IIS Webサーバを保護するための10のステップ

問題

IIS（インターネットインフォメーションサービス）はハッカーが攻撃するのを好むオブジェクトです。したがって、IISをロックすることは、IIS Webサーバーを管理しているユーザーにとって重要です。 IIS 4.0およびIIS 5.0の既定の設定には多くの脆弱性があります。

ソリューション

以下の10の手順でIISを保護します。

1. IISアプリケーションとデータ専用のNTFSデバイスをインストールします。可能であれば、IUSER（または他の匿名ユーザー名）が他のデバイスにアクセスすることを許可しないでください。匿名ユーザーが他のデバイス上のプログラムにアクセスできないためにアプリケーションに問題がある場合は、すぐにSmonintersのFileMonを使用してアクセスできないファイルを検出し、そのプログラムをIISデバイスに転送してください。これが不可能な場合、IUSERはアクセスを許可されており、このファイルにしかアクセスできない。

2.デバイスにNTFS権限を設定します。
Developers = Full（すべての権限）
IUSER =読み取りと実行のみ
Systemとadmin = Fullアクセス許可）

3.ソフトウェアファイアウォールを使用して、エンドユーザーがIISコンピュータのポート80以外のポートにアクセスできないことを確認します。

4. Microsoftツール（IIS LockdownとUrlScan）でコンピュータをロックします。

5. IISイベントログを有効にします。可能であれば、IISイベントログを使用することに加えて、可能な限りファイアウォールのイベントログを有効にします。

6.デフォルトの保存場所からログファイルを削除し、それらがバックアップされていることを確認します。ログファイルの複製コピーを作成して、このコピーが2番目の場所にあることを確認します。

7.これらの攻撃者の行動を追跡しようとすると、常に十分なデータが不足するため、コンピューターでWindows監査を有効にします。監査ログを使用することで、疑わしい行動を監査するスクリプトを作成し、それを報告することで管理者に報告することも可能です。これは少し極端に聞こえるかもしれませんが、セキュリティが組織にとって重要である場合は、これが最善の選択肢です。失敗したアカウントログイン動作を報告するための監査システムを確立します。また、IISログファイルと同様に、デフォルトの保存場所（c：\\ winnt \\ system32 \\ config \\ secevent.log）を別の場所に変更し、バックアップと重複コピーがあることを確認してください。

8.一般に、セキュリティ記事を（さまざまな場所から）見つけてそれに従うようにします。 IISやセキュリティの実践に関しては、彼らが言うことは通常あなたによってよく理解されていて、他の人々（私など）にあなたに何かを言わせるだけではいけません。

9. IISの不具合リストのメールを購読し、時間どおりに読み続けます。リストの1つに、インターネットセキュリティシステムに関するX-Forceの警告と勧告があります。

10.最後に、Windowsを定期的にアップデートし、パッチが正しくインストールされたことを確認します。