現在オフラインです。再接続するためにインターネットの接続を待っています

URLScan を構成して ASP.NET Web アプリケーションを保護する方法

マイクロソフトでは、Microsoft Windows Server 2008 で実行される Microsoft インターネット インフォメーション サービス (IIS) 7.0 にアップグレードすることを、すべてのユーザーに強く推奨します。IIS 7.0 により、Web インフラストラクチャのセキュリティが大幅に強化されます。IIS のセキュリティ関連のトピックについては、次のマイクロソフト Web サイトを参照してください。IIS 7.0 の関連情報については、次のマイクロソフト Web サイトを参照してください。
概要
この資料では、URLScan セキュリティ ツールを構成して、ASP.NET Web アプリケーションを保護する方法を手順を追って説明します。

URLScan は、Internet Information Server 4.0、インターネット インフォメーション サービス (IIS) 5.0、およびインターネット インフォメーション サービス (IIS) 5.1 に対する HTTP 要求の受信制限と監視を行う ISAPI (Internet Server API) フィルタです。URLScan を使用することにより、IIS がインターネットからの攻撃にさらされる危険性を軽減させることができます。

既定では、ASP.NET Web アプリケーションで使用されるファイル名拡張子に対して、URLScan で特別な対応は行われません。URLScan の構成を変更することにより、これらのアプリケーションに対する特別なセキュリティ レイヤを追加できます。アプリケーション レベルのトレース、XML Web サービス、リモーティングに対応して、さまざまなファイル名拡張子を無効または有効にする必要があります。

先頭に戻る

URLScan を構成する

URLScan を構成して、ユーザーから要求される可能性がある標準の ASP.NET ファイル名拡張子を有効にするには、次の手順を実行します。
  1. URLScan ツールをインストールします。詳細と手順については、次のマイクロソフト Web サイトを参照してください。
  2. メモ帳などのテキスト エディタで Urlscan.ini ファイルを開きます。このファイルは \System Root\System32\Inetsrv\urlscan フォルダにあります。
  3. [AllowExtensions] セクションに、次のファイル名拡張子を追加します。
    • .ashx
    • .aspx
  4. [DenyExtensions] セクションに、次のファイル名拡張子を追加します。
    • .asax
    • .ascx
    • .config
    • .cs
    • .csproj
    • .dll
    • .licx
    • .pdb
    • .resx
    • .resources
    • .vb
    • .vbproj
    • .vsdisco
    • .webinfo
    • .xsd
    • .xsx
  5. アプリケーション レベルのトレースを有効にするには、[AllowExtensions] セクションに .axd を追加します。アプリケーション レベルのトレースを有効にしない場合は、[DenyExtensions] セクションに .axd を追加します。
  6. Web サービスを許可するには、[AllowExtensions] セクションに .asmx を追加します。Web サービスを許可しない場合は、[DenyExtensions] セクションに .asmx を追加します。
  7. リモーティングを有効にするには、[AllowExtensions] セクションに .rem と .soap を追加します。リモーティングを有効にしない場合は、[DenyExtensions] セクションに .rem と .soap を追加します。
  8. Urlscan.ini ファイルを保存して閉じます。変更内容を有効にするには、IIS を再起動する必要があります。
: 上記の手順は、URLScan で UseAllowVerbs の設定が有効かどうかに関係なく、最適な保護が提供されるように設計されています。

先頭に戻る
関連情報
関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
315736Windows セキュリティを使用して ASP.NET アプリケーションをセキュリティで保護する方法
315588 クライアント側の証明書を使用して ASP.NET アプリケーションをセキュリティで保護する方法
818014 [HOWTO] .NET Framework をベースに構築されたアプリケーションのセキュリティ保護
先頭に戻る
プロパティ

文書番号:815155 - 最終更新日: 08/14/2008 22:56:47 - リビジョン: 6.2

Microsoft ASP.NET 1.0, Microsoft Internet Information Services version 5.1, Microsoft Internet Information Services 5.0, Microsoft Internet Information Server 4.0, Microsoft ASP.NET 1.1

  • kbscan kbsecurity kbconfig kbweb kbhowtomaster KB815155
フィードバック
=">ment.createElement('meta');m.name='ms.dqp0';m.content='true';document.getElementsByTagName('head')[0].appendChild(m);" onload="var m=document.createElement('meta');m.name='ms.dqp0';m.content='false';document.getElementsByTagName('head')[0].appendChild(m);" src="http://c1.microsoft.com/c.gif?">