Hotfix Check Tool für IIS 5.0
Geschrieben von: Christian Koller Speziell für Internet Information Services 5.0 unter Windows 2000 hat Microsoft ein Tool herausgebracht, das dem Webmaster einige Sorgen bezüglich Webserver-Sicherheit abnimmt: das HFCHECK.WSF Tool (kurz für Hotfix Check Tool) erlaubt es, die Webserver Konfiguration auf Hotfixes zu untersuchen. Wenn ein sicherheitsrelevanter Hoftix nicht am Webserver installiert ist, so schreibt das HFCheck.wsf Tool eine entsprechende Meldung in das Application Log des Webservers. Zuerst einmal zum Download des Tools: Gehen Sie zur HFCheck Tool Webseite und laden Sie das Tool auf Ihren Webserver. Die Datei hfcinst.exe können Sie mit einen Doppelklick starten. Nach dem Bestätigen der EULA geben Sie das Verzeichnis an, in das die Tool Dateien kopiert werden sollen. Am besten benutzen Sie das Verzeichnis C:\HFCheck. Das HFCheck Tool durchsucht die Registry des Webservers auf Einträge von Hotfixes und vergleicht die gefundenen Hoftfixes mit der Liste, die auf der Microsoftseite http://www.microsoft.com/technet/security/search/bulletins.xml online und auf dem neuesten Stand ist. Findet das Tool einen Hoftix für den IIS 5.0, der noch nicht am Webserver installiert ist, so gibt es eine Meldung aus und schreibt zusätzlich eine Warnung in das Event Log des Webservers. Anwendung des HFCheck ToolsDas HFCheck Tool ist in Form eines Windows Script Files (.wsf) implementiert. Will man es ausführen, so genügt ein Doppelklick im Explorer auf die HFCheck.wsf Datei. Allerdings muß dafür der Scripting Host auf CScript (anstatt standardmäßig auf WScript) gesetzt sein. Damit man trotzdem das Tool einfach ausführen kann, bedient man sich der folgenden Batch Datei mit Namen HFCheck.bat (nicht im Tool enthalten):
CScript.exe HFCheck.wsf Diese Batchdatei führt das Tool mit Hilfe des Command-Line Scripting Host aus. Der Aufruf der Datei funktioniert einfach über Doppelklick (siehe Bild 1).
Nachdem das Tool ausgeführt wurde, kann man im Webserver Event Viewer (Ereignis Protokoll) unter Application Log die Warnungen auslesen, die das HFCheck Tool in das Log geschrieben hat (siehe Bild 2).
Mit einem Doppelklick auf die Warnung bekommt man den genauen Text, der eine Beschreibung des fehlenden Hotfixes und die zugehörige Internetadresse enthält (siehe Bild 3).
Mit einem Klick auf den Link kommmt man also direkt zur Beschreibung des Hotfixes, der Sicherheitslücke die den Hotfix nötig macht und der Downloadadresse, unter der man den Sicherheits-Patch downloaden kann. Wenn man einmal alle Warnungen gelesen, die Seite des zugehörigen IIS-Patches aufgerufen, die entsprechenden Patches downgeloadet und auf dem Webserver installiert hat, so ist es durchaus sinnvoll, das HFCheck Tool periodisch laufen zu lassen, um auch auf neu erschienene Sicherheitspatches aufmerksam gemacht zu werden. Um am Webserver das Tool in bestimmten Intervallen aufzurufen, kann man sich des AT.exe Kommandos bedienen. Das AT Kommmando sorgt dafür, daß ein bestimmtes Programm (oder Batchfile) in spezifizierten Intervallen aufgerufen wird. Die folgenden Kommandos sind in der Kommandozeile (DOS-Prompt) einzugeben und sorgen dafür, daß das Batchfile HFCheck.bat jeden Tag bzw. einmal in der Woche zu starten:
AT.EXE 7:00am /INTERACTIVE /every:M,T,W,Th,F CScript.exe C:\HFCheck\hfcheck.wsf AT.EXE 5:00pm /INTERACTIVE /every:Wednesday CScript.exe C:\HFCheck\hfcheck.wsf Eventuell fehlende Hotfixes können Sie wieder dem Webserver Event Log entnehmen. Zu näheren Information zum AT Kommando konsultieren Sie bitte die Windows 2000 Hilfe bzw. Dokumentation. Sie können solche Tasks allerdings auch über die Systemsteuerung, Scheduled Tasks mit einem Wizard anlegen. Nicht ganz unerwähnt lassen möchte ich auch, daß man das HFCheck Tool auch einsetzen kann, um andere Webserver über die Remote-Funktionalität von Windows 2000 auf fehlende Hotfixes zu überprüfen. Die dafür nötigen Schritte entnehmen Sie dem Word Dokument HFCheck.doc, das Sie im selben Verzeichnis wie das HFCheck.wsf Tool finden. SchlußbemerkungUm als Webmaster die Webserver immer auf dem neuesten Stand zu halten sollte man nach Möglichkeit die neuesten Hoftixes für IIS 5.0 installieren. Das HFCheck Tool erlaubt es, auf einfache Art und Weise, Informationen darüber zu bekommen, welche IIS-Hotfixes auf einem Webserver noch nicht installiert sind. Verwandte Artikel
Windows 2000 Internet Server Security Configuration Tool Links zu anderen Sites
Windows 2000 IIS 5.0 Hotfix Checking Tool Wenn Sie jetzt Fragen haben...Wenn Sie Fragen rund um die in diesem Artikel vorgestellte Technologie haben, dann schauen Sie einfach bei uns in den Community Foren der deutschen .NET Community vorbei. Die Teilnehmer helfen Ihnen gerne, wenn Sie sich zur im Artikel vorgestellten Technologie weiterbilden möchten. Haben Sie Fragen die sich direkt auf den Inhalt des Artikels beziehen, dann schreiben Sie dem Autor! Unsere Autoren freuen sich über Feedback zu ihren Artikeln. Ein einfacher Klick auf die Autor kontaktieren Schaltfläche (weiter unten) und schon haben Sie ein für diesen Artikel personalisiertes Anfrageformular.
Und zu guter Letzt möchten wir Sie bitten, den Artikel zu bewerten. Damit helfen Sie uns, die Qualität der Artikel zu verbessern - und anderen Lesern bei der Auswahl der Artikel, die sie lesen sollten.
©2000-2006 AspHeute.com |