（IIS）Webサーバーを保護するための15のヒント

一般に、ほとんどのWebサイトは、最も受け入れやすい方法で情報への即時アクセスを提供するように設計されています。過去数年の間に、ハッカー、ウイルス、ワームによって引き起こされるセキュリティ上の問題が、Webサイトのアクセシビリティに深刻な影響を及ぼしてきました。 Webサーバーは一般の真のターゲットです。

高等教育機関は、活気に満ちたユーザーフレンドリーなWebサイトを構築することと、安全性の高いWebサイトを構築することとのバランスを模索するのに苦労しています。さらに、彼らは今や技術予算の縮小に直面して彼らのウェブサイトのセキュリティを改善することに集中しなければならない（実際、彼らの民間部門の多くもまた同様の状況に直面している）。

このため、ここでは、予算を重視しているIT管理者がIISサーバーを保護するためのヒントをいくつか紹介します。主に大学のITプロフェッショナルのためのものですが、これらの手法は基本的に、小さな予算でセキュリティを強化したいIISマネージャにも適用できます。実際には、これらの手法の中には、予算が厳しいIIS管理者にとっても非常に便利なものがあります。

まず、セキュリティポリシーを作成します。

Webサーバーを保護するための最初のステップは、ネットワーク管理者がセキュリティポリシー内のすべてのシステムを確実に認識できるようにすることです。同社の経営トップがサーバーのセキュリティを保護する必要がある資産と見なさない場合、保護作業はまったく意味がありません。この作業には長期的な努力が必要です。予算がそれをサポートしていない場合、またはそれが長期的なIT戦略の一部ではない場合、サーバーセキュリティの保護に多くの時間を費やす管理者は重要な管理サポートを受けられません。

ネットワーク管理者がリソースのあらゆる面でセキュリティを確立することによる直接的な影響は何ですか？特に冒険好きなユーザーの中には、外に出てしまう人もいます。その後、それらのユーザーは会社の経営陣に文句を言うでしょう、そして経営陣は何が起こったのかネットワーク管理者に尋ねるでしょう。そうすると、ネットワーク管理者は安全な作業をサポートする文書を作成できないため、競合が発生します。

Webサーバーのセキュリティレベルと可用性のセキュリティポリシーにラベルを付けることで、ネットワーク管理者はさまざまなソフトウェアツールをさまざまなオペレーティングシステムに簡単に展開できます。

IISのセキュリティに関するヒント

マイクロソフトの製品は常に批判の対象になってきました。そのため、IISサーバーは攻撃者の標的になることが特に簡単です。このことを念頭に置いて、ネットワーク管理者はいくつかのセキュリティ対策を実施する準備をしなければなりません。私があなたに提供しようとしているのは、サーバオペレータが役に立つかもしれないリストです。

1. Windowsのアップグレードを維持する：

すべてのアップグレードを間に合わせて更新し、システムのすべてのパッチを修正する必要があります。すべてのアップデートをネットワーク上の専用サーバーにダウンロードし、そのファイルをWebとしてマシンに公開することを検討してください。これらのタスクを通じて、Webサーバーがインターネットに直接アクセスするのを防ぐことができます。

2. IIS防止ツールの使用：

このツールには実用上の利点がたくさんありますが、このツールは慎重に使用してください。 Webサーバーが他のサーバーと対話する場合は、まず防止ツールをテストして、Webサーバーと他のサーバー間の通信に影響を与えないように適切に設定されていることを確認します。

3.デフォルトのWebサイトを削除します。

多くの攻撃者がinetpubフォルダーを標的とし、そこにこっそり攻撃を仕掛けると、サーバーがクラッシュします。この種の攻撃を防ぐ最も簡単な方法は、IISの既定のサイトを無効にすることです。それから、ワームはIPアドレスを通してあなたのサイトにアクセスするので（彼らは1日に何千ものIPアドレスにアクセスするかもしれません）、それらの要求は問題になるかもしれません。実際のWebサイトにバックパーティションのフォルダを指定し、安全なNTFSアクセス許可を含める必要があります（詳細は下記のNTFSのセクションで説明します）。

4. FTPおよびSMTPサービスが必要ない場合は、それらをアンインストールしてください。

コンピュータにアクセスする最も簡単な方法はFTPを使用することです。 FTP自体は単純な読み取り/書き込みアクセスを処理するように設計されているので、認証を実行すると、ユーザー名とパスワードが平文でネットワークを介して送信されていることがわかります。 SMTPは、フォルダへの書き込みアクセスを許可するもう1つのサービスです。これら2つのサービスを無効にすることで、ハッキング攻撃を防ぐことができます。

5.管理者グループとサービスを定期的に確認します。

ある日私が教室に入ったとき、管理者グループにもう1人のユーザーがいることがわかりました。これは、この時点で誰かがあなたのシステムにうまく侵入したことを意味します。彼または彼女はあなたのシステムに爆弾を投げ入れるかもしれません。あなたがディスクを再フォーマットし、毎日バックアップしているファイルをバックアップサーバから回復することしかできないのです。したがって、IISサーバー上のサービスのリストを確認し、できるだけ少ないサービスを維持することが、日常業務になるはずです。どのサービスが存在し、どのサービスが存在してはならないかを覚えておく必要があります。 Windows 2000リソースキットには、tlist.exeという便利なプログラムが用意されています。このプログラムには、svchostの下で実行されるサービスが一覧表示されています。このプログラムを実行するとあなたが知りたい隠しサービスを見つけることができます。ヒントを教えてください。デーモンという言葉を含むサービスは、Windows自体に含まれるサービスではない可能性があり、IISサーバーには存在しないはずです。 Windowsサービスのリストを取得してそれらが何をするのかを知るためには、ここをクリックしてください。

6.サーバーの書き込みアクセスを厳密に制御します。

これは簡単に思えますが、大学のキャンパスでは、Webサーバーには実際にはたくさんの "作者"がいます。教員は、遠隔地の学生が自分の教室の情報にアクセスできるようにしたいと考えています。スタッフは他のスタッフと仕事の情報を共有したいと思います。サーバー上のフォルダには、非常に危険なアクセス権があります。この情報を共有または拡散する1つの方法は、専用の共有と保存の目的で2台目のサーバーをインストールしてから、共有サーバーを指すようにWebサーバーを設定することです。この手順により、ネットワーク管理者はWebサーバーの書き込みアクセスを管理者グループに制限できます。

7.複雑なパスワードの設定：

私は最近教室に入ったところ、イベントビューアから多くのハッカーの可能性を見つけました。彼または彼女がラボに入ったドメイン構造は、あらゆるユーザーのためにパスワードクラッキングツールを実行するのに十分深いです。ユーザーが弱いパスワード（「パスワード」や「changeme」などの辞書の単語など）を使用している場合、ハッカーはユーザーのアカウントにすばやく簡単に侵入することができます。

8. Webサーバーでの共有を減らすか除外します。

ネットワーク管理者だけがWebサーバーへの書き込みアクセス権を持っているのであれば、共有が存在する理由はありません。共有はハッカーにとって最大の誘惑です。さらに、単純なループバッチファイルを実行することによって、ハッカーはIPアドレスのリストを表示し、\\\\コマンドを使用してShare of Everyone /Full Controlを見つけることができます。

9. TCP /IPプロトコルでNetBIOSを無効にします。

これは残酷です。多くのユーザーは、UNCパス名を使ってWebサーバーにアクセスしたいと考えています。 NETBIOSが無効になっていると、これはできません。一方、NetBIOSを無効にすると、ハッカーはLAN上のリソースを見ることができません。ネットワーク管理者がこのツールを展開する場合、次のステップはNETBIOSが失敗した場合に情報を公開する方法についてWebユーザーを教育する方法です。

10. TCPポートでブロックする：

これも残酷なツールです。正当な理由でサーバーにアクセスするすべてのTCPポートに慣れている場合は、ネットワークインターフェイスカードの[プロパティ]タブに移動して、バインドしているTCP /IPプロトコルを選択し、不要なポートをすべてブロックできます。特にサーバーにリモートからログインする必要がある場合は、Webサーバーの外側で自分自身をロックしたくないため、このツールは慎重に使用する必要があります。 TCPポートの詳細を取得するには、ここをクリックしてください。
11. * .batファイルと* .exeファイルを再確認します。* .bat

と* .exeファイルを1週間に1回検索して、サーバーにハッカーのお気に入りがあるかどうかを確認します。それは悪夢のような実行可能ファイルです。これらの破壊的なファイルの中には、いくつかの* .regファイルがあります。右クリックして[編集]を選択すると、ハッカーが作成したものであり、それらがシステムのレジストリファイルにアクセスできるようになります。意味を成さないが侵入者に利便性をもたらすこれらの主キーを削除することができます。

12. IISディレクトリセキュリティの管理：

IISディレクトリセキュリティを使用すると、特定のIPアドレス、サブネット、さらにはドメイン名を拒否することができます。代わりに、どのIPアドレスがサーバー上の特定のファイルにアクセスしようとしているのかを知らせるWhosOnと呼ばれるソフトウェアを選びました。 WhosOnは一連の例外をリストしています。 cmd.exeにアクセスしようとしている人を見つけた場合は、このユーザーによるWebサーバーへのアクセスを拒否することを選択できます。もちろん、忙しいWebサイトでは、これには正社員が必要です。しかし、イントラネットでは、これは本当に非常に便利なツールです。特定のユーザーだけでなく、LAN内のすべてのユーザーにリソースを提供できます。

13. NTFSセキュリティの使用：

デフォルトでは、手動で無効にしない限り、NTFSドライブはEVERYONE /フルコントロールのアクセス許可を使用します。重要なのは、自分自身を締め出すことではなく、異なるユーザーが異なる権限を必要とし、管理者がフルコントロールを必要とし、バックグラウンド管理アカウントがフルコントロールを必要とすることです。最も重要なフォルダはSystem32です、このフォルダのアクセス許可は小さければ小さいほどよいです。 WebサーバーでNTFSアクセス許可を使用すると、重要なファイルやアプリケーションを保護するのに役立ちます。

14.ユーザーアカウントの管理：既にIISをインストールしている場合は、TSInternetUserアカウントを生成した可能性があります。このアカウントが本当に必要でない限り、無効にしてください。このユーザは侵入されやすく、ハッカーの重要な標的です。ユーザーアカウントを管理しやすくするために、ローカルセキュリティポリシーに問題がないことを確認してください。 IUSRユーザーのアクセス許可もできるだけ小さくする必要があります。

15. Webサーバーの監査：

監査はコンピュータのパフォーマンスに大きな影響を与えるため、頻繁にチェックしない場合は監査を行わないでください。あなたが本当にそれを使うことができるならば、あなたがそれらを必要とするとき、システムイベントを監査して、監査ツールを追加してください。前述のWhosOnツールを使用している場合、監査はそれほど重要ではありません。既定では、IISは常にアクセスをログに記録し、WhosOnはこれらのレコードを非常に読みやすいデータベースに配置します。このデータベースは、AccessまたはExcelを介して開くことができます。例外データベースを頻繁に見れば、いつでもサーバーの脆弱性を見つけることができます。

概要

上記のIISに関するヒントとツール（WhosOnを除く）はすべてWindowsに含まれています。サイトの到達可能性をテストする前に、これらのヒントとツールを1つずつ使用することを忘れないでください。それらが一緒に展開されている場合、結果はあなたに多大な費用がかかる可能性があり、アクセスを失うために再起動する必要があるかもしれません。

最後のヒント：Webサーバーにログインして、コマンドラインからnetstat -anを実行します。ポートとの接続を確立しようとしているIPアドレスの数を確認してください。そうすれば、たくさんの調査や調査が必要になります。zh-CN"],null,[1],zh-TW"]]]