URLScan を構成して ASP.NET Web アプリケーションを保護する方法

文書翻訳 文書翻訳
文書番号: 815155 - 対象製品
マイクロソフトでは、Microsoft Windows Server 2008 で実行される Microsoft インターネット インフォメーション サービス (IIS) 7.0 にアップグレードすることを、すべてのユーザーに強く推奨します。IIS 7.0 により、Web インフラストラクチャのセキュリティが大幅に強化されます。IIS のセキュリティ関連のトピックについては、次のマイクロソフト Web サイトを参照してください。
http://www.microsoft.com/japan/technet/security/prodtech/IIS.mspx
IIS 7.0 の関連情報については、次のマイクロソフト Web サイトを参照してください。
http://www.iis.net/default.aspx?tabid=1

この資料の内容

すべて展開する | すべて折りたたむ

目次

概要

この資料では、URLScan セキュリティ ツールを構成して、ASP.NET Web アプリケーションを保護する方法を手順を追って説明します。

URLScan は、Internet Information Server 4.0、インターネット インフォメーション サービス (IIS) 5.0、およびインターネット インフォメーション サービス (IIS) 5.1 に対する HTTP 要求の受信制限と監視を行う ISAPI (Internet Server API) フィルタです。URLScan を使用することにより、IIS がインターネットからの攻撃にさらされる危険性を軽減させることができます。

既定では、ASP.NET Web アプリケーションで使用されるファイル名拡張子に対して、URLScan で特別な対応は行われません。URLScan の構成を変更することにより、これらのアプリケーションに対する特別なセキュリティ レイヤを追加できます。アプリケーション レベルのトレース、XML Web サービス、リモーティングに対応して、さまざまなファイル名拡張子を無効または有効にする必要があります。

先頭に戻る

URLScan を構成する

URLScan を構成して、ユーザーから要求される可能性がある標準の ASP.NET ファイル名拡張子を有効にするには、次の手順を実行します。
  1. URLScan ツールをインストールします。詳細と手順については、次のマイクロソフト Web サイトを参照してください。
    http://technet.microsoft.com/ja-jp/security/cc242650(en-us).aspx
  2. メモ帳などのテキスト エディタで Urlscan.ini ファイルを開きます。このファイルは \System Root\System32\Inetsrv\urlscan フォルダにあります。
  3. [AllowExtensions] セクションに、次のファイル名拡張子を追加します。
    • .ashx
    • .aspx
  4. [DenyExtensions] セクションに、次のファイル名拡張子を追加します。
    • .asax
    • .ascx
    • .config
    • .cs
    • .csproj
    • .dll
    • .licx
    • .pdb
    • .resx
    • .resources
    • .vb
    • .vbproj
    • .vsdisco
    • .webinfo
    • .xsd
    • .xsx
  5. アプリケーション レベルのトレースを有効にするには、[AllowExtensions] セクションに .axd を追加します。アプリケーション レベルのトレースを有効にしない場合は、[DenyExtensions] セクションに .axd を追加します。
  6. Web サービスを許可するには、[AllowExtensions] セクションに .asmx を追加します。Web サービスを許可しない場合は、[DenyExtensions] セクションに .asmx を追加します。
  7. リモーティングを有効にするには、[AllowExtensions] セクションに .rem と .soap を追加します。リモーティングを有効にしない場合は、[DenyExtensions] セクションに .rem と .soap を追加します。
  8. Urlscan.ini ファイルを保存して閉じます。変更内容を有効にするには、IIS を再起動する必要があります。
: 上記の手順は、URLScan で UseAllowVerbs の設定が有効かどうかに関係なく、最適な保護が提供されるように設計されています。

先頭に戻る

関連情報

関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
315736 Windows セキュリティを使用して ASP.NET アプリケーションをセキュリティで保護する方法
315588 クライアント側の証明書を使用して ASP.NET アプリケーションをセキュリティで保護する方法
818014 [HOWTO] .NET Framework をベースに構築されたアプリケーションのセキュリティ保護
先頭に戻る

プロパティ

文書番号: 815155 - 最終更新日: 2008年8月14日 - リビジョン: 6.2
この資料は以下の製品について記述したものです。
  • Microsoft ASP.NET 1.0
  • Microsoft Internet Information Services version 5.1
  • Microsoft Internet Information Services 5.0
  • Microsoft Internet Information Server 4.0
  • Microsoft ASP.NET 1.1
キーワード:?
kbscan kbsecurity kbconfig kbweb kbhowtomaster KB815155
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com