[運用]
|
 |
|
|
|
対策その7: FTP専用アカウントだけにFTPサイトへのアクセスを許可する
| 効果の期待できる攻撃手法 |
| 辞書攻撃 |
| 脆弱性攻撃 |
FTPサイトが多くのユーザー・アカウントからアクセスできる場合、2種類の危険がある。1つは、対象アカウントが多い分、辞書攻撃によるパスワード解析の成功確率が高まることだ。もう1つは、辞書攻撃の成功あるいはアカウント/パスワードの窃取によって攻撃者がログオン可能になってしまったとき、そのアカウントの権限次第でFTPサイト(とマップされたWebサイト)以外にもアクセスされて被害が広がることだ。特に「Administrator」アカウントは権限が絶大で、名前もよく知られていて攻撃者に狙われやすい分、FTPサイトにアクセスさせるには非常に危険である。
そこで、次の方針に従ってFTPサイトにアクセス可能なアカウントを制限する:
- FTPサイトへのアクセスが可能な専用アカウントを新設する
- FTP専用アカウントの権限を最小限に制限する
- そのほかのアカウントは全面的にFTPサイトへのアクセスを禁止する
- FTP専用アカウントにWebサイトのコンテンツ書き換えを許可する
■FTP専用アカウント/グループを作成する
まずは更新作業を行うユーザーごとにFTP専用アカウントを作成する。1つのアカウントを複数のユーザーで共有すると、攻撃されたときの侵入経路の特定などが難しくなるので、面倒でもユーザーごとにアカウントを用意した方がよい。アカウントの作成方法は通常のユーザー・アカウントと変わらない。
 |
||||||||||||
| FTP専用ユーザー・アカウントを作成する | ||||||||||||
| 管理ツールの[コンピュータの管理]の左ペインから[システム ツール]−[ローカル ユーザーとグループ]−[ユーザー]を右クリックし、コンテキスト・メニューから[新しいユーザー]を選ぶと、この画面が表示される。 | ||||||||||||
|
次に、複数のFTP専用アカウントを束ねるために、FTP専用グループ(ここでは「FTP Users」)を作成する。アクセス権などはこのグループに対して設定する。
 |
||||||||||||
| FTP専用グループを作成してユーザーを追加する | ||||||||||||
| ユーザー・アカウント作成と同様、[コンピュータの管理]の左ペインから[システム ツール]−[ローカル ユーザーとグループ]−[グループ]を右クリックし、コンテキスト・メニューから[新しいグループ]を選ぶと、この画面が表示される。 | ||||||||||||
|
■FTP専用アカウントの権限を制限する
作成したユーザー・アカウントはデフォルトでUsersグループに所属している。このままだとUsersグループに許可されている各種リソースへのアクセスが可能なので、Usersグループをリストから削除する。
 |
|||||||||
| FTP専用ユーザー・アカウントからUsersグループを削除する | |||||||||
| [コンピュータの管理]の左ペインから[システム ツール]−[ローカル ユーザーとグループ]−[ユーザー]を選び、右ペインから対象ユーザー・アカウントのプロパティを開いて[所属するグループ]タブを選ぶと、この画面が表示される。 | |||||||||
|
■FTP専用アカウントだけにFTPサイトへのアクセスを許可する
FTPサイトへアクセスするユーザーを制限するには、前のページの「対策その5: FTPサイトのルート・ディレクトリをWebサイトから分離する」で作成したFTPサイトのルートにマップしたディレクトリのアクセス権を変更する。具体的には、FTP専用アカウントだけに読み出しの権限を与え、そのほかのアカウントから許可を剥奪する。以下、NTFSを前提に説明する。
デフォルトではディレクトリのアクセス権はNTFSのルート・ディレクトリから継承されていて変更できないので、この継承を無効にする。それにはまず、WindowsエクスプローラにてFTPサイトのルートにマップしたディレクトリ(ここでは「c:\ftpdummy」)を右クリックし、コンテキスト・メニューで[プロパティ]を選び、[セキュリティ]タブを選ぶ。次に、右下にある[詳細]ボタンをクリックすると以下の画面が表示されるので、[親からの継承可能なアクセス許可をこのオブジェクトと子オブジェクトすべてに伝達できるようにし、……]のチェックを外してオフにする。
 |
||||||||||||
| ディレクトリのアクセス権の詳細設定画面 | ||||||||||||
| WindowsエクスプローラにてFTPのルートにマップしたディレクトリのプロパティを開き、[セキュリティ]タブの[詳細設定]ボタンをクリックするとこの画面が表示される。 | ||||||||||||
|
ディレクトリのプロパティの[セキュリティ]タブに戻ったら、FTP専用グループ(以下の画面では[FTP Users])に[読み取りと実行]の許可を与える。ほかのグループやアカウントはすべてリストから削除する。
 |
||||||||||||
| FTPサイトのルート・フォルダのアクセス権をFTP専用グループだけに許可する | ||||||||||||
| 詳細設定画面でアクセス権の継承を切ると、各アカウント/グループのアクセス権設定を自由に変更できるようになる。 | ||||||||||||
|
最終的なアクセス権の許可設定は以下のようになる。
 |
| FTPサイトのルート・ディレクトリの最終的なアクセス権設定 |
| これは設定完了後の最終的なアクセス権の詳細設定。これでFTP Usersグループに所属するアカウントだけがFTPサイトにアクセスできる一方で、ほかのユーザーは管理者であってもアクセスが拒否される。 |
■FTP専用アカウントにWebサイトのディレクトリへの書き込みを許可する
最後に、FTP専用アカウントに対して明示的にWebサイトのコンテンツ更新を許可する必要がある。デフォルトでWebサイトのマップ先ディレクトリには、AdministratorsグループやUsersグループなどに対して何らかのアクセス許可が与えられている。しかし、これらのグループに属していないFTP専用アカウントはこのままだとまったくアクセスできないので、コンテンツを更新できるようにアクセス許可を与える。それにはWindowsエクスプローラでWebサイトをマップしたルート・ディレクトリのプロパティを開き、[セキュリティ]タブにてFTP専用グループ(以下の画面では「FTP Users」)に「変更」の許可を与える。
 |
|||||||||
| Webサイトのルート・ディレクトリに対して、FTP専用グループに[変更]のアクセス許可を与える | |||||||||
|
以上でFTP専用アカウントに関わるアクセス権の設定は完了である。 次のページでは、攻撃時に記録されるログと、ほかのFTPサーバ・セキュリティ対策について説明する。
 |
 |
| INDEX | ||
| [運用]これだけは押さえておきたいIIS FTPサーバ・セキュリティ(前編) | ||
| 1.FTPサーバに対する攻撃とは? | ||
| 2.「既定の FTP サイト」は使わない | ||
| 3.接続元IPアドレスや同時接続数を制限する | ||
| [運用]これだけは押さえておきたいIIS FTPサーバ・セキュリティ(後編) | ||
| 1.FTPサイトはWebサイトから分離して設置する | ||
 |
2.FTPサイトへのアクセスはFTP専用アカウントのみ許す | |
| 3.FTPサイトのログから攻撃の痕跡を探し出す | ||
 |
||
 |
運用 |
- Azure Web Appsの中を「コンソール」や「シェル」でのぞいてみる (2017/7/27)
AzureのWeb Appsはどのような仕組みで動いているのか、オンプレミスのWindows OSと何が違うのか、などをちょっと探訪してみよう - Azure Storage ExplorerでStorageを手軽に操作する (2017/7/24)
エクスプローラのような感覚でAzure Storageにアクセスできる無償ツール「Azure Storage Explorer」。いざというときに使えるよう、事前にセットアップしておこう - Win 10でキーボード配列が誤認識された場合の対処 (2017/7/21)
キーボード配列が異なる言語に誤認識された場合の対処方法を紹介。英語キーボードが日本語配列として認識された場合などは、正しいキー配列に設定し直そう - Azure Web AppsでWordPressをインストールしてみる (2017/7/20)
これまでのIaaSに続き、Azureの大きな特徴といえるPaaSサービス、Azure App Serviceを試してみた! まずはWordPressをインストールしてみる
 |
|
|
|
|
注目のテーマ
Windows Server Insider 記事ランキング
転職/派遣情報を探す
