[運用]
これだけは押さえておきたいIIS FTPサーバ・セキュリティ(後編)

2.FTPサイトへのアクセスはFTP専用アカウントのみ許す

デジタルアドバンテージ 島田 広道
2010/05/06
Page1 Page2 Page3

対策その7: FTP専用アカウントだけにFTPサイトへのアクセスを許可する

効果の期待できる攻撃手法
辞書攻撃
脆弱性攻撃

  FTPサイトが多くのユーザー・アカウントからアクセスできる場合、2種類の危険がある。1つは、対象アカウントが多い分、辞書攻撃によるパスワード解析の成功確率が高まることだ。もう1つは、辞書攻撃の成功あるいはアカウント/パスワードの窃取によって攻撃者がログオン可能になってしまったとき、そのアカウントの権限次第でFTPサイト(とマップされたWebサイト)以外にもアクセスされて被害が広がることだ。特に「Administrator」アカウントは権限が絶大で、名前もよく知られていて攻撃者に狙われやすい分、FTPサイトにアクセスさせるには非常に危険である。

 そこで、次の方針に従ってFTPサイトにアクセス可能なアカウントを制限する:

  • FTPサイトへのアクセスが可能な専用アカウントを新設する
  • FTP専用アカウントの権限を最小限に制限する
  • そのほかのアカウントは全面的にFTPサイトへのアクセスを禁止する
  • FTP専用アカウントにWebサイトのコンテンツ書き換えを許可する

FTP専用アカウント/グループを作成する
  まずは更新作業を行うユーザーごとにFTP専用アカウントを作成する。1つのアカウントを複数のユーザーで共有すると、攻撃されたときの侵入経路の特定などが難しくなるので、面倒でもユーザーごとにアカウントを用意した方がよい。アカウントの作成方法は通常のユーザー・アカウントと変わらない。

FTP専用ユーザー・アカウントを作成する
管理ツールの[コンピュータの管理]の左ペインから[システム ツール]−[ローカル ユーザーとグループ]−[ユーザー]を右クリックし、コンテキスト・メニューから[新しいユーザー]を選ぶと、この画面が表示される。
ユーザー名を指定する。類推の簡単な既知の単語や短い名称は避け、辞書攻撃が簡単に成功しないようにする。長さは最低12文字にしたい。
パスワードも類推が難しく、記号を混ぜつつ12文字以上のものを指定する。
これをオンにする。
これをクリックするとユーザー・アカウントが作成される。

 次に、複数のFTP専用アカウントを束ねるために、FTP専用グループ(ここでは「FTP Users」)を作成する。アクセス権などはこのグループに対して設定する。

FTP専用グループを作成してユーザーを追加する
ユーザー・アカウント作成と同様、[コンピュータの管理]の左ペインから[システム ツール]−[ローカル ユーザーとグループ]−[グループ]を右クリックし、コンテキスト・メニューから[新しいグループ]を選ぶと、この画面が表示される。
グループ名を入力する。
これをクリックして、作成しておいたFTP専用アカウントを加えていく。
グループに追加したアカウントはここに表示される。
これをクリックするとグループが作成される。

FTP専用アカウントの権限を制限する
  作成したユーザー・アカウントはデフォルトでUsersグループに所属している。このままだとUsersグループに許可されている各種リソースへのアクセスが可能なので、Usersグループをリストから削除する。

FTP専用ユーザー・アカウントからUsersグループを削除する
[コンピュータの管理]の左ペインから[システム ツール]−[ローカル ユーザーとグループ]−[ユーザー]を選び、右ペインから対象ユーザー・アカウントのプロパティを開いて[所属するグループ]タブを選ぶと、この画面が表示される。
これを選ぶ。
これを選ぶ。
これをクリックしてのグループをリストから削除する。

FTP専用アカウントだけにFTPサイトへのアクセスを許可する
  FTPサイトへアクセスするユーザーを制限するには、前のページの「対策その5: FTPサイトのルート・ディレクトリをWebサイトから分離する」で作成したFTPサイトのルートにマップしたディレクトリのアクセス権を変更する。具体的には、FTP専用アカウントだけに読み出しの権限を与え、そのほかのアカウントから許可を剥奪する。以下、NTFSを前提に説明する。

 デフォルトではディレクトリのアクセス権はNTFSのルート・ディレクトリから継承されていて変更できないので、この継承を無効にする。それにはまず、WindowsエクスプローラにてFTPサイトのルートにマップしたディレクトリ(ここでは「c:\ftpdummy」)を右クリックし、コンテキスト・メニューで[プロパティ]を選び、[セキュリティ]タブを選ぶ。次に、右下にある[詳細]ボタンをクリックすると以下の画面が表示されるので、[親からの継承可能なアクセス許可をこのオブジェクトと子オブジェクトすべてに伝達できるようにし、……]のチェックを外してオフにする。

ディレクトリのアクセス権の詳細設定画面
WindowsエクスプローラにてFTPのルートにマップしたディレクトリのプロパティを開き、[セキュリティ]タブの[詳細設定]ボタンをクリックするとこの画面が表示される。
これを選ぶ。
このチェックを外してオフにする。
このダイアログ・ボックスが表示されたら、このボタンをクリックして、親からのアクセス権をコピーしておく。
これをクリックするとアクセス権の継承が外され、自由にアクセス権を設定できるようになる。

 ディレクトリのプロパティの[セキュリティ]タブに戻ったら、FTP専用グループ(以下の画面では[FTP Users])に[読み取りと実行]の許可を与える。ほかのグループやアカウントはすべてリストから削除する。

FTPサイトのルート・フォルダのアクセス権をFTP専用グループだけに許可する
詳細設定画面でアクセス権の継承を切ると、各アカウント/グループのアクセス権設定を自由に変更できるようになる。
これをクリックし、FTP専用グループ(「FTP Users」)を追加する。
追加したFTP専用グループを選択する
これらにチェックが入ってオンになっており、そのほかはオフであることを確認する。
これらのアカウント/グループを1つずつ選んで[削除]ボタンをクリックすることで、不要なアカウント/グループをリストから削除する。

 最終的なアクセス権の許可設定は以下のようになる。

FTPサイトのルート・ディレクトリの最終的なアクセス権設定
これは設定完了後の最終的なアクセス権の詳細設定。これでFTP Usersグループに所属するアカウントだけがFTPサイトにアクセスできる一方で、ほかのユーザーは管理者であってもアクセスが拒否される。

FTP専用アカウントにWebサイトのディレクトリへの書き込みを許可する
 最後に、FTP専用アカウントに対して明示的にWebサイトのコンテンツ更新を許可する必要がある。デフォルトでWebサイトのマップ先ディレクトリには、AdministratorsグループやUsersグループなどに対して何らかのアクセス許可が与えられている。しかし、これらのグループに属していないFTP専用アカウントはこのままだとまったくアクセスできないので、コンテンツを更新できるようにアクセス許可を与える。それにはWindowsエクスプローラでWebサイトをマップしたルート・ディレクトリのプロパティを開き、[セキュリティ]タブにてFTP専用グループ(以下の画面では「FTP Users」)に「変更」の許可を与える。

Webサイトのルート・ディレクトリに対して、FTP専用グループに[変更]のアクセス許可を与える
これをクリックし、FTP専用グループ(「FTP Users」)を追加する。
追加したFTP専用グループを選択する。
ここにチェックを入れてオンにする。自動的に「書き込み」のチェックもオンになるはずだ。

 以上でFTP専用アカウントに関わるアクセス権の設定は完了である。 次のページでは、攻撃時に記録されるログと、ほかのFTPサーバ・セキュリティ対策について説明する。


 INDEX
  [運用]これだけは押さえておきたいIIS FTPサーバ・セキュリティ(前編)
    1.FTPサーバに対する攻撃とは?
    2.「既定の FTP サイト」は使わない
    3.接続元IPアドレスや同時接続数を制限する
   
  [運用]これだけは押さえておきたいIIS FTPサーバ・セキュリティ(後編)
    1.FTPサイトはWebサイトから分離して設置する
  2.FTPサイトへのアクセスはFTP専用アカウントのみ許す
    3.FTPサイトのログから攻撃の痕跡を探し出す

 運用

@IT Special

- PR -

TechTargetジャパン

Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

イベントカレンダー

PickUpイベント

- PR -

アクセスランキング

もっと見る

ホワイトペーパーTechTargetジャパン

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間
ソリューションFLASH