運用
IIS安全対策ガイド

6.IIS Lockdown ToolとURLScanの導入

井上孝司
2002/06/08


 最後に、「IIS Lockdown Tool」と「URLScan」を導入する。

 IIS Lockdown Toolとは、IISの安全性を向上させるために必要な設定を一括して行うためのツールで、利用形態に応じた「テンプレート」を選択するだけで、必要な設定やファイルの削除作業などを自動的に行ってくれるものだ。また、サンプル・ファイルや不要なスクリプト・マッピングの削除も、選択したテンプレートにあわせて、一括して自動的に行ってくれる。

 また、URLScanとは、IIS Lockdown Toolと同時にインストールされる追加機能で、クライアントから送信されてくるHTTPリクエストの内容をフィルタリングし、不正アクセスの可能性が高いリクエストを判別して遮断する機能を提供する。例えばCode Redワームが送信するような、バッファ・オーバーフローを引き起こすことを狙った異常に長いHTTPリクエストが遮断対象となる。URLScanは、IIS Lockdown Toolのインストール時に、インストールするかどうかを選択できる。

 このIIS Lockdown Toolは、マイクロソフトの「IIS Lockdownツール」のページから入手できる。

 ダウンロードしてきた「iislockd.exe」を実行すると、初期画面・使用許諾契約の画面に続いて、テンプレートの選択画面が表示される。これは、IISの用途に応じてあらかじめ「テンプレート」が用意されていて、簡単に最適な設定が行われるようにするためのもので、以下のテンプレートがある。

テンプレート名
Small Business Server 2000
Exchange Server 5.5(Outlook Web Access)
Exchange Server 2000(OWA、PF Management、IM、SMTP、NNTP)
SharePoint Portal Server
FrontPage Server Extensions
SharePoint Team Services
BizTalk Server 2000
Commerce Server 2000
Proxy Server
Static Web Server
Dynamic Web Server(ASP enabled)
Other(Server that does not match any of the listed roles)
Server that does not require IIS
IIS Lockdown Toolが持っているテンプレートの一覧

 それでは実際にIIS Lockdownツールのインストールを行ってみよう。ウィザードの最初では、使用するテンプレートを選択する。

IIS Lockdown Toolが持っているテンプレートの一覧
IIS Lockdown Toolを使うと、Webサーバの用途に応じて、IIS各部の設定を自動的に行ってくれる(不要な機能を使わないように設定してくれる)。
  表示されている[Server Templates]から、用途に応じて適切なものを選択する
  [View template settings]チェック・ボックスをオンにすると、あとから設定内容が確認できる。
  テンプレートを選択したら、次へ進む。

 その次の画面では、使用されるサービスだけがチェックされた画面が表示される。これは、選択したテンプレートに応じて必要なサービスが自動的にチェックされたもので、特に設定を変更する必要はなく、そのまま先に進めばよい。

動作させるサービスを選択する画面
選択したテンプレートに応じて、ここでは自動的に必要な機能だけが選択されている。
  利用するサービスだけチェックすること。これはHTTPプロトコル(Webサーバ)。
  これはFTPプロトコル。不要な場合はチェックを外すこと。
  この[Remove unselected services]チェック・ボックスをオンにすると、インストールされているにもかかわらず選択されなかったサービスが、IIS Lockdown Toolによって「削除」される。
  次へ進むにはこれをクリックする。

 その次の画面では、拡張子に対するスクリプトのマッピングを設定する。ここで注意が必要なのは、この画面でチェック・ボックスをオンにしたものが「無効にされる」という点だ。例えばテンプレートとして[Dynamic Web Server (ASP enabled)]を選択していた場合は、次のように、[Active Server Pages (.asp)]だけチェックがオフになっている。その結果、.aspのマッピングは有効なままとなる。

無効にするスクリプト・マッピングを選択する
ここでチェック・ボックスをオンにすると、それに対するスクリプト・マッピングが「無効」にされる。
  チェック・ボックスをオフにすると、それに対するスクリプト・マッピングは有効なままになる。これは.aspファイル(ASP)に対するマッピング。
  チェック・ボックスをオンにすると、それに対するスクリプト・マッピングが削除される。
  次へ進むにはこれをクリックする。

 次の画面では、IISの機能やファイルのうち、削除するものを指定する。またこれに加えて、システム・ユーティリティやWebコンテンツ用のフォルダに対する適切なアクセス権の自動設定と、WebDAV機能の無効化も設定できる。

 このうち、ファイルの削除は手作業でフォルダ、あるいはファイルを個別に削除するという方法も使えるが、そのほかの機能はIIS Lockdown Toolを使用する必要があるので、IIS Lockdown Toolでまとめて処理する方が楽だ。

削除するIISコンポーネントの指定
この画面では、不要なIISの機能やファイルを削除するための指示を行う。
  削除する機能やファイルの選択。ここにはシステムにインストールされているコンポーネントが表示されているので、チェック・ボックスをオンにすると、それが削除される。
  アクセス権の設定を行うための指定。匿名アクセス用アカウントによる、これらの機能へのアクセスを禁止するために使用する。
  HTTPプロトコル経由でファイルをやりとりするWebDAV機能を無効にするためにはこのチェック・ボックスをオンにする。
  次へ進むにはこれをクリックする。

 ダイアログの中段にある[Set file permissions to prevent...]とは、マイクロソフトの日本語Webサイトなどで「システム・ユーティリティやWebコンテンツ用のフォルダに対する適切なアクセス権の自動設定」と訳されているものに相当する。

 これは、「CMD.EXE」などのシステム・ユーティリティの実行権限と、Webコンテンツ用のフォルダに対する書き込み権限を、匿名アクセス用アカウントから削除する設定を行うものだ。それぞれ、個別に削除するかどうかを指定でき、チェックをオンにした場合に削除が実行される。

 次の画面ではURLScanをインストールするかどうかを選択する。URLScanとは、先に述べたように、HTTPリクエストに含まれるURLの内容を調べて、正当なリクエストとは異なる内容のURLを持つリクエストを拒否する機能である。詳細については「URLScan セキュリティ ツール」のページを参照していただきたい(ただしこのURLScan機能はIIS Lockdown Toolに統合されているので、このツールだけを個別にダウンロードしてインストールすることはできない)。

URLScanの設定
URLScanをインストールするかどうかを指定する。これをインストールすると、HTTPリクエストに含まれるURLの内容を調べて、正当なリクエストとは異なる内容のURLを持つリクエストを拒否することができる。
  URLScanをインストールするにはこれをチェックする。特に問題がなければこれを有効にするべきであろう。
  次へ進むにはこれをクリックする。

 最後に、ここまで選択してきた設定内容が一覧表示されるので、リストをスクロールさせて内容を確認し、問題がなければ[次へ]をクリックして設定を実行する。

IIS Lockdown Toolの最終確認画面
最後にIIS Lockdown Toolで実行される作業内容の一覧が表示されるので、それを確認しておく。
  実行される作業内容の一覧。
  これをクリックすると実際に作業が行われる。そして最後に表示される[完了]ボタンをクリックするとすべての作業が終了する。

 IIS Lockdown Toolの実行完了後、IEを起動して、アドレス・バーに「http://localhost/」と入力してみよう。以下に示したのが接続後の画面だが、IIS Lockdown ToolによってIISのヘルプ・ファイルが削除されたので、ヘルプ・ファイルを表示するように指定された右側のIEの画面は「ファイルが見つかりません」というエラーになっている。

 また、左側のIEでは「http://localhost/localstart/localstart.asp」のコンテンツが表示されているので、ASPの実行は可能になっていることが確認できる。もしASPの動作を無効にした場合は、こちらもコンテンツが表示されなくなるはずだ。

 これにより、必要最低限の機能だけを使える状態でIISが実行されていることが確認できる。

 また、これまで行ってきた手順により、既知のセキュリティ・ホールについても対策がなされているので、初期状態と比較すると、大幅に安全性が向上しているといえる。

IIS Lockdown Tool実行後の確認画面
IIS Lockdown Toolによって設定が完了したあと、IEで「http://localhost/」を表示させたところ。右側のヘルプファイルは削除されているので、表示されない。
  .asp拡張子に対するスクリプト・マッピングは有効なままなので、こちらのウィンドウにはASPファイルが表示されている。
  こちらのウィンドウにはヘルプ・ファイルが表示されるはずだが、IIS
Lockdown Toolによって削除されたのでエラーとなっている。

最後に

 このように、安全・確実に運用できるIISの環境を構築するには、OSをセットアップしたあとで行わなければならない作業がかなり多い。しかし、セキュリティ・ホールの存在とそれに対する対策は、程度の差はあれ、どのようなソフトウェアにもつきものであるという点を認識しておく必要がある。

 むしろ、必要な情報やツールがだれでもアクセスしやすい形で提供されていることを考えると、対策する手間さえ惜しまなければ、IISは状況が恵まれているという考え方もできるかもしれない。End of Article

関連リンク
Microsoftセキュリティ
Microsoft TechNet セキュリティ情報一覧
マイクロソフト プロダクト・セキュリティ警告サービス
セキュリティ・ツールとチェックリスト
IIS Lockdown Tool
 
 

 INDEX
  [運用]IIS安全対策ガイド
    1.Windows 2000とIISのインストール
    2.最新のService PackとSRPの適用
    3.必要な修正プログラムの確認と組み込み
    4.Windows 2000 Serverシステムの基本セキュリティ設定
    5.IIS5の基本セキュリティ設定
  6.IIS Lockdown ToolとURLScanの導入
 
 運用

@IT Special

- PR -

TechTargetジャパン

Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

イベントカレンダー

PickUpイベント

- PR -

アクセスランキング

もっと見る

ホワイトペーパーTechTargetジャパン

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間
ソリューションFLASH