この資料では、Microsoft インターネット インフォメーション サービス (IIS) の URLScan ユーティリティをインストールして構成する方法について順を追って説明します。この資料の手順を実行すると、マイクロソフト Web サイトから URLScan をダウンロードできます。URLScan をインストールすると、Web サーバーの安全性がさらに高まります。
先頭へ戻る
URLScan をダウンロードしてインストールする
新しいソフトウェアをインストールして Web サービスを停止または再起動するには、Web サーバーにログオンする必要があります。このため、URLScan ユーティリティをインストールするには、管理者として Web サーバーにログオンし、以下の手順を実行します。
| 1. |
以下のマイクロソフト Web サイトから、URLScan ユーティリティをダウンロードします。
|
| 2. |
[Download] をクリックします。
|
| 3. | [このプログラムをディスクに保存する] をクリックして、[OK] をクリックします (または [ファイルのダウンロード] ダイアログ ボックスで [保存] をクリックします)。
|
| 4. |
ファイルの保存場所としてデスクトップを選択し、[保存] をクリックします。
|
| 5. |
ブラウザを閉じます。
|
| 6. |
Setup.exe ファイルをダブルクリックします。
|
| 7. |
使用許諾契約書 (EULA) を読みます。EULA に同意する場合は、[Yes] をクリックします。
|
| 8. | |
| 9. |
インストールが完了したことを示すメッセージが表示されたら、[OK] をクリックします。
|
先頭へ戻る
URLScan のデフォルト構成を変更する
URLScan のデフォルト構成は FrontPage の機能を妨げることがあるため、構成を変更して FrontPage が適切に機能し、機密情報を含む FrontPage ファイルへのアクセスを拒否するように設定する必要があります。以下の手順はその変更例です。URLScan の設定の関連情報については、「
関連情報」を参照してください。
| 1. |
[スタート] ボタンを右クリックし、[エクスプローラ] をクリックします。次のフォルダに移動します。
%windir%\system32\inetsrv\urlscan
%windir% は、Windows フォルダ (C:\Windows または C:\Winnt など) です。
|
| 2. |
Urlscan.ini ファイルを右クリックし、[コピー] をクリックします。フォルダ内を右クリックし、[貼り付け] をクリックします。コピー 〜 Urlscan.ini という名前でファイルのコピーが作成されます。
|
| 3. |
Urlscan.ini ファイルをダブルクリックします。メモ帳でファイルが開かれます。
|
| 4. |
次のように変更します。
| a. |
[options] セクションで、以下の値を設定します。
[options]
UseAllowVerbs=1 ; use the [AllowVerbs] section
UseAllowExtensions=0 ; use the [DenyExtensions] section
NormalizeUrlBeforeScan=1 ; canonicalize URL before processing
VerifyNormalization=1 ; canonicalize URL twice, reject on change
AllowHighBitCharacters=0 ; deny high bit (UTF8 or MBCS) characters
AllowDotInPath=0 ; deny dots in path
EnableLogging=1 ; log activity
PerDayLogging=1 ; change log files daily
PerProcessLogging=0 ; do not change log files by process ID
RemoveServerHeader=0 ; do not remove "Server" header
AlternateServerName=
UseFastPathReject=0 ; use RejectResponseUrl or log the request
RejectResponseUrl=
AllowLateScanning=1 ; allow URLScan to be loaded low priority
| | b. |
[AllowVerbs] セクションでは、以下の値のみを使用します。これ以外の値は使用しません。
[AllowVerbs]
GET ; allow GET (most Web requests)
HEAD ; allow HEAD requests
OPTIONS ; allow OPTIONS (Web Folders need this)
POST ; allow POST (FPSE and HTML forms need this)
| | c. |
[DenyHeaders] セクションでは、以下の値のみを使用します。これ以外の値は使用しません。
[DenyHeaders]
If: ; deny (used with WebDAV)
Lock-Token: ; deny (used with WebDAV)
| | d. |
[DenyExtensions] セクションで、以下の値を設定します。
[DenyExtensions]
.asa ; deny active server application definition files
.bat ; deny batch files
.btr ; deny FrontPage dependency files
.cer ; deny x509 certificate files
.cdx ; deny dynamic channel definition files
.cmd ; deny batch files
.cnf ; deny FrontPage metadata files
.com ; deny server command-line applications
.dat ; deny data files
.evt ; deny Event Viewer logs
.exe ; deny server command-line applications
.htr ; deny IIS legacy HTML admin tool
.htw ; deny Index Server hit-highlighting
.ida ; deny Index Server legacy HTML admin tool
.idc ; deny IIS legacy database query files
.inc ; deny include files
.ini ; deny configuration files
.ldb ; deny Microsoft Access Record-Locking Information files
.log ; deny log files
.pol ; deny policy files
.printer ; deny Internet Printing Services
.sav ; deny backup registry files
.shtm ; deny IIS Server Side Includes
.shtml ; deny IIS Server Side Includes
.stm ; deny IIS Server Side Includes
.tmp ; deny temporary files
| | e. |
[DenyUrlSequences] セクションで、以下の値を設定します。
[DenyUrlSequences]
.. ; deny directory traversals
./ ; deny trailing dot on a directory name
\ ; deny backslashes in URL
: ; deny alternate stream access
% ; deny escaping after normalization
& ; deny multiple CGI processes to run on a single request
/fpdb/ ; deny browse access to FrontPage database files
/_private ; deny FrontPage private files (often form results)
/_vti_pvt ; deny FrontPage Web configuration files
/_vti_cnf ; deny FrontPage metadata files
/_vti_txt ; deny FrontPage text catalogs and indices
/_vti_log ; deny FrontPage authoring log files
| | f. |
今回の設定では、[DenyVerbs] セクションと [AllowExtensions] セクションは使用しないため、これらのセクションの設定はありません。
構成ファイルの各セクションの関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
307608 (http://support.microsoft.com/kb/307608/EN-US/) INFO: Availability of URLScan Security Tool
307608 (http://support.microsoft.com/kb/307608/JA/) [IIS]INFO: URLScan セキュリティ ツールについて
|
|
| 5. |
ファイルを保存し、メモ帳を終了します。
|
先頭へ戻る
URLScan の優先順位を変更する (オプション)
デフォルトでは、IIS の URLScan ユーティリティの優先順位は "高" です。この優先順位は、URLScan が呼び出される前にタスクを実行する必要がある他の Internet Server Application Programming Interface (ISAPI) フィルタの妨げになる場合があります。FrontPage Server Extensions (Fpexedll.dll) ISAPI フィルタもその 1 つです。ここでは、Fpexedll.dll ISAPI フィルタの実行後に URLScan を読み込むように構成する方法について説明します。この手順は、他の ISAPI フィルタを使用して URLScan を構成する場合にも簡単に適用できます。詳細については、使用している ISAPI フィルタのマニュアルを参照してください。
注 : 以下の処理を完了する前に、URLScan を優先順位の低いフィルタとして読み込むように、Urlscan.ini ファイルで AllowLateScanning=1 と正しく設定する必要があります。これを行うには、前述の「
URLScan のデフォルト構成を変更する」の手順を実行します。
| 1. |
インターネット サービス マネージャを起動します。起動するには、IIS のバージョンに応じて以下の手順を実行します。
| ? |
IIS 4.0 の場合
| a. |
[スタート] ボタンをクリックし、[プログラム] をポイントして、[Windows NT 4.0 Option Pack] をクリックします。
| | b. |
[Microsoft Internet Information Server] をクリックします。
| | c. |
[インターネット サービス マネージャ] を選択します。
|
| | ? |
IIS 5.0 の場合
| a. |
[スタート] ボタンをクリックし、[プログラム] をポイントして、[管理ツール] をクリックします。
| | b. |
[インターネット サービス マネージャ] を選択します。
|
| | ? |
IIS 5.1 の場合
| a. |
[スタート] ボタンをクリックし、[コントロール パネル] をクリックします。
| | b. |
[管理ツール] をダブルクリックします。
| | c. |
[インターネット インフォメーション サービス] をダブルクリックします。
|
|
|
| 2. |
サーバー名を右クリックし、[プロパティ] をクリックします。
|
| 3. |
[マスタ プロパティ] の [WWW サービス] オプションを選択し、[編集] をクリックします。
|
| 4. |
[ISAPI フィルタ] タブをクリックします。
|
| 5. |
[UrlScan] をクリックし、下矢印ボタンをクリックして UrlScan を Fpexedll.dll の下に移動します。
|
| 6. |
[OK] をクリックします。
|
| 7. |
もう一度 [OK] をクリックします。
|
先頭へ戻る
IIS を再起動して URLScan をアップデートする
IIS が起動すると、URLScan がメモリに読み込まれて Urlscan.ini ファイルの設定を読み取ります。そのため、IIS を再起動して新しい構成の設定を有効にする必要があります。これを行うには、IIS のバージョンに応じて以下の手順を実行します。
| ? |
IIS 4.0 の場合
| a. |
コマンド プロンプトで、次のように入力します。
NET STOP "IIS Admin Service" /Y | | b. |
停止時にいくつかの依存サービスが表示された場合は、後でこれらのサービスを再開できるように名前を記録しておきます。
| | c. |
次のメッセージが表示されたら、
IIS Admin Service サービスは正常に停止されました。
各 IIS サービスの名前を指定して再開します。これを行うには、コマンド プロンプトで以下のコマンドを入力し、各行末で Enter キーを押します。
NET START "World Wide Web Publishing Service"
NET START "Simple Mail Transport Protocol (SMTP)"
NET START "FTP Publishing Service"
| | d. |
コマンド プロンプトを終了します。
|
|
| ? |
IIS 5.0 の場合
| a. |
サーバー名を右クリックし、[IIS を再起動します] をクリックします。
| | b. |
[Your Computer のインターネット サービスを再起動します] をクリックします。
| | c. |
[OK] をクリックします。
|
|
| ? |
IIS 5.1 の場合
| a. |
サーバー名を右クリックし、[すべてのタスク] をポイントして [IIS を再起動します] をクリックします。
| | b. |
[Your Computer のインターネット サービスを再起動します] をクリックします。
| | c. |
[OK] をクリックします。
|
|
IIS サービスの再起動の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
185382 (http://support.microsoft.com/kb/185382/EN-US/) How to Manually Stop or Start the Inetinfo Process
先頭へ戻る
185382 (http://support.microsoft.com/kb/185382/JA/) [IIS]Inetinfo プロセスを手動で停止または開始する方法
先頭へ戻る
236166 (http://support.microsoft.com/kb/236166/EN-US/) Using NET STOP and NET START Commands to Force IIS Services to Re-Read the Registry
先頭へ戻る
236166 (http://support.microsoft.com/kb/236166/JA/) [IIS] IIS における NET STOP と NET START コマンドの使用
先頭へ戻る
202013 (http://support.microsoft.com/kb/202013/EN-US/) Internet Information Services 5.0 Command-Line Syntax for Iisreset.exe
先頭へ戻る
202013 (http://support.microsoft.com/kb/202013/JA/) [IIS]Iisreset コマンドで IIS 5.0 を制御する方法
先頭へ戻る
トラブルシューティング
| ? |
「URLScan のデフォルト構成を変更する」に示す設定では、Urlscan.ini ファイルの [Options] セクションで EnableLogging=1 を指定します。これにより、すべての URLScan アクティビティがログに記録されます。このログ ファイルは Urlscan.dll ファイルと同じフォルダに保存されます。URLScan が有効になっている間に FrontPage または他の IIS 機能に問題が生じた場合は、ログ ファイルの最新のエントリを参照して、拒否された要求を確認してください。
|
| ? |
Urlscan.ini ファイルにさらに変更を加える場合は、既存の Urlscan.ini ファイルのコピーを作成し、Urlscan.001、Urlscan.002 などの名前を付けて、これまでの変更履歴がわかるようにしておきます。こうすることで、新しいセキュリティの構成を実装する際に良好な構成が失われないようにできます。
|
| ? |
URLScan に行った変更が有効になっていないと思われる場合は、IIS サービスを再起動する手順を繰り返します。それでも変更が有効にならない場合は、Web サーバーを再起動します。
|
先頭へ戻る
URLScan ユーティリティのインストールと構成の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
307608 (http://support.microsoft.com/kb/307608/EN-US/) INFO: Availability of URLScan Security Tool
先頭へ戻る
307608 (http://support.microsoft.com/kb/307608/JA/) [IIS]INFO: URLScan セキュリティ ツールについて
先頭へ戻る
307976 (http://support.microsoft.com/kb/307976/EN-US/) FP: Error When Using FrontPage With URLScan
309508 (http://support.microsoft.com/kb/309508/EN-US/) XCCC: IIS Lockdown and URLscan Configurations in an Exchange Environment
先頭へ戻る
309508 (http://support.microsoft.com/kb/309508/JA/) [XCCC] Exchange 環境での IIS Lockdown と URLscan の設定
先頭へ戻る
この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID
318290 (http://support.microsoft.com/kb/318290/EN-US/) (最終更新日 2003-07-30) を基に作成したものです。
先頭へ戻る