IIS

IIS（Internet Information Server）は、その利便性と使いやすさのため、最も人気のあるWebサーバーソフトウェアの1つになりました。しかし、IISのセキュリティは心配されています。安全なWebサーバーを構築するためにIISを使用する方法は、多くの人々が気にしているトピックです。

セキュリティシステムの構築

安全で信頼性のあるWebサーバーを作成するには、Windows 2000とIISにデュアルセキュリティを実装する必要があります。IISユーザーはWindows 2000ユーザーとIISディレクトリでもあるからです。権限はWindows NTFSファイルシステムの権限に依存するため、IISをセキュリティで保護するための最初のステップは、Windows 2000オペレーティングシステムのセキュリティを確保することです。

1. NTFSファイルシステムを使用してファイルとディレクトリを管理します。

2.デフォルトの共有を閉じます。

レジストリエディタを開き、[HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Services \\ LanmanServer \\ Parameters]項目を展開し、キー値AutoShareServerを追加します。タイプはREG_DWORDです。 0これは「デフォルトの共有」を完全に無効にします。

3.共有のアクセス許可を変更する

新しい共有を作成した直後に、Webサーバーの訪問者が不要なアクセス許可を取得しないように、Everyoneの既定のアクセス許可を変更します。

4.不正なユーザーによる攻撃を防ぐために、システム管理者アカウントの名前を変更します。

[マイコンピュータ]→[管理]→「コンピュータの管理」プログラムを右クリックし、「ローカルユーザーとグループ」で「管理者」を右クリック→「ヘビー」を選択"、管理者アカウントを一般的なユーザー名に変更してください。

5. NetBIOS over TCP /IPを無効にします。

デスクトップの[ネットワークコンピュータ]→[プロパティ]→[ローカルエリア接続]→[プロパティ]を右クリックして、[ローカルエリア接続のプロパティ]を開きます。ダイアログ[インターネットプロトコル（TCP /IP）]→[プロパティ]→[詳細設定]→[WINS]の順に選択し、下部の[NetBIOS over TCP /IPを無効にする]を選択して、NetBIOS over TCP /IPを解放します。

6. TCP /IPのインバウンド接続を制御します。

デスクトップの[ネットワークコンピュータ]→[プロパティ]→[ローカルエリア接続]→[プロパティ]を右クリックして、ローカルネットワークを開きます。接続プロパティダイアログ。 [インターネットプロトコル（TCP /IP）]→[プロパティ]→[詳細設定]→[オプション]を選択し、をクリックして一覧から「TCP /IPフィルタ」を選択してください。 [プロパティ]ボタンをクリックして[許可する]を選択し、[追加]ボタンをクリックしてポート80のみを入力します。

7.サービス拒否攻撃のリスクを軽減するためにレジストリを変更します。

レジストリを開く：HKLM \\ System \\

CurrentControlSet \\ Services \\ Tcpip \\ ParametersにあるSynAttackProtectの値を2に変更して、接続がタイムアウトに対してより速く応答するようにします。
IIS自体のセキュリティを保証する

IISの安全なインストール

安全なIISサーバーを構築するには、インストール時からセキュリティの問題を考慮する必要があります。

1.システムパーティションにIISをインストールしないでください。

2. IISインストール用のデフォルトパスを変更します。

3. WindowsとIIS用の最新のパッチを当てます。

IISのセキュリティ設定

1.不要な仮想ディレクトリを削除します。

IISのインストールが完了すると、wwwrootの下にデフォルトでIISHelp、IISAdmin、IISamplesなどのディレクトリが生成されます。 MSADCなど、これらのディレクトリは実用的な効果がなく、直接削除することができます。

2.危険なIISコンポーネントの削除

デフォルトのインストール後のIISコンポーネントの中には、インターネットサービスマネージャ（HTML）、SMTPサービス、NNTPサービス、サンプルページ、セキュリティ上の脅威となる可能性があるものがあります。スクリプトは、あなたのニーズに応じて削除するかどうかを決めることができます。

3. IISでファイル分類の権限を設定する

オペレーティングシステムでIISファイルに必要な権限を設定するだけでなく、IISマネージャでそれらのファイルに権限を設定する必要もあります。 Webサイト上のディレクトリを作成するには、ファイルの種類があり、その後、それらに適切な権限を割り当てる：良い戦略を設定することです。たとえば：静的ファイルのフォルダが読み取り、書き込みを拒否した許可し、ASPスクリプトフォルダは、実行することができます、EXE、読み書きすることを拒否し、他の実行可能プログラムが実行を許可、読み取りおよび書き込みを拒否しました。

4.不要なアプリケーションマッピングを削除する

デフォルトでは、ISSには多くのアプリケーションマッピングがありますが、このASPのプログラムマッピングを除き、他のファイルはWebサイトで使用されることはほとんどありません。

「インターネットサービスマネージャ」で、Webサイトのディレクトリを右クリックし、「プロパティ」を選択し、Webサイトのディレクトリのプロパティダイアログボックスの「ホームディレクトリ」ページで、「設定」ボタンをクリックすると「アプリケーションの設定」が表示されます。 [アプリケーションマッピング]ページのダイアログボックスで、不要なプログラムマップを削除します。あなたがこの種類のファイルを必要な場合は、「そのファイルをチェックチェックし、最新のパッチのパッチシステムをインストールし、適切なマッピングプログラムを選択し、「アプリケーションの拡張子マッピングの追加/編集」ダイアログボックスで、[編集]ボタンをクリックする必要があります「オプションを存在します。顧客の要求などの文書は、IISは、ファイルが存在するかどうかをチェックするときように、ファイルを解決するために定義されたダイナミックリンクライブラリマッピングを呼び出すためにのみ存在します。

5.ログセキュリティの保護

ログセキュリティは、システム全体のセキュリティを効果的に向上させるために、システムセキュリティポリシーの重要な部分です。

●IISログの保存先パスを変更する

デフォルトでは、IISログは％WinDir％\\ System32 \\ LogFilesに保存されます勿論、ハッカーは非常に明確ですので、保存先パスを変更するのが最善です。 「インターネットサービスマネージャ」の場合は、サイト、ウェブディレクトリのプロパティ]ダイアログボックスの「Webサイト」の「プロパティ」を選択したページを右クリックし、「ログを有効にする」を選択し、次の[プロパティ]をクリックしてください「一般プロパティー」ページ内のボタンは、[参照]ボタンをクリックするか、直接ログ入力ボックスへの入力パスに保存されています。

●ログアクセス権限を変更します。管理者のみがアクセスできます。

上記のセキュリティ設定のいくつかを使えば、あなたのウェブサーバーはずっと安全になると思います。