Windows IIS 6 Security Protector - URL認証レイダース！

WindowsオペレーティングシステムIISは、最も一般的に使用されているWebサーバーの1つです。 Webサーバーのセキュリティを強化するために、Windows Server 2003オペレーティングシステムのIIS6には多くのセキュリティ機能が追加されています。 「URL認証」はその1つです。この機能により、IIS 6をより安全かつ安定的に機能させることができますこの記事では、URL承認に関する適切な知識を紹介します。

まず、なぜユーザーの作業を容易にするためにURL認証IIS Webサイトを使用しますが、そのセキュリティは常に管理者にとって最も重要なトピックでした。ご存じのとおり、IISサーバーコンポーネントにはいくつかの脆弱性があり、多くの「犯罪者」がこれらの脆弱性を悪用してWebサイトを攻撃しています。 IISパッチをタイムリーにインストールすることでこれらの脆弱性を修正することができますが、新しい脆弱性は今後も出現するでしょう。多くの管理者が匿名アクセスをキャンセルする方法を使用してWebサイトにアクセスするユーザーの範囲を管理していますが、この方法にはまだ一定のセキュリティ上のリスクがあります。 IISのセキュリティを強化するために、URL承認機能がWindows Server 2003システムに提供されています。これは、承認マネージャを通じてWebサイトを閲覧するユーザーを厳密に制御することができます。ユーザーアカウントがURL認証を有効にして仮想ディレクトリにアクセスするようにする場合は、そのユーザーアカウントが最初にWindows Server 2003システムの有効なアカウントである必要があります。さらに、アカウントが承認マネージャの役割割り当てに追加されます。

次に、URL承認機能を設定します。
IIS6はデフォルトでURL承認機能を有効にしません。承認マネージャと連携して手動で設定する必要があります。以下で私は段階的に達成する方法を紹介します。

1.匿名アクセスを無効にする
Windows Server 2003システムでは、IIS6はデフォルトでユーザーによる匿名アクセスを許可しますURL認証を使用するには、まず匿名アクセスを無効にする必要があります。 [スタート]→[ファイル名を指定して実行]の順にクリックし、[ファイル名を指定して実行]ダイアログボックスで "％systemroot％\\ System32 \\ InetSrv \\ IIS.msc"コマンドを入力します（ "％systemroot％"はオペレーティングシステムのあるディレクトリです）。復帰後、[インターネットインフォメーションサービス（IIS）マネージャ]ウィンドウが表示され、[ローカルコンピュータ]→[Webサイト]→[デフォルトWebサイト]の順に展開します。作成者は、デフォルトのWebサイトのOnline仮想ディレクトリを例として使用して、URL承認機能を構成する方法を説明します。

[オンラインフォルダ]オプションを右クリックしてポップアップメニューから[プロパティ]を選択し、ポップアップの[オンラインプロパティ]ダイアログボックスで[仮想ディレクトリ]タブに切り替えて[作成]ボタンをクリックします。 [ディレクトリセキュリティ]タブの[認証とアクセス制御]バーにある[編集]ボタンをクリックし、ポップアップの[認証方法]ダイアログボックスで[匿名アクセスを有効にする]チェックボックスをオフにして[統合Windows認証]を確認します。オプションを選択し（図1）、次に[OK]ボタンを2回クリックします。

2.ワイルドカードアプリケーションマッピングの設定
匿名アクセス機能を無効にした後、正式に設定を開始します。最初のステップは、URL許可機能用のワイルドカードアプリケーションマッピングを設定することです。 [オンラインのプロパティ]ダイアログボックスの[仮想ディレクトリ]タブで、[構成]ボタンをクリックして[アプリケーション]ダイアログボックスを表示し、[ワイルドカードアプリケーションマッピング]列の[挿入]ボタンをクリックします。 [アプリケーション拡張子マッピングの編集]ダイアログボックスの[参照]ボタンをクリックし、[％systemroot％\\ System32 \\ InetSrv]ディレクトリに移動し、urlauth.dllファイルを見つけて[開く]ボタンをクリックし、最後に[OK]ボタンをクリックします。

3.追加WEBサービス拡張
はその後、我々は中IIS6でWebサービス拡張として許可するURLを追加します。インターネットインフォメーションサービス（IIS）マネージャウィンドウで、ローカルコンピュータ→ウェブサイト→ウェブサービス拡張と展開し、右側のウェブサービス拡張ボックスにある新しいウェブサービス拡張の追加リンクをクリックして新しいウェブをポップアップします。サービス拡張ダイアログ（図3） [拡張子]フィールドに[URL認証]を入力し、[追加]ボタンをクリックして、[追加]ダイアログボックスの[参照]をクリックし、[％systemroot％\\ System32 \\ InetSrv]ディレクトリにあるurlauth.dllファイルを見つけて開きます。 「OK」ボタンをクリックしてください。次に、[新しいWebサービス拡張]ダイアログボックスで[許可する拡張ステータスを許可する]オプションを選択し、最後に[OK]ボタンをクリックします。

4.新しい承認ストア
URL承認機能を有効にするには、IIS Webサイトにアクセスするユーザーアカウントを管理するために使用される承認マネージャと共に使用する必要があります。管理と設定が必要です。最初に認証情報を格納するためのファイルを作成します。 [ファイル名を指定して実行]ダイアログボックスに「Azman.msc」コマンドを入力し、Enterキーを押して[承認マネージャ]ウィンドウをポップアップし、[承認マネージャ]オプションを右クリックしてポップアップメニューの[オプション]を選択し、[オプション]ダイアログボックスで[開発]を選択します。モードが終了したら、[OK]ボタンをクリックしてください。次に、新しい認証ストレージファイルを作成し、[認証マネージャ]オプションを右クリックして[新しい認証ストレージ]オプションを選択し、[認証ストレージ]ダイアログボックス（図4）を表示して、[XMLファイル]単一オプションを選択します。フィールドに「C：\\ MyStore.xml」と入力したら、[OK]ボタンをクリックします。

次に、承認マネージャウィンドウで、MyStore.xml項目を右クリックします。ポップアップメニューで[新しいアプリケーション]を選択し、ネームバーに[IIS 6 URL Authorization]と入力して[OK]ボタンをクリックします。次に、承認マネージャーウィンドウで、[IIS 6 URL承認]→[定義]の順に展開し、[操作定義]を右クリックして、ポップアップメニューから[新しい操作定義]を選択します。次に、「名前」欄に「AccessURL」を入力し、操作番号欄に「1」を入力し、最後に「OK」ボタンをクリックしてください。

5.スコープの設定
次に、新しく作成したアプリケーションIIS6 URL Authorizationのスコープを設定します。 [IIS 6 URL Authorization]オプションを右クリックして、ポップアップメニューで[New Scope]を選択し、名前フィールドに[WebApp]と入力して[OK]ボタンをクリックします。次に、[IIS 6 URL認証]→[定義]の順に展開し、[役割の定義]オプションを右クリックして、ポップアップメニューから[新しい役割の定義]を選択します。次に、ロール定義にスコープを作成し、ネームバーに「Viewer」と入力して[OK]ボタンをクリックします。次に、「ロール定義」オプションをクリックし、右フレームの「ビューア」オプションを右クリックしてショートカットメニューを表示し、「プロパティ」オプションを選択して「定義」タブに切り替え、「追加」ボタンをクリックして「操作」タブに切り替えます。ページでは、アクション定義リストボックスで[AccessURL]オプションを選択した後、[OK]ボタンを続けて2回クリックします。

次に、[IIS 6 URL認証]→[WebApp]の順に展開し、[役割の割り当て]オプションを右クリックして、ポップアップメニューから[役割の割り当て]を選択します。 [役割の追加]ダイアログで[閲覧者]オプションを選択した後、[OK]ボタンをクリックします。次に、右フレームの[ビューア]オプションを右クリックして[Windowsユーザーとグループの割り当て]オプションを選択し、[ユーザーまたはグループの選択]ダイアログボックス（図5）をポップアップして[選択するオブジェクト名を入力]フィールドにアクセスサイトを入力します。そのページに必要なユーザーアカウント、そして「OK」ボタンをクリックしてください。

6.リーダーの役割を設定します。
デフォルトでは、IIS 6はネットワークサービスアカウントとして実行されます。以下は、読者が使用するアカウントの構成です。 [MyStore.xml]項目を右クリックして、ポップアップメニューから[プロパティ]を選択し、[セキュリティ]タブに切り替えて、[承認マネージャのユーザーの役割]リストで[閲覧者]を選択し、[追加]をクリックします。 []ボタンをクリックし、[選択するオブジェクト名を入力してください]フィールドに[ネットワークサービス]アカウントを入力して、[OK]ボタンを2回クリックします。
7. IISメタベースファイルの設定上記の設定プロセスを完了した後、URL認証機能はまだ有効になっていません。IISメタベースファイルのパラメータを変更する必要があります。以下では、vbsスクリプトを使用してIISメタベースファイルを変更します。 「C：\\ Inetpub \\ AdminScripts」ディレクトリに移動し、「SetUrlAuth.vbs」という新しいスクリプトファイルを作成します。このファイルを開いたら、以下をスクリプトファイルにコピーし、最後にファイルを保存します。

スクリプトの内容は次のとおりです。
SetUrlAuth.vbs内容 Set objArgs = WScript.Arguments
objArgs.count< 4の場合
wscript.echo"使用方法：SetUrlAuth VDirPath AzScopeName AzStoreName AzEnable [ImpersonationLevel] "wscript.echo" "wscript.echo"例： " msxml：//d：\\ inetpub \\ wwwroot \\ AzStore.xml True 1< wscript.echo"< wscript.echo"回避するには、cmd.exeで 'cscript'コマンドを実行してください。メッセージボックスその他のwscript.echo objargs（0）DIM iis = GetObject（IIS：//localhost /objArgs（0））である。 AzScopeName = objArgs（1）iis.AzStoreName = objArgs（2）iis.AzEnable = objArgs（3）objArgs.count> 4の場合
iis.AzImpersonationLevel = objArgs（4） iis.SetInfoで終了したら

次に「スタート」→「ファイル名を指定して実行」をクリックし、「ファイル名を指定して実行」ダイアログボックスで「Cmd.exe」コマンドを入力してコマンドプロンプトウィンドウを表示します。 "C：\\ Inetpub \\ AdminScripts"ディレクトリに切り替えて、 "Cscript SetUrlAuth.vbs W3svc \\ 1 \\ Root \\ WebApp WebApp msxml：//C：\\ MyStore.xml true 1"コマンドを実行して、メタベースファイルのパラメータの変更を完了します。

URL認証機能を有効にします。承認マネージャのビューアロールで指定されたユーザアカウントのみが、Webサイトのオンライン仮想ディレクトリのページにアクセスできます。