[HOWTO] FrontPage 2002 で URLScan を使用する方法

この資料では、Microsoft インターネット インフォメーション サービス (IIS) の URLScan ユーティリティをインストールして構成する方法について順を追って説明します。この資料の手順を実行すると、マイクロソフト Web サイトから URLScan をダウンロードできます。URLScan をインストールすると、Web サーバーの安全性がさらに高まります。

URLScan をダウンロードしてインストールする

新しいソフトウェアをインストールして Web サービスを停止または再起動するには、Web サーバーにログオンする必要があります。このため、URLScan ユーティリティをインストールするには、管理者として Web サーバーにログオンし、以下の手順を実行します。

1. 以下のマイクロソフト Web サイトから、URLScan ユーティリティをダウンロードします。
   Urlscan 2.5 Install Package (http://microsoft.com/downloads/details.aspx?familyid=23D18937-DD7E-4613-9928-7F94EF1C902A&displaylang=en)
2. [Download] をクリックします。
3. [このプログラムをディスクに保存する] をクリックして、[OK] をクリックします (または [ファイルのダウンロード] ダイアログ ボックスで [保存] をクリックします)。
4. ファイルの保存場所としてデスクトップを選択し、[保存] をクリックします。
5. ブラウザを閉じます。
6. Setup.exe ファイルをダブルクリックします。
7. 使用許諾契約書 (EULA) を読みます。EULA に同意する場合は、[Yes] をクリックします。
9. インストールが完了したことを示すメッセージが表示されたら、[OK] をクリックします。

URLScan のデフォルト構成を変更する

URLScan のデフォルト構成は FrontPage の機能を妨げることがあるため、構成を変更して FrontPage が適切に機能し、機密情報を含む FrontPage ファイルへのアクセスを拒否するように設定する必要があります。以下の手順はその変更例です。URLScan の設定の関連情報については、「関連情報」を参照してください。

1. [スタート] ボタンを右クリックし、[エクスプローラ] をクリックします。次のフォルダに移動します。
   %windir%\system32\inetsrv\urlscan
   %windir% は、Windows フォルダ (C:\Windows または C:\Winnt など) です。
2. Urlscan.ini ファイルを右クリックし、[コピー] をクリックします。フォルダ内を右クリックし、[貼り付け] をクリックします。コピー 〜 Urlscan.ini という名前でファイルのコピーが作成されます。
3. Urlscan.ini ファイルをダブルクリックします。メモ帳でファイルが開かれます。
4. 次のように変更します。
   1. [options] セクションで、以下の値を設定します。

      [options]
      UseAllowVerbs=1          ; use the [AllowVerbs] section
      UseAllowExtensions=0     ; use the [DenyExtensions] section
      NormalizeUrlBeforeScan=1 ; canonicalize URL before processing
      VerifyNormalization=1    ; canonicalize URL twice, reject on change
      AllowHighBitCharacters=0 ; deny high bit (UTF8 or MBCS) characters 
      AllowDotInPath=0         ; deny dots in path
      EnableLogging=1          ; log activity
      PerDayLogging=1          ; change log files daily
      PerProcessLogging=0      ; do not change log files by process ID
      RemoveServerHeader=0     ; do not remove "Server" header
      AlternateServerName=
      UseFastPathReject=0      ; use RejectResponseUrl or log the request
      RejectResponseUrl=
      AllowLateScanning=1      ; allow URLScan to be loaded low priority
      						

   2. [AllowVerbs] セクションでは、以下の値のみを使用します。これ以外の値は使用しません。

      [AllowVerbs]
      GET     ; allow GET (most Web requests)
      HEAD    ; allow HEAD requests
      OPTIONS ; allow OPTIONS (Web Folders need this)
      POST    ; allow POST (FPSE and HTML forms need this)
      						

   3. [DenyHeaders] セクションでは、以下の値のみを使用します。これ以外の値は使用しません。

      [DenyHeaders]
      If:         ; deny (used with WebDAV)
      Lock-Token: ; deny (used with WebDAV)
      						

   4. [DenyExtensions] セクションで、以下の値を設定します。

      [DenyExtensions]
      .asa     ; deny active server application definition files
      .bat     ; deny batch files
      .btr     ; deny FrontPage dependency files
      .cer     ; deny x509 certificate files
      .cdx     ; deny dynamic channel definition files
      .cmd     ; deny batch files
      .cnf     ; deny FrontPage metadata files
      .com     ; deny server command-line applications
      .dat     ; deny data files
      .evt     ; deny Event Viewer logs
      .exe     ; deny server command-line applications
      .htr     ; deny IIS legacy HTML admin tool
      .htw     ; deny Index Server hit-highlighting
      .ida     ; deny Index Server legacy HTML admin tool
      .idc     ; deny IIS legacy database query files
      .inc     ; deny include files
      .ini     ; deny configuration files
      .ldb     ; deny Microsoft Access Record-Locking Information files
      .log     ; deny log files
      .pol     ; deny policy files
      .printer ; deny Internet Printing Services
      .sav     ; deny backup registry files
      .shtm    ; deny IIS Server Side Includes
      .shtml   ; deny IIS Server Side Includes
      .stm     ; deny IIS Server Side Includes
      .tmp     ; deny temporary files
      						

   5. [DenyUrlSequences] セクションで、以下の値を設定します。

      [DenyUrlSequences]
      ..         ; deny directory traversals
      ./         ; deny trailing dot on a directory name
      \          ; deny backslashes in URL
      :          ; deny alternate stream access
      %          ; deny escaping after normalization
      &          ; deny multiple CGI processes to run on a single request
      /fpdb/     ; deny browse access to FrontPage database files
      /_private  ; deny FrontPage private files (often form results)
      /_vti_pvt  ; deny FrontPage Web configuration files
      /_vti_cnf  ; deny FrontPage metadata files
      /_vti_txt  ; deny FrontPage text catalogs and indices
      /_vti_log  ; deny FrontPage authoring log files
      						

   6. 今回の設定では、[DenyVerbs] セクションと [AllowExtensions] セクションは使用しないため、これらのセクションの設定はありません。 構成ファイルの各セクションの関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
      307608? (http://support.microsoft.com/kb/307608/EN-US/ ) INFO: Availability of URLScan Security Tool
      307608? (http://support.microsoft.com/kb/307608/JA/ ) [IIS]INFO: URLScan セキュリティ ツールについて
5. ファイルを保存し、メモ帳を終了します。

URLScan の優先順位を変更する (オプション)

デフォルトでは、IIS の URLScan ユーティリティの優先順位は "高" です。この優先順位は、URLScan が呼び出される前にタスクを実行する必要がある他の Internet Server Application Programming Interface (ISAPI) フィルタの妨げになる場合があります。FrontPage Server Extensions (Fpexedll.dll) ISAPI フィルタもその 1 つです。ここでは、Fpexedll.dll ISAPI フィルタの実行後に URLScan を読み込むように構成する方法について説明します。この手順は、他の ISAPI フィルタを使用して URLScan を構成する場合にも簡単に適用できます。詳細については、使用している ISAPI フィルタのマニュアルを参照してください。

注 : 以下の処理を完了する前に、URLScan を優先順位の低いフィルタとして読み込むように、Urlscan.ini ファイルで AllowLateScanning=1 と正しく設定する必要があります。これを行うには、前述の「URLScan のデフォルト構成を変更する」の手順を実行します。

1. インターネット サービス マネージャを起動します。起動するには、IIS のバージョンに応じて以下の手順を実行します。
   • IIS 4.0 の場合
     1. [スタート] ボタンをクリックし、[プログラム] をポイントして、[Windows NT 4.0 Option Pack] をクリックします。
     2. [Microsoft Internet Information Server] をクリックします。
     3. [インターネット サービス マネージャ] を選択します。
   • IIS 5.0 の場合
     1. [スタート] ボタンをクリックし、[プログラム] をポイントして、[管理ツール] をクリックします。
     2. [インターネット サービス マネージャ] を選択します。
   • IIS 5.1 の場合
     1. [スタート] ボタンをクリックし、[コントロール パネル] をクリックします。
     2. [管理ツール] をダブルクリックします。
     3. [インターネット インフォメーション サービス] をダブルクリックします。
2. サーバー名を右クリックし、[プロパティ] をクリックします。
3. [マスタ プロパティ] の [WWW サービス] オプションを選択し、[編集] をクリックします。
4. [ISAPI フィルタ] タブをクリックします。
5. [UrlScan] をクリックし、下矢印ボタンをクリックして UrlScan を Fpexedll.dll の下に移動します。
6. [OK] をクリックします。
7. もう一度 [OK] をクリックします。

IIS を再起動して URLScan をアップデートする

IIS が起動すると、URLScan がメモリに読み込まれて Urlscan.ini ファイルの設定を読み取ります。そのため、IIS を再起動して新しい構成の設定を有効にする必要があります。これを行うには、IIS のバージョンに応じて以下の手順を実行します。

• IIS 4.0 の場合
  1. コマンド プロンプトで、次のように入力します。
     NET STOP "IIS Admin Service" /Y
  2. 停止時にいくつかの依存サービスが表示された場合は、後でこれらのサービスを再開できるように名前を記録しておきます。
  3. 次のメッセージが表示されたら、
     IIS Admin Service サービスは正常に停止されました。
     各 IIS サービスの名前を指定して再開します。これを行うには、コマンド プロンプトで以下のコマンドを入力し、各行末で Enter キーを押します。
     NET START "World Wide Web Publishing Service"
     NET START "Simple Mail Transport Protocol (SMTP)"
     NET START "FTP Publishing Service"
  4. コマンド プロンプトを終了します。
• IIS 5.0 の場合
  1. サーバー名を右クリックし、[IIS を再起動します] をクリックします。
  2. [Your Computer のインターネット サービスを再起動します] をクリックします。
  3. [OK] をクリックします。
• IIS 5.1 の場合
  1. サーバー名を右クリックし、[すべてのタスク] をポイントして [IIS を再起動します] をクリックします。
  2. [Your Computer のインターネット サービスを再起動します] をクリックします。
  3. [OK] をクリックします。

IIS サービスの再起動の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。

トラブルシューティング

• 「URLScan のデフォルト構成を変更する」に示す設定では、Urlscan.ini ファイルの [Options] セクションで EnableLogging=1 を指定します。これにより、すべての URLScan アクティビティがログに記録されます。このログ ファイルは Urlscan.dll ファイルと同じフォルダに保存されます。URLScan が有効になっている間に FrontPage または他の IIS 機能に問題が生じた場合は、ログ ファイルの最新のエントリを参照して、拒否された要求を確認してください。
• Urlscan.ini ファイルにさらに変更を加える場合は、既存の Urlscan.ini ファイルのコピーを作成し、Urlscan.001、Urlscan.002 などの名前を付けて、これまでの変更履歴がわかるようにしておきます。こうすることで、新しいセキュリティの構成を実装する際に良好な構成が失われないようにできます。
• URLScan に行った変更が有効になっていないと思われる場合は、IIS サービスを再起動する手順を繰り返します。それでも変更が有効にならない場合は、Web サーバーを再起動します。

URLScan ユーティリティのインストールと構成の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。

この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 318290? (http://support.microsoft.com/kb/318290/EN-US/ ) (最終更新日 2003-07-30) を基に作成したものです。