuuuh...

Als het kalf verdronken is, dempt men de put

Wacht eventjes.. Microsoft installeert "by default" alles, inclusief voorbeelden, overbodige (lekke) services en andere features, zonder dat iemand door heeft "wat je er nou mee kan".
En als die ballast een bron van virussen en trojans wordt, een tool/wizzard/audit uitbrengen die IIS weer slank en efficient maakt.

Dat is de

achter de wagen spannen.

EfBe @wimmi • 31 augustus 2001 21:43

Nee.
het commandline commando 'format' jetst ook alles van je harddisk. del /s * rammelt ook alles weg.

Wat gebeurt is dat per definitie alle extensies geinstalleerd staan. Maar wat men vergeet is: als je je server aan het internet hangt, moet je na gaan denken over security: hoe zet ik wat dicht. Doorloop de manuals van Microsoft zelf of bv van securityfocus (voor NT of voor win2k bijvoorbeeld). En klaar ben je. Tuurlijk, als je geen extensies hebt in den beginne, ben je niet vulnerable. Echter, ERG veel searches op IIS powered websites zijn in elkaar gehackt met .idq scripts. (fout, maar ja). Dus heb je die extensie nodig. En DUS ben je dan weer kwetsbaar voor bugs in de .idq ISAPI extension. Tenzij je patcht.

Maar wat is gebeurd bij bv Code Red is dat veel mensen tijdens het installeren van win2k server denken "Hey, dit is leuk!" en installeren het. Knallen die doos aan hun UPC modem en kijken er niet meer naar om.

Verder zijn bv sommige testbakken gehackt. Die waren niet gepatcht. Terwijl ze bv wel de .idq extensie nodig hadden.

Het maakt niet uit wat je pre-installed: men moet beseffen dat wat je aan het internet koppelt bereikbaar is voor elke looney met een toetsenbord.

Net zoals je voordeur in principe voor elk persoon toegankelijk is. Daar zet je ook een slot in, ookal koop je die deur zonder slot bij de Gamma.

LEiPiE @wimmi • 1 september 2001 01:59

Erm, AFAIK moest ik IIS expliciet *aan* zetten toen ik w2k advanced server installeerde.
Dus dat hele gezeur dat automatisch allerlei "ontzettend gevaarlijke software" wordt geinstalleerd is onzin. Beter gezegd: als je een linux zo installeert issie ook niet waterdicht en moet je wel meer doen dan alleen ff een patch er over heen gooien.
(Ben ook niet al te blij met de gaatjes in IIS maar heb er nog nooit last van gehad (die patch voor code red had ik al geinstalleerd toen ie was uitgekomen (maand ervoor), wel toevallig, maar toch), ben de mensjes die bijvoorbaat al MS afzeiken een beetje zat aan 't worden.... tuurlijk Apache is een goede server... als je niet van point 'n click interfaces houdt. Snelheidsverschil is allang niet meer zo groot.)

JeroenNietDoen 31 augustus 2001 18:30

Deze versie zal een soort "interview" proces hebben waarbij alleen de nodige services en functies worden geïnstalleerd.

daar zullen velen over tevreden zijn aangezien er nogal wat afgeklaagd wordt over Microsoft's produkten die ongevraagd iets installeren.

Verwijderd 31 augustus 2001 18:33

Natuurlijk is het zo dat de personen die nog steeds niet de patch hebben gedownload ook niet deze tool zullen gebruiken, dus ik betwijfel de uitspraak dat als deze tool een paar maanden eerder zou zijn uitgebracht het hele probleem niet zou hebben bestaan.

Verwijderd 31 augustus 2001 18:31

Zo MS reageert goed, petje af voor MS (jammer dat ie te laat is, goed dat ie gratis(on-microsoft) is)

^Mo^ @Verwijderd • 31 augustus 2001 18:58

waarom is dat zo on-microsoft als ik vragen mag? Hoort toch gewoon bij de service... een update hoef je toch ook niet voor te betalen?? (behalve natuurlijk als je bv een service pack op cd wil laten opsturen)

MikeN @^Mo^ • 31 augustus 2001 20:35

Sterker nog: Apache is helemaal gratis

Erhnam 31 augustus 2001 18:32

Ik denk dat dit een hele goede manier is om IIS een heel stuk veiliger te maken en makkelijker te configureren. IIS 6 bevat zoiezo alle nieuwste patches en is nog makkelijker te configen en dicht te zetten.

Er komt trouwens ook een Aangepaste Windows.Net Server voor Webservers. Deze is behoorlijk wat kleiner en moet de concurentie aangaan met de Linux/Apache servers. Deze versie is behoorlijk wat goedkoper.
http://news.cnet.com/news/0-1003-200-7009202. html

Aaargh! 31 augustus 2001 18:37

sneak-preview te zijn van de aankomende IIS 6.0. Deze versie zal een soort "interview" proces hebben waarbij alleen de nodige services en functies worden geïnstalleerd.

m.a.w. een wizzard, clickety-click 5 keer op "next" en je hebt nog alle services open staan.

Bleh! 31 augustus 2001 18:38

Als deze tool er een paar maanden eerder was geweest zou het hele drama met de Code Red worm nooit gebeurd zijn, aldus Microsoft.

hmmm dus geven ze toe dat het eigenlijk een heel klein beetje hun fout was

Op dit item kan niet meer gereageerd worden.

Microsoft komt met tool om IIS veiliger te maken

Lees meer

Reacties (30)

Sorteer op:

Weergave: