IISは、非常に安全なWebサーバー

IIS（Internet Information Server）の便利さと使いやすさを構築しており、最も人気のあるWebサーバーソフトウェアの1つです。しかし、IISのセキュリティは心配されています。安全なWebサーバーを構築するためにIISを使用する方法は、多くの人々が気にしているトピックです。

セキュリティシステムの構築

安全で信頼性のあるWebサーバーを作成するには、Windows 2000とIISにデュアルセキュリティを実装する必要があります。これは、IISユーザーもWindows 2000ユーザーとIISディレクトリであるためです。アクセス許可はWindows NTFSファイルシステムのアクセス許可に依存するため、IISセキュリティをセキュリティで保護するための最初の手順は、Windows 2000オペレーティングシステムのセキュリティを確保することです。この記事は、www.xker.com（英語）で公開されています。 > 1. NTFSファイルシステムを使ってファイルとディレクトリを管理します。

2.デフォルトの共有を閉じます。

レジストリエディタを開き、 "HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Services \\ LanmanServer \\ Parameters"オプションを展開して、キー値AutoShareServerを追加し、REG_DWORDと入力します。 0です。これにより、デフォルトの共有を完全にシャットダウンします。

3.共有のアクセス許可を変更する

新しい共有を設定した直後に、Webサーバーの訪問者が不要なアクセス許可を取得しないように、Everyoneの既定のアクセス許可を変更します。

4.不正なユーザーによる攻撃を防ぐために、システム管理者アカウントの名前を変更します。

[マイコンピュータ]を右クリックし、[管理]→ [コンピュータの管理]プログラムを起動し、[ローカルユーザーとグループ]で[管理者アカウント]を右クリックします（管理者）'→ [名前の変更]を選択し、管理者アカウントを一般的なユーザー名に変更します。

5. TCP /IPでNetBIOSを無効にします。

デスクトップの[ネットワークコンピュータ]→ [プロパティ]→ [ローカルエリア接続]→ [プロパティ]を右クリックして開きます。 [ローカル接続のプロパティ]ダイアログボックス[インターネットプロトコル（TCP /IP）] - [プロパティ] - [詳細設定] - [WINS]を選択し、[TCP /IP上のNetBIOSを無効にする]を選択し、TCP /IPを解放できるNetBIOS

6. TCP /IPで受信接続を制御します。

デスクトップを右クリックして[ネットワークコンピュータ]→ [プロパティ]→ [ローカル接続]→ [プロパティ]、 [ローカル接続のプロパティ]ダイアログを開きます。 [インターネットプロトコル（TCP /IP）] - [プロパティ] - [詳細設定]→ [オプション]をクリックし、一覧から[TCP /IPフィルタ]をクリックして選択します。 [プロパティ]ボタンをクリックし、[許可するのみ]を選択して[追加]ボタンをクリックし、ポート80のみを入力します。

7.サービス拒否攻撃のリスクを軽減するためにレジストリを変更します。

レジストリを開く：HKLM \\ Systemの下のSynAttackProtectの値を2に変更します。

CurrentControlSet \\ Services \\ Tcpip \\ Parametersに、接続がタイムアウトに対してより速く応答するようにします。

IIS自体のセキュリティを確保する

IISセキュリティのインストール

安全なIISサーバーを構築するには、インストール時からセキュリティの問題を考慮する必要があります。

1.システムパーティションにIISをインストールしないでください。

2. IISをインストールするためのデフォルトパスを変更します。

3. WindowsとIIS用の最新のパッチを当てます。

IISのセキュリティ設定

1.不要な仮想ディレクトリを削除します。

IISがインストールされると、wwwrootの下にデフォルトでIISHelp、IISAdmin、IISamplesなどのディレクトリが生成されます。 MSADCなど、これらのディレクトリは実質的な効果がなく、直接削除することができます。

2.危険なIISコンポーネントの削除

デフォルトのインストール後のIISコンポーネントの中には、インターネットサービスマネージャ（HTML）、SMTPサービス、NNTPサービス、サンプルページなどのセキュリティ上の脅威となる可能性があるものがあります。スクリプトは、あなたのニーズに応じて削除するかどうかを決めることができます。

3. IISでファイル分類の権限を設定する

オペレーティングシステムでIISファイルに必要な権限を設定するだけでなく、IISマネージャでそれらのファイルに権限を設定する必要もあります。適切な設定方法は、Webサイト上にさまざまな種類のファイル用のディレクトリを作成し、それらに適切な権限を割り当てることです。たとえば、静的ファイルフォルダは書き込みの読み取りと拒否を許可し、ASPスクリプトフォルダは実行、書き込みと読み取りの拒否を許可し、EXEなどの実行可能プログラムは実行と読み取りと書き込みの拒否を許可します。

4.不要なアプリケーションマッピングを削除する

このASPマッピングを除き、Webサイトでは他のファイルが使用されることはほとんどありません。

[インターネットサービスマネージャ]で、Webサイトのディレクトリを右クリックして[プロパティ]を選択し、[Webサイトのディレクトリのプロパティ]ダイアログボックスの[ホームディレクトリ]ページで[構成]ボタンをクリックします。 [アプリケーションマッピング]ページの[アプリケーション設定]ダイアログボックスで、不要なプログラムマッピングを削除します。この種類のファイルが必要な場合は、最新のシステムパッチをインストールし、対応するプログラムマップを選択してから[編集]ボタンをクリックし、[アプリケーション拡張子マッピングの追加/編集]ダイアログボックスで[']をオンにします。ファイルが'オプションで存在するかどうかを確認してください。このように、クライアントがそのようなファイルを要求すると、IISはまずファイルが存在するかどうかを確認し、ファイルが存在すると、プログラムマップで定義されているダイナミックリンクライブラリを呼び出して解析しません。

5.ログセキュリティの保護

ログセキュリティは、システム全体のセキュリティを効果的に向上させるために、システムセキュリティポリシーの重要な部分です。

●IISログの保存先パスを変更する

デフォルトでは、IISログは％WinDir％\\ System32 \\ LogFilesに保存されます勿論、ハッカーは非常に明確なので、保存先パスを変更するのが最善です。 [インターネットサービスマネージャ]で、Webサイトディレクトリを右クリックして[プロパティ]を選択し、[Webサイトディレクトリのプロパティ]ダイアログボックスの[Webサイト]ページで、[ログイン]ダイアログボックスで[ログ記録を有効にする]を選択します。次に、その横にある[プロパティ]ボタンをクリックするか、[一般プロパティ]ページで[参照]ボタンをクリックするか、入力ボックスにログ保存先を直接入力します。この記事は、www.xker.comに掲載されました。

●ログアクセス権を変更し、管理者のみにアクセス権を設定します。

上記のセキュリティ設定をいくつか使用すると、Webサーバーの安全性が大幅に向上します。