IIS 6.0のデフォルト設定のセキュリティの変更

Webサーバーがますます多くのハッカーやワームメーカーの標的になっているため、MicrosoftのTrustworthy ComputingイニシアチブではIISが最優先事項となっています。その結果、既定のセキュリティと設計セキュリティを実現するために、IIS 6.0は完全に再設計されました。この記事では、既定の設定と設計におけるIIS 6.0のセキュリティの変更により、重要なWebアプリケーションのプラットフォームとなる方法について説明します。

デフォルトのセキュリティ

過去には、Microsoftのような企業は、管理者管理を改善するために、一連のデフォルトのサンプルスクリプト、ファイル処理、最小限のファイル認証をWebサーバーにインストールしていました。柔軟性と使いやすさただし、これらの既定の設定により、IISの攻撃対象が増えるか、またはIISを攻撃するための基礎となります。その結果、IIS 6.0は以前の製品よりも安全なプラットフォームになるように設計されました。最も明白な変更は、IIS 6.0がWindows Server 2003にデフォルトでインストールされていないことですが、このコンポーネントを明示的にインストールすることを管理者に要求します。その他の変更点は次のとおりです。

・既定で静的HTTPサーバーのみをインストールする

IIS 6.0の既定のインストールでは、必要なコンポーネントを表示するために静的なHTMLページのみがインストールされます。次の表は、IIS 5.0でのデフォルトのインストール設定を比較して、6.0 IIS：

は・6.0もはや含まれている例とshowcode.aspの任意の他の類似またはcodebrws.aspを

デフォルトのアプリケーションの例ではインストールIISませんスクリプトまたはアプリケーションこれらのプログラムはもともとプログラマがデータベースの接続コードをすばやく表示してデバッグできるように設計されていましたが、showcode.aspとcodebrws.aspはアクセスされるファイルがサイトのルートにあるかどうかを判断する入力チェックを正しく実行しませんでした。これにより、攻撃者はこれを迂回してシステム内の任意のファイル（機密情報や表示されてはならない設定ファイルを含む）を読み取ることができます。 .com /technet /treeview /default.asp？

url = /technet /security /bulletin /MS99-013.asp

拡張ファイルアクセス制御

匿名このアカウントは、Webサーバーのルートディレクトリへの書き込み権限を失いました。さらに、FTPユーザーは、自分のルートディレクトリ内でも互いに分離されています。これらの制限により、ユーザーが不要なプログラムをサーバーのファイルシステムの他の部分にアップロードすることを効果的に防止できます。たとえば、攻撃者は有害な実行可能コードを/scriptsディレクトリにアップロードし、そのコードをリモートで実行してWebサイトを攻撃する可能性があります。

・仮想ディレクトリには実行権限がありません。

実行可能プログラムは仮想ディレクトリでは使用できなくなりました。これにより、以前のIISシステムに存在していた多数のディレクトリトラバーサルの脆弱性、アップロードコードの脆弱性、およびMDACの脆弱性が回避されます。

・サブ検証モジュールの削除

IISSUBA.dllがIIS 6.0から削除されました。以前のバージョンのIISでこのDLLモジュールを確認する必要があるアカウントは、ネットワークから「このコンピュータへのアクセス」を取得する必要があります。このDLLモジュールを削除すると、認証のためにすべてのアクセスがSAMまたはActive Directoryに直接送信されるため、IISが攻撃を受ける可能性が低くなります。

・親ディレクトリが無効になっています。

IIS 6.0では、親ディレクトリへのアクセスは既定で無効になっています。これにより、攻撃者がWebサイトのディレクトリ構造を越えてサーバー上のSAMファイルなどの機密ファイルにアクセスするのを防ぎます。もちろん、デフォルトでは親ディレクトリは無効になっているため、以前のバージョンのIISから移行したアプリケーションによっては、親ディレクトリを使用できないために失敗することがあります。
セキュリティ設計

IIS 6.0のセキュリティ基本的な変更は、データの可用性の向上、ロギング機能の強化、迅速な障害保護、アプリケーションの分離、および最小限のアクセス許可の原則に明らかにされています。

データの有効性の向上

IIS 6.0デザインの主な新機能は、カーネルモードで動作するHTTPドライバ - HTTP.sysです。 Webサーバーのパフォーマンスとスケーラビリティが向上するだけでなく、サーバーのセキュリティも大幅に向上します。 HTTP.sysはWebサーバーへのポータルとして機能し、最初にWebサーバーへのユーザーの要求を解析し、次に要求を処理するために適切なユーザーレベルのワーカープロセスを割り当てます。無許可のシステムコアリソースへのアクセスを回避するために、ワーカープロセスはユーザーモードに制限されています。これにより、攻撃者によるサーバー保護リソースへのアクセスが大幅に制限されます。

IIS 6.0は、カーネルモードドライバに一連のセキュリティメカニズムを統合することで、その設計固有のセキュリティを強化しています。これらのメカニズムには、潜在的なバッファオーバーフローを回避する高度なURL解決メカニズム、イベント応答プロセスを支援するための改善されたロギングメカニズム、およびユーザーの有効性要求の確認が含まれます。

初めてバッファやメモリオーバーフローの脆弱性が発生する可能性を回避するために、マイクロソフトはHTTP.sysに特別なURL解決設定を実装して、IIS 6.0セキュリティ設計にディフェンスの原則を実装しました。これらの設定は、レジストリ内の特定のキー値を変更することによってさらに最適化することもできます。次の表に、主要なレジストリキーの値の場所（両方ともHKLMSystemCurrentControlSetServicesHTTPParameters）を示します。

拡張ログ記録メカニズム

包括的なログは、セキュリティ問題を検出または対応するための基本的な要件です。マイクロソフトはまた、HTTP.sysにおける包括的で信頼性の高いログ記録メカニズムの重要性を認識しています。 HTTP.sysは、特定のワーカープロセスに割り当てられる前にログを記録します。これにより、ワーカープロセスが中断されてもエラーログが保持されます。ログは、エラーのタイムスタンプ、宛先IPアドレスと宛先ポート、プロトコルバージョン、HTTPアクション、URLアドレス、プロトコルステータス、サイトID、およびHTTP.sysの理由などのエントリで構成されています。理由の説明では、タイムアウトによるエラー、またはワーカープロセスの異常終了によるアプリケーションプールの強制切断によるエラーなど、エラーの原因に関する詳細な情報を提供できます。次の接続は、HTTP.sysログファイルの例を見ることができます。http://www.microsoft.com/japan/technet/treeview/default.asp

？url = /technet /prodtechnol /iis /iis6/proddocs/resguide/iisrg_log_qlow.asp
高速障害保護

レジストリを変更するだけでなく、IIS 6.0管理者はサーバー設定を使用して、繰り返し失敗するプロセスをシャットダウンすることもできます。または再実行してください。この追加の保護は、攻撃によってアプリケーションが絶えず失敗するのを防ぐためのものです。この機能は高速障害保護と呼ばれます。

高速障害保護は、次の手順に従ってインターネットインフォメーションサービス管理ツールで構成できます。

1.インターネットインフォメーションサービス（IIS）マネージャで、[ローカルコンピュータ]を展開します。

2.アプリケーションプールを展開します。

3.ファストフェイルプロテクションを設定するアプリケーションプールを右クリックします。

4.属性を選択します。

5. [Health]タブを選択し、[Fast Failure Protectionを有効にする]をオンにします。

6.失敗数に、失敗したワークプロセス数（プロセス終了前）を入力します。 7.期間内に、ワークプロセスの失敗の累積数としてカウントされた時間を記入します。

アプリケーションの分離

以前のバージョンのIIS（5.0以前のバージョン）では、Webアプリケーションを別々のユニットに分離するとパフォーマンスが大幅に低下するため、実装されていませんでした。アプリケーションの分離多くの場合、1つのWebアプリケーションの障害が同じサーバー上の他のアプリケーションに影響を与えます。ただし、IIS 6.0では、アプリケーションをアプリケーションプールと呼ばれる独立したセルの設計変更に分離することで、要求を処理することでパフォーマンスが2倍になりました。各アプリケーションプールは通常、1つ以上のワーカープロセスで構成されています。これにより、エラーの場所を特定し、ワーカープロセスが他のワーカープロセスに影響を与えるのを防ぐことができます。このメカニズムは、サーバーとそのアプリケーションの信頼性も向上させます。

最小特権の原則に従う

IIS 6.0は、基本的なセキュリティ原則、つまり最小特権の原則に従います。つまり、HTTP.sys内のすべてのコードはLocal System権限で実行され、すべての作業プロセスはNetwork Serviceの権限で実行されます。ネットワークサービスは、Windows 2003では新しく制限されたアカウントです。さらに、IIS 6.0では、管理者がコマンドラインツールを実行して、コマンドラインツールの悪用を防ぐことしかできません。これらの設計変更により、潜在的な脆弱性を介してサーバーを攻撃する可能性が低くなりました。基本的な設計変更の一部、いくつかの簡単な設定変更（Webサーバーのルートディレクトリに書き込むための匿名ユーザーの削除、およびそれぞれのホームディレクトリへのFTPユーザーのアクセスの分離を含む）により、IIS 6.0が大幅に向上セキュリティ

IIS 6.0は、マイクロソフトがお客様のセキュリティ向上を支援するための正しいステップです。 Webアプリケーションに信頼性の高い安全なプラットフォームを提供します。これらのセキュリティの向上は、IIS 6.0の既定のセキュリティ設定、設計プロセスにおけるセキュリティ上の考慮事項、および強化された監視機能とログ記録機能によるものです。しかし、管理者は、新しいプラットフォームへの単純な移行で包括的なセキュリティを実現できると考えるべきではありません。正しいことは、より包括的なセキュリティのために多面的なセキュリティ設定をすることです。これは、Code RedおよびNimdaウイルス脅威に対する深いセキュリティ防御原則とも一致しています。