この資料では、Microsoft インターネット インフォメーション サービス (IIS) の URLScan ユーティリティをインストールして構成する方法について手順を追って説明します。この資料の手順を実行すると、マイクロソフト Web サイトから URLScan をダウンロードできます。URLScan は、Web サーバーの安全性をさらに高めるために設計されています。
先頭へ戻る
IIS Lockdown Wizard をダウンロードしてインストールする
URLScan は IIS Lockdown Wizard に含まれています。
IIS Lockdown Wizard のインストール方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
325864 (http://support.microsoft.com/kb/325864/) [HOWTO] IIS Lockdown Wizard のインストール方法および使用方法
先頭へ戻る
URLScan のデフォルト構成を変更する
URLScan のデフォルト構成では FrontPage の機能を妨げることがあるため、構成を変更して FrontPage が適切に機能し、機密情報を含む FrontPage ファイルへのアクセスを拒否するように設定する必要があります。以下の手順はその変更例です。URLScan の設定の関連情報については、この資料の「
関連情報」を参照してください。
| 1. |
[スタート] ボタンを右クリックし、[エクスプローラ] をクリックして、次のフォルダに移動します (%windir% は C:\Windows または C:\Winnt などの Windows フォルダです)。
%windir% \system32\inetsrv\urlscan
|
| 2. |
urlscan.ini ファイルを右クリックし、[コピー] をクリックします。
|
| 3. |
フォルダ内で右クリックし、[貼り付け] をクリックします。
"コピー 〜 urlscan.ini" という名前でファイルのコピーが作成されます。
|
| 4. |
urlscan.ini ファイルをダブルクリックします (メモ帳でファイルが開かれます)。
|
| 5. |
次のように変更します。
| a. |
[options] セクションで、以下の値を設定します。
[options]
UseAllowVerbs=1 ; use the [AllowVerbs] section
UseAllowExtensions=0 ; use the [DenyExtensions] section
NormalizeUrlBeforeScan=1 ; canonicalize URL before processing
VerifyNormalization=1 ; canonicalize URL twice, reject on change
AllowHighBitCharacters=0 ; deny high bit (UTF8 or MBCS) characters
AllowDotInPath=0 ; deny dots in path
EnableLogging=1 ; log activity
PerDayLogging=1 ; change log files daily
PerProcessLogging=0 ; do not change log files by process ID
RemoveServerHeader=0 ; do not remove"Server" header
AlternateServerName=
UseFastPathReject=0 ; use RejectResponseUrl or log the request
RejectResponseUrl=
AllowLateScanning=1 ; allow URLScan to be loaded low priority | | b. |
[AllowVerbs] セクションでは、以下の値のみを使用します。これ以外の値は使用しません。
[AllowVerbs]
GET ; allow GET (most Web requests)
HEAD ; allow HEAD requests
OPTIONS ; allow OPTIONS (Web Folders need this)
POST ; allow POST (FPSE and HTML forms need this)
| | c. |
[DenyHeaders] セクションでは、以下の値のみを使用します。これ以外の値は使用しません。
[DenyHeaders]
If: ; deny (used with WebDAV)
Lock-Token: ; deny (used with WebDAV) | | d. |
[DenyExtensions] セクションで、以下の値を設定します。
[DenyExtensions]
.asa ; deny active server application definition files
.bat ; deny batch files
.btr ; deny FrontPage dependency files
.cer ; deny x509 certificate files
.cdx ; deny dynamic channel definition files
.cmd ; deny batch files
.cnf ; deny FrontPage metadata files
.com ; deny server command-line applications
.dat ; deny data files
.evt ; deny Event Viewer logs
.exe ; deny server command-line applications
.htr ; deny IIS legacy HTML admin tool
.htw ; deny Index Server hit-highlighting
.ida ; deny Index Server legacy HTML admin tool
.idc ; deny IIS legacy database query files
.inc ; deny include files
.ini ; deny configuration files
.ldb ; deny Microsoft Access Record-Locking Information files
.log ; deny log files
.pol ; deny policy files
.printer ; deny Internet Printing Services
.sav ; deny backup registry files
.shtm ; deny IIS Server Side Includes
.shtml ; deny IIS Server Side Includes
.stm ; deny IIS Server Side Includes
.tmp ; deny temporary files | | e. |
[DenyUrlSequences] セクションで、以下の値を設定します。
[DenyUrlSequences]
.. ; deny directory traversals
./ ; deny trailing dot on a directory name
\ ; deny backslashes in URL
: ; deny alternate stream access
% ; deny escaping after normalization
& ; deny multiple CGI processes to run on a single request
/fpdb/ ; deny browse access to FrontPage database files
/_private ; deny FrontPage private files (often form results)
/_vti_pvt ; deny FrontPage Web configuration files
/_vti_cnf ; deny FrontPage metadata files
/_vti_txt ; deny FrontPage text catalogs and indices
/_vti_log ; deny FrontPage authoring log files | | f. |
今回の設定では、[DenyVerbs] セクションと [AllowExtensions] セクションは使用しないため、これらのセクションの設定はありません。
構成ファイルのこれらのセクションの関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
307608 (http://support.microsoft.com/kb/307608/JA/) [INFO] IIS の URLScan を使用する
|
|
| 6. |
ファイルを保存し、メモ帳を終了します。
|
先頭へ戻る
URLScan の優先順位を変更する (任意)
デフォルトでは、IIS の URLScan ツールの優先順位は "高" です。この優先順位は、URLScan が呼び出される前にタスクを実行する必要がある他の ISAPI (Internet Server Application Programming Interface) フィルタの妨げになる場合があります。FrontPage Server Extensions (Fpexedll.dll) ISAPI フィルタもその 1 つです。ここでは、Fpexedll.dll に実装されている ISAPI フィルタの実行後に URLScan を読み込むように構成する方法について説明します。この手順は、他の ISAPI フィルタを使用して URLScan を構成する場合にも簡単に適用できます。詳細については、使用している ISAPI フィルタのマニュアルを参照してください。
注 : 以下の手順を完了する前に、URLScan を優先順位の低いフィルタとして読み込むように、urlscan.ini ファイルで "AllowLateScanning=1" と正しく設定する必要があります。これを行うには、前の「
URLScan のデフォルト構成ファイルを変更する」の手順を実行します。
| 1. |
インターネット サービス マネージャを起動します。起動するには、IIS のバージョンに応じて以下の手順を実行します。
| ? |
IIS 4.0 の場合
注 : Windows NT 4.0 に FrontPage 2003 をインストールすることはできません。
| a. |
Windows で、[スタート] ボタンをクリックし、[プログラム] をポイントし、[Windows NT 4.0 Option Pack] をポイントします。
| | b. |
[Microsoft Internet Information Server] をポイントし、[インターネット サービス マネージャ] をクリックします。
|
| | ? |
IIS 5.0 の場合
| a. |
Windows で、[スタート] ボタンをクリックし、[プログラム] をポイントし、[管理ツール] をポイントします。
| | b. |
[インターネット サービス マネージャ] をクリックします。
|
| | ? |
IIS 5.1 の場合
| a. |
Windows で、[スタート] ボタンをクリックし、[コントロール パネル] をクリックします。
| | b. |
[パフォーマンスとメンテナンス]、[管理ツール] の順にクリックするか、[管理ツール] をダブルクリックします。
| | c. |
[インターネット インフォメーション サービス] をダブルクリックします。
|
|
|
| 2. |
サーバー名を右クリックし、[プロパティ] をクリックします。
IIS 5.1 の場合は、サーバー名を展開し、[Web サイト] を右クリックし、[プロパティ] をクリックします。
|
| 3. |
[マスタ プロパティ] ボックスの一覧の [WWW サービス] をクリックし、[編集] をクリックします。
IIS 5.1 の場合、この手順は不要です。 |
| 4. |
[ISAPI フィルタ] タブをクリックします。
|
| 5. |
[UrlScan] をクリックし、下向き矢印をクリックして UrlScan を fpexedll.dll の下に移動します。
|
| 6. |
[OK] をクリックします。
|
| 7. |
もう一度 [OK] をクリックします。
IIS 5.1 の場合、この手順は不要です。
|
先頭へ戻る
IIS を再起動して URLScan をアップデートする
IIS が起動すると、URLScan がメモリに読み込まれて urlscan.ini ファイルの設定を読み取ります。そのため、IIS を再起動して新しい構成の設定を有効にする必要があります。これを行うには、IIS のバージョンに応じて以下の手順を実行します。
| ? |
IIS 4.0 の場合
注 : Windows NT 4.0 に FrontPage 2003 をインストールすることはできません。
| a. |
コマンド プロンプトで、次のように入力します。
NET STOP "IIS Admin Service" /Y | | b. |
停止時にいくつかの依存サービスが表示された場合は、後でこれらのサービスを再開できるように名前を記録しておきます。
| | c. |
次のメッセージが表示されることを確認します。
IIS Admin Service サービスは正常に停止されました。
メッセージが表示されたら、各 IIS サービスの名前を指定して再開します。これを行うには、コマンド プロンプトで以下のコマンドを入力し、各行末で Enter キーを押します。
NET START "World Wide Web Publishing Service"
NET START "Microsoft SMTP Service"
NET START "FTP Publishing Service"
| | d. |
コマンド プロンプトを終了します。
|
|
| ? |
IIS 5.0 の場合
| a. |
サーバー名を右クリックし、[IIS を再起動します] をクリックします。
| | b. |
[IIS の停止/開始/再起動] ボックスの一覧の [Your Computer のインターネット サービスを再起動します] をクリックします。
| | c. |
[OK] をクリックします。
|
|
| ? |
IIS 5.1 の場合
| a. |
サーバー名を右クリックし、[すべてのタスク] をポイントし、[IIS を再起動します] をクリックします。
| | b. |
[Your Computer のインターネット サービスを再起動します] をクリックします。
| | c. |
[OK] をクリックします。
|
|
IIS を再起動する方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
185382 (http://support.microsoft.com/kb/185382/JA/) [IIS]Inetinfo プロセスを手動で停止または開始する方法
236166 (http://support.microsoft.com/kb/236166/JA/) [IIS] IIS における NET STOP と NET START コマンドの使用
202013 (http://support.microsoft.com/kb/202013/JA/) [IIS]Iisreset コマンドで IIS 5.0 を制御する方法
先頭へ戻る
トラブルシューティング
| ? |
「URLScan のデフォルト構成を変更する」に示す設定では、urlscan.ini ファイルの [options] セクションで "EnableLogging=1" を指定します。この設定により、すべての URLScan 処理がログに記録されます。このログ ファイルは urlscan.dll ファイルと同じフォルダに保存されます。URLScan が有効になっている間に FrontPage または他の IIS 機能に問題が生じた場合は、ログ ファイルの最新のエントリを参照して、拒否された要求を確認してください。
|
| ? |
urlscan.ini ファイルにさらに変更を加える場合は、既存の urlscan.ini ファイルのコピーを作成し、Urlscan.001、Urlscan.002 などの名前を付けて、これまでの変更履歴がわかるようにしておきます。こうすることで、新しいセキュリティの構成を実装する際に良好な構成が失われないようにできます。
|
| ? |
URLScan に行った変更が有効になっていないと思われる場合は、IIS サービスを再起動する手順を繰り返します。それでも変更が有効にならない場合は、Web サーバーを再起動します。
|
先頭へ戻る
URLScan ツールをインストールして構成する方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
307608 (http://support.microsoft.com/kb/307608/JA/) [INFO] IIS の URLScan を使用する
309508 (http://support.microsoft.com/kb/309508/JA/) [XCCC] Exchange 環境での IIS Lockdown と URLscan の構成
307976 (http://support.microsoft.com/kb/307976/) FP: Error Message When You Use FrontPage with URLScan
先頭へ戻る
この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID
825538 (http://support.microsoft.com/kb/825538/EN-US/) (最終更新日 2003-09-05) を基に作成したものです。
この資料に含まれているサンプル コード/プログラムは英語版を前提に書かれたものをありのままに記述しており、日本語環境での動作は確認されておりません。
先頭へ戻る
Help and Support
