ヒント：Webサーバーを保護するためのいくつかのヒント

今日は、Webサーバーを保護するためのヒントをいくつか紹介しますが、ほとんどのWebサイトでは、最も受け入れやすい方法で訪問者に即時にアクセスできるように設計されています。情報アクセス過去数年間で、ハッカー、ウイルス、ワームによって引き起こされるますます多くのセキュリティ問題がWebサイトのアクセシビリティに深刻な影響を与えています。

Apacheサーバーが攻撃者の標的になることがよくありますが、Microsoftのインターネットインフォメーションサービス（IIS）Webサーバーは本当に標的です。

高等教育機関は、活気に満ちたユーザーフレンドリーなWebサイトを構築することと、安全性の高いWebサイトを構築することとのバランスを模索するのに苦労しています。さらに、彼らは今や技術予算の縮小に直面して彼らのウェブサイトのセキュリティを改善することに集中しなければならない（実際、彼らの民間部門の多くもまた同様の状況に直面している）。

このため、ここでは、予算を重視しているIT管理者がIISサーバーを保護するためのヒントをいくつか紹介します。主に大学のITプロフェッショナルのためのものですが、これらの手法は基本的に、小さな予算でセキュリティを強化したいIISマネージャにも適用できます。実際には、これらの手法の中には、予算が厳しいIIS管理者にとっても非常に便利なものがあります。

まず、セキュリティポリシーを作成します。

Webサーバーを保護するための最初のステップは、ネットワーク管理者がセキュリティポリシーのすべてのシステムを確実に認識できるようにすることです。同社の経営トップがサーバーのセキュリティを保護する必要がある資産と見なさない場合、保護作業はまったく意味がありません。この作業には長期的な努力が必要です。予算がそれをサポートしていない場合、またはそれが長期的なIT戦略の一部ではない場合、サーバーセキュリティの保護に多くの時間を費やす管理者は重要な管理サポートを受けられません。

ネットワーク管理者がリソースのあらゆる面でセキュリティを確立することによる直接的な影響は何ですか？特に冒険好きなユーザーの中には、外に出てしまう人もいます。その後、それらのユーザーは会社の経営陣に文句を言うでしょう、そして経営陣は何が起こったのかネットワーク管理者に尋ねるでしょう。そうすると、ネットワーク管理者は安全な作業をサポートする文書を作成できないため、競合が発生します。

Webサーバーのセキュリティレベルと可用性のセキュリティポリシーにラベルを付けることで、ネットワーク管理者はさまざまなソフトウェアツールをさまざまなオペレーティングシステムに簡単に展開できます。

IISのセキュリティに関するヒント

マイクロソフトの製品は常に批判の標的になってきました。そのため、IISサーバーは攻撃者の標的になることが特に簡単です。このことを念頭に置いて、ネットワーク管理者はいくつかのセキュリティ対策を実施する準備をしなければなりません。私があなたに提供しようとしているのは、サーバオペレータが役に立つかもしれないリストです。

1. Windowsのアップグレードを維持する：

すべてのアップグレードを間に合わせて更新し、システムのすべてのパッチを修正する必要があります。すべてのアップデートをネットワーク上の専用サーバーにダウンロードし、そのファイルをWebとしてマシンに公開することを検討してください。これらのタスクを通じて、Webサーバーがインターネットに直接アクセスするのを防ぐことができます。

2. IIS防止ツールの使用：

このツールには実用上の利点がたくさんありますが、このツールは慎重に使用してください。 Webサーバーが他のサーバーと対話する場合は、まず防止ツールをテストして、Webサーバーと他のサーバー間の通信に影響を与えないように適切に設定されていることを確認します。

3.デフォルトのWebサイトを削除します。

多くの攻撃者がinetpubフォルダを標的とし、そこにこっそり攻撃を仕掛けると、サーバーがクラッシュします。この種の攻撃を防ぐ最も簡単な方法は、IISの既定のサイトを無効にすることです。それから、ワームはIPアドレスを通してあなたのサイトにアクセスするので（彼らは1日に何千ものIPアドレスにアクセスするかもしれません）、それらの要求は問題になるかもしれません。実際のWebサイトにバックパーティションのフォルダを指定し、安全なNTFSアクセス許可を含める必要があります（詳細は下記のNTFSのセクションで説明します）。

4. FTPおよびSMTPサービスが必要ない場合は、それらをアンインストールしてください。

コンピュータにアクセスする最も簡単な方法はFTPを使用することです。 FTP自体は単純な読み取り/書き込みアクセスを処理するように設計されているので、認証を実行すると、ユーザー名とパスワードが平文でネットワークを介して送信されていることがわかります。 SMTPは、フォルダへの書き込みアクセスを許可するもう1つのサービスです。これら2つのサービスを無効にすることで、ハッキング攻撃を防ぐことができます。

5.管理者グループとサービスを定期的に確認します。

ある日私が教室に入ったとき、管理者グループにもう1人のユーザーがいることがわかりました。これは、この時点で誰かがあなたのシステムにうまく侵入したことを意味します。彼または彼女はあなたのシステムに爆弾を投げ入れるかもしれません。あなたがディスクを再フォーマットし、毎日バックアップしているファイルをバックアップサーバから回復することしかできないのです。

そのため、IISサーバー上のサービスの一覧を確認し、できるだけ少ないサービスを維持することが、日常業務になります。どのサービスが存在し、どのサービスが存在してはならないかを覚えておく必要があります。 Windows 2000リソースキットには、tlist.exeという便利なプログラムが用意されています。このプログラムには、svchostの下で実行されるサービスが一覧表示されています。

このプログラムを実行すると、知りたい隠しサービスが見つかります。ヒントを教えてください。デーモンという言葉を含むサービスは、Windows自体に含まれるサービスではない可能性があり、IISサーバーには存在しないはずです。 Windowsサービスのリストを取得してそれらが何をするのかを知るためには、ここをクリックしてください。

6.サーバーの書き込みアクセスを厳密に制御します。

これは簡単に思えますが、大学のキャンパスでは、Webサーバーには実際にはたくさんの "作者"がいます。教員は、遠隔地の学生が自分の教室の情報にアクセスできるようにしたいと考えています。スタッフは他のスタッフと仕事の情報を共有したいと思います。サーバー上のフォルダには、非常に危険なアクセス権があります。

この情報を共有または拡散する1つの方法は、専用の共有および保存の目的で2台目のサーバーをインストールしてから、共有サーバーを指すようにWebサーバーを設定することです。この手順により、ネットワーク管理者はWebサーバーの書き込みアクセスを管理者グループに制限できます。
zh-CN"],null,[1],zh-TW"]]]