IISサーバーのセキュリティを保護する10のステップ

IIS（インターネットインフォメーションサービス）はハッカーのお気に入りターゲットです。したがって、IIS Webサーバーを管理する管理者にとって、サーバーのセキュリティを確保することは重要な問題です。 IIS 4.0およびIIS 5.0の既定のインストールは特にこの脆弱性の影響を受けます。

IISのセキュリティを確保するために、以下の10の手順を実行してください。

1. IISアプリケーションとデータ専用のNTFSディスクドライブを設定します。可能であれば、IUSER（またはその他の匿名ユーザー）は他のディスクドライブにアクセスすることを許可されません。匿名ユーザーが他のディスクドライブにあるプログラムにアクセスできないことが原因でアプリケーションに問題が発生した場合は、SysinternalsのFileMonを使用してユーザーがアクセスできないファイルを見つけ、そのプログラムをIISディスクドライブに移動します。で。これが不可能な場合、IUSERはファイルのみにアクセスすることを許可されています。

2.ディスクドライブにNTFSアクセス許可を設定します。Developers = Full IUSER =読み取りおよび実行のみシステムおよびadmin = Full

3.ソフトウェアファイアウォールを使用して、エンドユーザーがいないことを確認します（開発者のみ）。ポート80以外のIISマシン上の他のポートにアクセスできます。

4.マイクロソフトのツールを使用してコンピュータを保護します。IISLockdownとUrlScan。

5. IISログファイル（ログ）機能の使用を開始します。 IISレコードに加えて、可能であればファイアウォールログファイル機能も使用されます。

6.記録したログ（log）をプリセットの場所から移動し、バックアップされたことを確認します。常に別の場所にバックアップファイルがあるように、ログフォルダのバックアップを作成します。

7.攻撃者の行動を逆転させようとすると常にデータが不足するため、マシンでWindows監査機能を起動します。監視ログを使用すると、スクリプトを実行して疑わしい動作をチェックしてから管理者にレポートを送信できます。それは少し極端に聞こえますが、あなたの会社が安全性を非常に重視するならば、このアプローチは非常に有望であると言えます。失敗したアカウントログインイベントをすべて報告するための監視機能を確立します。また、以前のIISログと同様に、デフォルトの場所（c：\\ winnt \\ system32 \\ config \\ secevent.log）を別の場所に変更し、バックアップがあり、コピーしたファイルのコピーがあることを確認してください。 。

8.（さまざまな出典の）安全性に関する記事をもっと読む。他の人（私など）が言う経験に従うのではなく、できるだけIISを理解し、包括的なセキュリティアプローチを実装することが最善です。

9.IIS脆弱性メーリングリストに参加して、最新の状況を確認してください。このリストには、インターネットセキュリティシステムからのX-Forceアラートと勧告が含まれています。

10.最後に、Windows Updateを頻繁に実行し、パッチが実際にインストールされていることを再確認します。