Windows Server 2003の強化IISサーバー

概要

このモジュールでは、ご使用の環境でIISサーバーを強化するために必要な手順と手順について説明します。組織の企業イントラネット内のWebサーバーおよびアプリケーションに対して包括的なセキュリティ保護を提供するには、各Microsoftインターネットインフォメーションサービス（IIS）サーバー、およびそれらのサーバー上で実行されている各Webサイトとアプリケーションを接続から保護する必要があります。クライアントコンピュータへの侵害さらに、これらすべてのIISサーバー上で実行されているWebサイトおよびアプリケーションは、企業イントラネット内の他のIISサーバー上で実行されているWebサイトおよびアプリケーションから保護する必要があります。

悪意のあるユーザーや攻撃者に抵抗するためのイニシアチブをとるために、既定では、IISはWindows Server 2003ファミリの製品にインストールされていません。 IISはもともと非常に安全な"ロック"モードでインストールされていました。たとえば、既定では、IISは最初は静的コンテンツのみを提供します。 Active Server Pages（ASP）、ASP.NET、Server Side Includes（SSI）、Web分散オーサリングとバージョン管理（WebDAV）発行、およびMicrosoft FrontPageなど。 Server Extensionsなどの機能は、管理者が有効にしている場合にのみ機能します。これらの機能とサービスは、インターネットインフォメーションサービスマネージャ（IISマネージャ）の[Webサービス拡張]ノードから有効にできます。

IISマネージャには、IISを簡単に管理するためのグラフィカルユーザーインターフェイス（GUI）があります。ファイルとディレクトリの管理、アプリケーションプールを構成する機能、およびセキュリティ、パフォーマンス、信頼性に関する多くの機能が含まれています。

この章の次のセクションでは、会社のイントラネット上のHTMLコンテンツを保持するIISサーバーのセキュリティを強化するために適用できるさまざまなセキュリティ強化設定について詳しく説明します。ただし、IISサーバーが常に安全な状態にあるようにするには、セキュリティの監視、検出、および応答の手順も実行する必要があります。

監査ポリシー設定

このガイドで定義されている3つの環境では、IISサーバーの監査ポリシー設定はMSBPを介して構成されています。 MSBPの詳細については、「Windows Server 2003サーバー用のメンバサーバーベースラインを作成するモジュール」を参照してください。 MSBP設定により、関連するすべてのセキュリティ監査情報がすべてのIISサーバーに確実に記録されます。

ユーザー権利の割り当て

このガイドで定義されている3つの環境におけるIISサーバーのユーザー権利の割り当てのほとんどは、MSBPを介して構成されています。 MSBPの詳細については、「Windows Server 2003サーバー用のメンバサーバーベースラインを作成するモジュール」を参照してください。 MSBPとIncremental IIS Group Policyの違いについては、次のセクションで説明します。

ネットワーク経由でコンピュータへのアクセスを拒否する

メンバーサーバーの既定の設定古いクライアントエンタープライズクライアント高度なセキュリティ

SUPPORT_388945a0

匿名ログイン、組み込みの管理者アカウント; Support_388945a0;ゲスト;すべてのOS以外のサービスアカウント

匿名ログイン;組み込みの管理者アカウント; Support_388945a0;ゲスト;すべてのOS以外のサービスアカウント

匿名ログイン;組み込みの管理者アカウント; Support_388945a0; Guest; OS以外のすべてのサービスアカウント

注：匿名ログイン、組み込みの管理者アカウント、Support_388945a0、Guest、およびすべてのOS以外のサービスアカウントは、セキュリティテンプレートに含まれていません。これらのアカウントとグループには、組織内の各ドメインに対して一意のセキュリティ識別子（SID）があります。したがって、手動で追加する必要があります。

'ネットワーク経由でこのコンピュータへのアクセスを拒否>この設定により、ネットワーク経由でコンピュータにアクセスできないユーザーが決まります。 。これらの設定は、サーバーメッセージブロック（SMB）プロトコル、ネットワーク基本入出力システム（NetBIOS）、共通インターネットファイルシステム（CIFS）、ハイパーテキスト転送プロトコル（HTTP）、およびコンポーネントオブジェクトモデル（COM +）を含む多数のネットワークプロトコルを拒否します。 。ユーザーアカウントが両方のポリシーを適用するとき、この設定は、「ネットワーク経由でこのコンピュータへのアクセスを許可する」設定を上書きします。このユーザー権利を他のグループに対して構成することで、ユーザーが自分の環境で委任管理タスクを実行する能力を制限できます。

モジュール作成のためのモジュールサーバーベースラインのWindows Server 2003サーバーでは、最大限のセキュリティを提供するために、この特権が割り当てられているユーザーおよびグループの一覧にGuestsグループを含めることをお勧めします。ただし、IISへの匿名アクセスに使用されるIUSRアカウントは、既定でGuestsグループのメンバです。このガイドでは、必要に応じてIISサーバーへの匿名アクセスを確実に構成できるように、増分のIISグループポリシーからGuestsグループを消去することをお勧めします。そのため、このガイドで定義されている3つの環境すべてで、IISサーバーの「ネットワーク経由でのこのコンピュータへのアクセスを拒否する」設定を含めるように設定されています：匿名ログイン、ビルトイン管理者、Support_388945a0、ゲスト、およびすべてのオペレーティングシステム以外のサービス。アカウント

セキュリティオプション

このガイドで定義されている3つの環境では、IISサーバーのセキュリティオプションはMSBPを通じて構成されています。 MSBPの詳細については、「Windows Server 2003サーバー用のメンバサーバーベースラインを作成するモジュール」を参照してください。 MSBP設定により、エンタープライズIISサーバーで正しいイベントログ設定が一律に構成されます。