公開サーバをIIS6.0(IIS5.0)でセキュアに管理する方法 | ミニミニ管理者(システム管理者/社内SE/CIO)の独り言

[ ミニミニ管理者の独り言サーバー構築 > 公開サーバをIIS6.0(IIS5.0)でセキュアに管理する方法 ]
スポンサードリンク

公開サーバをIIS6.0(IIS5.0)でセキュアに管理する方法

インターネットセキュリティといっても幅は広くホームページの公開(wwwサーバ)から、DNSサーバ、メールサーバ、ASPサーバなど多くのインターネットサーバに関するセキュリティ対策が考えられます。今回は、そんなインターネットセキュリティの内、公開サーバ(ホームページを一般に公開しているサーバ)に焦点をあててご紹介します。

私の会社では、公開サーバ(wwwサーバ)はIIS6.0で運営しています。理由は簡単で、にわかシステム管理者でも運用しやすいからです。(以前はIIS5.0で運用していましたが、一年程前にIIS6.0に移行しました。)

しかし、ここで問題となるのが「IISのセキュリティレベル」です。一般的に「IISは公開サーバには向かない」といわれるほどセキュリティレベルが低いWebサーバでした。但し、これはデフォルト設定(インストール後何も変更しない)で運用をしている場合です。適切な設定を施せばIIS5.0でもIIS6.0でも公開サーバとして耐えられます。

 〜あくまでもIISで管理するのがベストと言うのではありません。また最もセキュアなWebサーバと言うわけではありません。IISでも公開サーバを立てられると言いたいのです。〜

ここでは私が設定した内容をご紹介します。
対応している環境ですが、基本は「OS:Windows2000Server+WWW:IIS5.0」環境ですが、「OS:WindowsServer2003+Web:IIS6.0」環境も対応しています。(但し、IIS6.0の場合にはデフォルトで設定済みのものもあります。)

1)ホームディレクトリの変更
[スタート]−[プログラム]−[管理ツール]−[インターネットサービスマネージャ]−[規定のWebサイト]−[プロパティ]−[ホームディレクトリ]−[ローカルパス]
  設定:D:¥wwwroot¥に変更
2)Webサイトのディレクトリ参照を無効(w2kの場合)
[スタート]−[プログラム]−[管理ツール]−[インターネットサービスマネージャ]−[規定のWebサイト]−[プロパティ]−[ディレクトリ参照]
  設定:チェックを外す
3)親パスを無効にする
[スタート]−[プログラム]−[管理ツール]−[インターネットサービスマネージャ]−[規定のWebサイト]−[プロパティ]−[ホームディレクトリ]−[構成]−[アプリケーションのオプション]−[親のパスを有効にする]
  設定:チェックを外す
4)IISADMPWDの削除(w2kの場合)
[スタート]−[プログラム]−[管理ツール]−[インターネットサービスマネージャ]−[規定のWebサイト]−[IISADMPWD]
  設定:削除
5)サンプルアプリケーションの削除(w2kの場合)
[スタート]−[プログラム]−[管理ツール]−[インターネットサービスマネージャ]−[規定のWebサイト]−[IISSamples] 及び [IISHelp]
  設定:削除
6)内部IPアドレスの漏洩を防ぐ(w2kの場合)
 コマンドプロンプトを起動して下記の実行する。
 C:¥inetpub¥adminscripts¥
 >adsutil set w3svc /UseHostName true
 >net stop iisadmin /y
 >net start w3svc
7)不要なスクリプトマッピングのリムーブ
[スタート]−[プログラム]−[管理ツール]−[インターネットサービスマネージャ]−[規定のWebサイト]−[プロパティ]− [ホームディレクトリ]−[構成]−[アプリケーションのマッピング]
 設定:.htr .ida .idq .htw .cer .cdx .idc .shtml .stm .printer 削除
    運用するサーバの機能によっては必要なものもあるので自分で判断する。
8)NetBIOSを無効にする
 [スタート]−[設定]−[ネットワークとダイヤルアップの接続]−[ローカルエリア接続]−[プロパティ]
Microsoftネットワーク用クライアント
 設定:チェック外す
Microsoftネットワーク用ファイルとプリンタ共有
 設定:チェック外す
9)レジストリを匿名アクセスから保護(w2kの場合)
 [スタート]−[ファイル名を指定して実行]−[regedt32.exe]
HKEY_LOCAL_MACHINE¥SYSTEM¥CurrentControlSet¥Control¥SecurePipeServers¥winreg
メニューの[セキュリティ]−[アクセス許可]−[詳細]−[アクセス許可]
 設定:エントリー名が「Administrators」でアクセス許可が「フルコントロール」以外の項目を削除
10)IISのログの取得
 ・[スタート]−[プログラム]−[管理ツール]−[インターネットサービスマネージャ]−[規定のWebサイト]−[プロパティ]− [Webサイト]−[アクティブログ形式]
 設定:W3C拡張ログファイル形式を選択

 ・[スタート]−[プログラム]−[管理ツール]−[インターネットサービスマネージャ]−[規定のWebサイト]−[プロパティ]− [Webサイト]−[アクティブログ形式]−[プロパティ]
 設定:必要な項目にチェック
11)IISの認証方式の変更
 [スタート]−[プログラム]−[管理ツール]−[インターネットサービスマネージャ]−[規定のWebサイト]−[プロパティ]−[ディレクトリセキュリティ]−[匿名アクセス及び認証コントロール]−[編集] − [Windowsドメインサーバでダイジェスト認証を使用する]
  設定:チェック

また、上記のほかではWindows2000Server+IIS5.0環境では「URL Scan」を利用しました。これはマイクロソフト(Microsoft)が自社のWebサーバである「IIS5.0」を強固なWebサーバに仕立て上げるべく必要となる設定をウィザード形式で設定してくれるフリーのツールです。MicrosoftのWebサイトで配布しています。(WindowsServer2003+IIS6.0環境では使用できません。)

◆注意
上記に設定した内容は私が施したものであり、環境によって必要な設定は異なります。必要の有無を判断するのは最終的に設定する「システム管理者」です。

◆検証環境
OS:Windows2000Server、WindowsServer2003
Web:IIS5.0、IIS6.0

◆参考文献
インターネットセキュリティ500の技  ←この本の中には今回紹介したセキュアな設定が「何のために行う設定か」が記載されていますので読む価値あります。
お奨め度:★★★★★

               最新記事へ     トップページ


スポンサードリンク


■Blog Ranking■
1. ←←サーバー構築・運用ブログあり お奨め:★★★★★
2. (ブログランキング ドット ネット)
3.にほんブログ村 IT技術ブログへにほんブログ村
4.BS blog Ranking
ブログランキングに挑戦中です。あなたもブログランキングに挑戦してみよう!
サーバー構築・運用ブログなんかもありますのでシステム管理者の方にもお奨めのサイトがあり!
ソニーストア
ボーズ・インイヤーヘッドホン
| 2007年05月24日 | サーバー構築 | comments(0) | trackbacks(2) |

コメント
コメント投稿フォーム:
 上の情報を次回も利用する

トラックバック
トラックバックURL:
※ クリックで選択できます。
トラックバック一覧:
-
管理者の承認待ちトラックバックです。
from - (2007年08月08日 06:41)
-
管理者の承認待ちトラックバックです。
from - (2007年06月06日 05:46)