Bild 1: Batch Datei HFCheck.bat im Windows Explorer
Geschrieben von: Christian Koller
Kategorie: Sicherheit
This printed page brought to you by AlphaSierraPapa
Speziell für Internet Information Services 5.0 unter Windows 2000 hat Microsoft ein Tool herausgebracht, das dem Webmaster einige Sorgen bezüglich Webserver-Sicherheit abnimmt: das HFCHECK.WSF Tool (kurz für Hotfix Check Tool) erlaubt es, die Webserver Konfiguration auf Hotfixes zu untersuchen. Wenn ein sicherheitsrelevanter Hoftix nicht am Webserver installiert ist, so schreibt das HFCheck.wsf Tool eine entsprechende Meldung in das Application Log des Webservers.
Zuerst einmal zum Download des Tools: Gehen Sie zur HFCheck Tool Webseite und laden Sie das Tool auf Ihren Webserver. Die Datei hfcinst.exe können Sie mit einen Doppelklick starten. Nach dem Bestätigen der EULA geben Sie das Verzeichnis an, in das die Tool Dateien kopiert werden sollen. Am besten benutzen Sie das Verzeichnis C:\HFCheck.
Das HFCheck Tool durchsucht die Registry des Webservers auf Einträge von Hotfixes und vergleicht die gefundenen Hoftfixes mit der Liste, die auf der Microsoftseite http://www.microsoft.com/technet/security/search/bulletins.xml online und auf dem neuesten Stand ist. Findet das Tool einen Hoftix für den IIS 5.0, der noch nicht am Webserver installiert ist, so gibt es eine Meldung aus und schreibt zusätzlich eine Warnung in das Event Log des Webservers.
Das HFCheck Tool ist in Form eines Windows Script Files (.wsf) implementiert. Will man es ausführen, so genügt ein Doppelklick im Explorer auf die HFCheck.wsf Datei.
Allerdings muß dafür der Scripting Host auf CScript (anstatt standardmäßig auf WScript) gesetzt sein. Damit man trotzdem das Tool einfach ausführen kann, bedient man sich der folgenden Batch Datei mit Namen HFCheck.bat (nicht im Tool enthalten):
CScript.exe HFCheck.wsf
Diese Batchdatei führt das Tool mit Hilfe des Command-Line Scripting Host aus. Der Aufruf der Datei funktioniert einfach über Doppelklick (siehe Bild 1).
Bild 1: Batch Datei HFCheck.bat im Windows Explorer
Nachdem das Tool ausgeführt wurde, kann man im Webserver Event Viewer (Ereignis Protokoll) unter Application Log die Warnungen auslesen, die das HFCheck Tool in das Log geschrieben hat (siehe Bild 2).
Bild 2: Application Log mit Hoftix Warnungen
Mit einem Doppelklick auf die Warnung bekommt man den genauen Text, der eine Beschreibung des fehlenden Hotfixes und die zugehörige Internetadresse enthält (siehe Bild 3).
Bild 3: Text der Warnung
Mit einem Klick auf den Link kommmt man also direkt zur Beschreibung des Hotfixes, der Sicherheitslücke die den Hotfix nötig macht und der Downloadadresse, unter der man den Sicherheits-Patch downloaden kann.
Wenn man einmal alle Warnungen gelesen, die Seite des zugehörigen IIS-Patches aufgerufen, die entsprechenden Patches downgeloadet und auf dem Webserver installiert hat, so ist es durchaus sinnvoll, das HFCheck Tool periodisch laufen zu lassen, um auch auf neu erschienene Sicherheitspatches aufmerksam gemacht zu werden.
Um am Webserver das Tool in bestimmten Intervallen aufzurufen, kann man sich des AT.exe Kommandos bedienen. Das AT Kommmando sorgt dafür, daß ein bestimmtes Programm (oder Batchfile) in spezifizierten Intervallen aufgerufen wird.
Die folgenden Kommandos sind in der Kommandozeile (DOS-Prompt) einzugeben und sorgen dafür, daß das Batchfile HFCheck.bat jeden Tag bzw. einmal in der Woche zu starten:
AT.EXE 7:00am /INTERACTIVE /every:M,T,W,Th,F CScript.exe C:\HFCheck\hfcheck.wsf AT.EXE 5:00pm /INTERACTIVE /every:Wednesday CScript.exe C:\HFCheck\hfcheck.wsf
Eventuell fehlende Hotfixes können Sie wieder dem Webserver Event Log entnehmen. Zu näheren Information zum AT Kommando konsultieren Sie bitte die Windows 2000 Hilfe bzw. Dokumentation. Sie können solche Tasks allerdings auch über die Systemsteuerung, Scheduled Tasks mit einem Wizard anlegen.
Nicht ganz unerwähnt lassen möchte ich auch, daß man das HFCheck Tool auch einsetzen kann, um andere Webserver über die Remote-Funktionalität von Windows 2000 auf fehlende Hotfixes zu überprüfen. Die dafür nötigen Schritte entnehmen Sie dem Word Dokument HFCheck.doc, das Sie im selben Verzeichnis wie das HFCheck.wsf Tool finden.
Um als Webmaster die Webserver immer auf dem neuesten Stand zu halten sollte man nach Möglichkeit die neuesten Hoftixes für IIS 5.0 installieren. Das HFCheck Tool erlaubt es, auf einfache Art und Weise, Informationen darüber zu bekommen, welche IIS-Hotfixes auf einem Webserver noch nicht installiert sind.
This printed page brought to you by AlphaSierraPapa
Windows 2000 Internet Server Security Configuration Tool
http:/www.aspheute.com/artikel/20000807.htm
Windows 2000 IIS 5.0 Hotfix Checking Tool
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=24168
©2000-2006 AspHeute.com
Alle Rechte vorbehalten. Der Inhalt dieser Seiten ist urheberrechtlich geschützt.
Eine Übernahme von Texten (auch nur auszugsweise) oder Graphiken bedarf unserer schriftlichen Zustimmung.