IIS Lockdown Wizard のインストール方法および使用方法

文書翻訳 文書翻訳
文書番号: 325864 - 対象製品
マイクロソフトでは、Microsoft Windows Server 2003 で実行される Microsoft インターネット インフォメーション サービス (IIS) 6.0 にアップグレードすることを、すべてのユーザーに強く推奨します。IIS 6.0 により、Web インフラストラクチャのセキュリティが大幅に強化されます。IIS のセキュリティ関連のトピックについては、次のマイクロソフト Web サイトを参照してください。
http://www.microsoft.com/japan/technet/security/prodtech/iis/default.mspx
すべて展開する | すべて折りたたむ

目次

概要

この資料では、インターネット インフォメーション サービス (IIS) Lockdown Wizard を使用して Web サーバーのセキュリティを強化する方法を、手順を追って説明します。また、Lockdown Wizard を実行後に問題が発生した場合のトラブルシューティングの方法についても説明します。

IIS Lockdown Wizard を実行する前の準備

IIS Lockdown Wizard を使用することにより、IIS に含まれる多数のオプション機能を無効にして IIS サーバーのセキュリティを強化し、IIS を攻撃から守ることができます。このウィザードを実行する前にヘルプ ファイルを熟読し、ウィザードで使用できるオプションについて十分理解してください。ヘルプ ファイルにアクセスするには、次の手順を実行します。
  1. 次のマイクロソフト Web サイトを参照し、IIS Lockdown Wizard をダウンロードします。
    http://www.microsoft.com/japan/technet/security/tools/locktool.asp
  2. ダウンロードした実行可能ファイルを実行し、Lockdown Wizard ファイルを展開します。
  3. ファイルを展開する際に指定したフォルダを開き、Iislockd.chm ファイルをダブルクリックします。
Lockdown Wizard を使用すると、他のアプリケーション (Exchange や FrontPage など) を正常に実行するために必要な IIS の特定のオプション機能も無効にできるため、注意が必要です。Lockdown Wizard で正しいオプションを選択しなかった場合、これらのアプリケーションが正常に動作しなくなることがあります。この問題を最小限にとどめるには、必ず、使用しているシステムの構成に該当する以下の資料を十分に検討してから、Lockdown Wizard を実行してください。
  • Exchange および Outlook Web Access (OWA)
    309508 [XCCC] Exchange 環境での IIS Lockdown と URLscan の構成
  • Microsoft Mobile Information Server
    311595 Microsoft Mobile Information Server にセキュリティ ツール キットをインストールし、構成する方法
  • Microsoft Small Business Server
    311862 Small Business Server で IIS Lockdown Wizard ツールを使用する方法
  • Microsoft Project、Project Server および Project Web Access
    321357 [PSRV2002] グリッドを含む Microsoft Project Web Access ページを参照するとエラー メッセージが表示される
    316398 Microsoft Project Central で IIS Lockdown ツールおよび URLScan セキュリティ ツールを構成する方法
  • Microsoft SharePoint Portal Server
    309675 [SPS] SharePoint Portal Server で IIS Lockdown ツールが原因のエラーが発生する
    319633 [SPS] IIS Lockdown Tool をインストール後にスクリプト実行エラーが表示される
  • Microsoft Visual Studio .NET
    310588 [PRB] セキュリティ ツール キットによって Visual Studio .NET での ASP.NET デバッグが中断される
    315904 [BUG] .aspx ページから WebServices を呼び出すと "ExternalException: プログラムを実行できません。" というエラー メッセージが表示される
  • Microsoft FrontPage
    317390 Web ページのユーザーが検索を実行するとエラー メッセージ "HTTP 404 - ファイルが見つかりません" が表示される
    307976 FrontPage と URLScan を使用するとエラー メッセージが表示される
  • Microsoft Proxy Server
    311675 IIS Lockdown Wizard のインストール後、Proxy Server 2.0 のオンライン ヘルプを検索できない

IIS Lockdown Wizard をダウンロードしてインストールする

  1. IIS Lockdown Wizard を実行する前の準備」でダウンロードした実行可能ファイルをダブルクリックして、ウィザードを開始します。
  2. ウェルカム ページに表示されている説明文をよく読み、[次へ] をクリックします。
  3. 使用許諾契約書 (英語) が表示されます。使用許諾契約を読み、[I agree] をクリックして、[次へ] をクリックします。
  4. [Select Server Template] ページで、使用するサーバーの役割に最も近いテンプレートをクリックし、[View Template Settings] チェック ボックスをオンにします。以後のページでは、このページで選択したサーバーの役割に基づいたオプションが既に選択された状態になっており、このデフォルトのオプションをそのまま使用できます。

    サーバーに複数の役割が与えられている場合 (プロキシ サーバーとダイナミック Web サーバーを兼用している場合など)、[Other (Server that does not match any of the listed roles)] をクリックします。その場合は、以降のページに表示されるすべてのオプションを注意深く検討してください。これは、このデフォルトの設定ではサーバーに最適な選択が行われていないことがあるためです。該当する設定をクリックしたら、[次へ] をクリックします。
  5. [Internet Services] ページで、サーバーで実行するサービスを選択します。ほとんどのサーバーでは Web サービスを必要とします。[File Transfer service (FTP)] と [E-mail Service (SMTP)] が不要な場合は、これらのチェック ボックスをオフにします。なお、Exchange または Small Business Server を実行している場合には、SMTP をオンにする必要があります。

    このページでオンにしなかったサービスは [無効] に設定され、実行できなくなります。IIS 5.0 で Lockdown Wizard を実行する場合、[Remove unselected services] チェック ボックスをオンにすることにより、サービスを完全に削除してシステムで実行されないようにできます。該当する設定の完了後、[次へ] をクリックします。
  6. [Script Maps] ページで、サーバーで使用する種類のファイルに該当するチェック ボックスをオフにします。オフにしてよいかどうかが不明な場合、ファイルをコンテンツ ディレクトリで検索することによって、対応する拡張子を持つファイルが存在するかどうかを確認できます。ほとんどのサーバーでは Active Server Pages (.asp) を必要とするため、サーバーが ASP ページを実行していないことが確認できない場合は、このチェック ボックスをオフにします。[次へ] をクリックします。
  7. [Additional Security] ページで、サーバーから削除する仮想ディレクトリを選択します。これらの仮想ディレクトリはデフォルトで IIS にインストールされ、攻撃者の標的になりやすいため、実際に運用するコンピュータでは、これらの仮想ディレクトリの削除または名前の変更を行うことができます。これらの仮想ディレクトリを IIS から削除しても、対応する物理ディレクトリはディスクから削除されないため、このオプションを選択してもデータは失われません。
  8. インターネット ゲスト アカウント (デフォルトでは IUSR_<computername>) によって、Windows ディレクトリ内にある実行可能ファイルが実行されないようにする (アクセスを拒否する) には、[Additional Security] ページで [Running system utilities] チェック ボックスをオンにします。このオプションは、ほとんどのシステムでオンにする必要があります。
  9. インターネット ゲスト アカウントによる、Web コンテンツを含む Windows ディレクトリへの書き込みができないようにする (書き込みを拒否する) には、[Additional Security] ページで [Writing to content directories] チェック ボックスをオンにします。サーバーで FrontPage Server Extensions を使用している場合、またはサーバーをプロキシとして使用している場合は、このチェック ボックスをオンにしないでください。
  10. このサーバーで Web コンテンツの作成および展開に WebDAV 機能を使用していない場合は、[Additional Security] ページで [Disable Web Distributed Authoring and Versioning (WebDAV)] チェック ボックスをオンにします。サーバーで Exchange 2000 Outlook Web Access (OWA) を実行している場合は、このチェック ボックスをオンにしないでください。
    : このオプションを選択すると、WebDAV 機能を実装する DLL (Httpext.dll) は、Lockdown Wizard によって実行のアクセス許可が "拒否" に設定されます。このオプションを選択しても、WebDAV への実行要求の一部については許可されたままになる可能性があります。 関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
    307934 [IIS]ACL によって WebDAV を無効にしても引き続き PUT と DELETE 要求が許可される
  11. [次へ] をクリックします。
  12. URLScan を使用して、受信する要求をルールのセットに基づいてフィルタ処理する場合は、[URLScan] ページで [Install URLScan filter on the server] チェック ボックスをオンにします。URLScan のルールに一致しない要求がクライアントから送信されると、IIS は "HTTP 404 - ファイルが見つかりません" エラーを返し、この要求を URLScan ログ ファイルに出力します。このファイルは、デフォルトでは、%WINDIR%\System32\Inetsrv\Urlscan\Urlscan.log に置かれます。

    : 上記の [Additional Security] ページで WebDAV 機能を有効にした状態のまま URLScan をインストールする場合、WebDAV の要求はデフォルトで URLScan によってブロックされるため、注意が必要です。WebDAV と URLScan を併用する場合は、Urlscan.ini ファイルを変更する必要があります。
  13. [Ready to Apply Settings] ページで変更内容を確認し、[次へ] をクリックします。
  14. Lockdown Wizard はメタベースをバックアップし、指定された変更を適用します。この手順の完了後、[View Report] をクリックして、ウィザードによって適用された変更内容を確認し、[次へ] をクリックします。

    : 適用された変更内容のレポートは、%WINDIR%\System32\Inetsrv\Oblt-rep.log ファイルをメモ帳で開くことによって確認することもできます。
  15. [完了] をクリックして、IIS Lockdown Wizard を終了します。
  16. サーバーの機能をすべてテストします。この手順はきわめて重要です。サーバーで必要な機能が無効になっていることが判明した場合、直ちに Lockdown Wizard によって行われた変更を元に戻し、ウィザードを再度実行して正しいオプションを選択します。 関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
    317052 [HOWTO] IIS Lockdown Wizard による変更を元に戻す方法

URLScan を構成する

URLScan は、IIS Lockdown Wizard を実行するときにインストールできます。URLScan は、構成可能なルールのセットに基づいて HTTP 要求をブロックする ISAPI フィルタです。たとえば、URLScan を使用して特定の拡張子を持つファイル名に対する要求をすべてブロックすることや、特定の HTTP メソッド (GET や POST など) をブロックすることができます。また、攻撃者が Web サーバーに攻撃を行うときに使用されることの多い特定の文字を含む要求をブロックすることもできます。

URLScan を構成するには、メモ帳などのテキスト エディタを使用して %WINDIR%\System32\Inetsrv\Urlscan\Urlscan.ini ファイルを編集します。このファイルには、各構成オプションに関する説明が多数含まれています。.ini ファイルの編集が完了したら、IIS を再起動します。

URLScan の構成方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
312376 [HOWTO] IIS で拡張子を含まない要求を許可するように URLScan を構成する方法
326444 [HOWTO] URLScan ツールの構成方法

IIS Lockdown Wizard 実行後のトラブルシューティング

IIS Lockdown Wizard の実行後に発生する問題の中で最も多いのは、そのサイトにアクセスすると "HTTP 404 - ファイルが見つかりません" エラー メッセージが表示されるというものです。実際にはファイルが存在しているにもかかわらず、このエラーが表示されることがあります。この問題は、Lockdown Wizard または URLScan によってブロックされているファイルをクライアントが要求したときに発生します。これに該当する場合、IIS はセキュリティ上の理由からファイルが存在しないというメッセージを返します。悪質なユーザーは、脆弱性のあるサービスがサーバー上で実行されていることがわかると、そのサービスがブロックされていても、それを回避して脆弱性を悪用しようと試行錯誤を繰り返す可能性があります。一方、脆弱性のあるサービスがインストールされていないと考えた場合は、脆弱性を利用しようとはしません。

IIS Lockdown Wizard の実行後に HTTP 404 エラー メッセージが表示される場合は、次の手順を実行して、問題のトラブルシューティングを行います。
  1. 要求するファイルがサーバー上に存在することを確認します。 関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
    248033 IIS サーバーが "HTTP 404 - ファイルが見つかりません" エラーを返す一般的な原因
  2. URLScan のログ ファイルを調べ、要求が URLScan によってブロックされているかどうかを確認します。このファイルは %WINDIR%\System32\Inetsrv\Urlscan\UrlscanMMDDYY.log に置かれています (MMDDYY はログの日付)。要求が URLScan によってブロックされていることが確認できた場合は、「URLScan を構成する」を参照して、URLScan がこれらの要求をブロックしないように構成します。
  3. ASP ページ、"サーバー側インクルード" が有効になったファイルなど、HTML ファイル以外のファイルを要求する場合、ファイルの種類とアプリケーションのマッピングをインターネット サービス マネージャで確認します。
    1. Web サイトを右クリックして、[プロパティ] をクリックします。
    2. [ホーム ディレクトリ] タブをクリックし、[構成] をクリックします。
    3. [アプリケーションのマッピング] タブをクリックします。
    4. アクセスするファイルの種類の拡張子に対応する行をクリックします。
    5. [実行ファイルのパス] が %WINDIR%\System32\Inetsrv\404.dll に設定されている場合は、[編集] をクリックし、[実行ファイルのパス] をそのファイル拡張子のデフォルトの実行ファイルのパスに設定します。 デフォルトの設定が不明な場合は、%WINDIR%\System32\Inetsrv\oblt-log.log ファイルを開きます。これは、Lockdown Wizard の実行時に作成されたファイルです。このファイルの中で [SMAP] で始まり、続けてこのファイルの拡張子が記載されている行を検索します。 この行には、該当するファイルの種類のデフォルトの実行ファイルのパスが含まれています。
Exchange や SharePoint などの、IIS に依存するサービスに問題が発生した場合は、「IIS Lockdown Wizard を実行する前の準備」に記載されている「サポート技術情報」 (Microsoft Knowledge Base) の資料を参照してください。

IIS Lockdown Wizard の実行後に FTP または SMTP が機能しなくなることがあります。この問題は、これらのサービスのいずれかを無効にした場合、または削除した場合に発生します。サービスを無効にした場合は、次の手順を実行してサービスを有効にします。
  1. コントロール パネルを開きます。
  2. Windows NT 4.0 の場合は、[サービス] をダブルクリックします。Windows 2000 または Windows XP の場合は、[管理ツール] フォルダを開き、[サービス] をダブルクリックします。
  3. [FTP Publishing] ([FTP Publishing Service]) または [Simple Mail Transfer Protocol (SMTP)] ([Microsoft SMTP Service]) をダブルクリックします。
  4. [スタートアップの種類] ボックスの一覧の [自動] をクリックします。
  5. サービスをすぐに開始する場合は [開始] をクリックします。
IIS Lockdown Wizard を IIS 5.0 で実行する際に、[Remove unselected services] をクリックしてこれらのサービスの一方または両方を削除した場合は、次の手順を実行して再インストールします。
  1. コントロール パネルを開きます。
  2. [アプリケーションの追加と削除] をダブルクリックして、左側のウィンドウの [Windows コンポーネントの追加と削除] をクリックします。
  3. [インターネット インフォメーション サービス (IIS)] をクリックして [詳細] をクリックします。
  4. [FTP (File Transfer Protocol) サーバー] チェック ボックスまたは [SMTP Service] チェック ボックスをオンにします。
  5. [OK] をクリックし、[次へ] をクリックします。選択したサービスがインストールされます。インストール中に、Windows の CD-ROM の挿入を要求するダイアログ ボックスが表示されることがあります。
  6. Windows の最新の Service Pack と、インストールしたすべての修正プログラムを再インストールします。
これらの方法を使用しても問題が解決しない場合、IIS Lockdown Wizard のレポート ファイルを参照することによって、このツールによって変更された内容をすべて確認できます。このファイルは、どの変更によって問題が発生したかを特定するのに有用です。IIS Lockdown Wizard のレポート ファイルは、%WINDIR\System32\Inetsrv\Oblt-rep.log に保存されます。

IIS Lockdown Wizard によって行われた変更を取り消す方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
317052 [HOWTO] IIS Lockdown Wizard による変更を元に戻す方法

関連情報

IIS Lockdown Wizard および IIS サーバーのセキュリティを強化する方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
310725 [HOWTO] IIS で IIS Lockdown Wizard を無人で実行する方法
311350 IIS Lockdown Wizard で使用するカスタムのサーバーの種類を作成する方法
282060 [IIS] IIS のセキュリティ保護に関連するリソース

関連情報

この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 325864 (最終更新日 2005-06-23) を基に作成したものです。

プロパティ

文書番号: 325864 - 最終更新日: 2005年9月20日 - リビジョン: 4.1
この資料は以下の製品について記述したものです。
  • Microsoft Internet Information Services 5.0
  • Microsoft Internet Information Services 5.1
  • Microsoft Internet Information Server 4.0
キーワード:?
kbhowtomaster KB325864
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com