WEBサーバー:IIS



 Windows NT+ IIS環境下で、ホームページを設置した。
 まだアクセスカウンター、アクセス制限すらも設置してない段階。
・動的なページ[Dynamic html, xml, css等使用]も作りたいし、
・CGI,ASP利用で公開されるフリーウェア、シェアウエアによる、掲示板、BBS,グループウェア
・Index server利用の検索ページ
・Database[Access, Excel, Filemakerなど]を介したデータ交換
・Netmeeting等による通信
など、いろいろやる予定。

 というわけで、参考資料、ツール、サンプルを集めてみた。

●課題
 Windows NT再インストール。[01.8.14]




■IIS 関連ニュース

 最近セキュリティがらみで、IISがニュースになることがあるので、そのfollowをここで行う。


●Code Red:セキュリティ関連



MicrosoftがIISのセキュリティホール修正パッチ[01.5.17]
 IIS4.0 & IIS5用。 
この欠陥はURLをリクエストされる度に行われるセキュリティの再チェックに関わるもの。
この機構に詳しければ再チェックをシステム侵入の突破口にできるという。14日にリリー
スされたパッチは,この問題を含むこれまで知られている全てのセキュリティホールを修
復するもの。この問題点は自動的に侵入者にシステムの制御権を明け渡すようなものでは
ないため,セキュリティ専門家らは2週間前に発見されたIISのプリントモジュールのセキ
ュリティホールより深刻度は低いとしている。 

Technet:緊急 : Code Red ワームに対する警告- 至急修正プログラムをインストールして下さい- [2001.8.9 Microsoft]
 --- IIS4,5用。修正プログラムを適用する。 NT_SP6a要
 これをインストールした結果、Windows NTが起動しなくなった。
 STOP メッセージ (致命的なシステム エラー) が発生。
詳細は以下を参照。→Windows NT起動トラブル:トラブル記録
 最終的に、Windows NTの再インストールとなった。
★Code Redとは
 ワームの一種で、IISの異常終了、Backdoor型トロイの木馬(Trojan.Virtual Root)
[explorer.exe,root.exe]の設置の被害をもたらす。
Code Red v3[Symantec]
 ---発見日: 2001年8月4日; 別名CodeRed.v3, CodeRed.C, CodeRed II, CodeRed III, W32.Bady.C 
★対応tool
マイクロソフトの修正プログラム
概要★「緊急 : Code Red ワームに対する警告」[Microsoft 01.7.31]2p
http://www.microsoft.com/japan/technet/security/codealrt.asp
 ---関連情報とツール入手先

詳細★「Code Red ワームを阻止する修正プログラムのインストール」
Code Red による深刻な問題に対する防護策と対処方法についての説明[Microsoft 01.8.8]14p
http://www.microsoft.com/japan/technet/security/codeptch.asp
 ---Code Red詳細説明と対処方法
1)サービスパックの入手
このワームに対して対処するための修正モジュールを適用するには、 Windows NT 4.0 Service Pack 6a が必要。
Web からダウンロード
Windows NT4.0Service Pack 6a のご案内[Microsoft 00.1.12]
http://www.microsoft.com/japan/products/ntupdate/nt4sp6/
 ---Intel(x86)版の場合、差分sp6patch_i386.exe(303KB),標準sp6full_i386.exe(56,186KB)
2)修正モジュールの入手
Windows NT 4.0 Service Pack 6a 以降のセキュリティ ロールアップ パッケージ (SRP) の提供を開始[Microsoft 01.8.2]3p
http://www.microsoft.com/japan/technet/security/nt4srp.asp
 ---修正プログラム入手先と修正内容詳細

2a)修正モジュールの問題
SRP 適用後に Compaq Smart アレイ コントローラの 1 つを搭載しているコンピュータで
問題が発生する場合があることが確認。それ以外のPCでも問題発生の可能性あり以下のKBを参照。
JP305228: Windows NT 4.0 セキュリティ ロールアップ パッケージ適用後 STOP 0xA 発生[Microsoft 01.8.10]3p
 ---ブルー スクリーンに表示されるエラーメッセージ。
STOP 0x0000000A (0xfcc35000, 0xa, 0x00000001, 0x801e092a)
IRQL_NOT_LESS_OR_EQUAL 
参照されるメモリは 0xfcc35000。IRQL は 0xa (IRQ 10) 。値 0 は読み取り、1 は書き
込み操作。メモリを参照したアドレスは 0x801e092a。
 註)対応ドライバ[cparray.sys]はCOMPAQでupdate済みだが、Compaq機のみ適用可。

上記の問題に関連して以下の文書が公表。
JP299444: Post Windows NT 4.0 SP6a セキュリティ ロールアップ パッケージ (SRP)[Microsoft 01.8.16]5p
同オリジナルPost-Windows NT 4.0 Service Pack 6a Security Rollup Package (SRP)[Microsoft 01.8.13]5p
J049764: [NT] サービスパックを再適用する必要のあるケース[Microsoft 99.8.23]2p
 ---通常Windows NT CDからコンポーネントを追加した場合など

★修正プログラム :NT Server 4.0 Download Security Update, July 26, 2001
http://www.microsoft.com/ntserver/nts/downloads/critical/q299444/default.asp
PC/AT 互換機用
http://www.microsoft.com/downloads/release.asp?ReleaseID=31717
 ---日本語版13.99MB ; http://download.microsoft.com/download/winntsp/Patch/q299444/NT4/JA/JPNQ299444i.exe
NEC PC-9800 シリーズ用
http://www.microsoft.com/downloads/release.asp?ReleaseID=31754
 ---日本語版13.99MB ; http://download.microsoft.com/download/winntsp/NEC98/q299444/NT4/JA/JPNQ299444n.exe

3)感染チェックツールの入手
感染する危険性をチェックするためのツールは、次の 2 社より提供されております。 
ワーム「CodeRED」セキュリティホール検知ツール (トレンドマイクロ社) 
Solution3057:ワーム「CODERED」セキュリティホール検知ツール[Trendmicro 01.8.2]
http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=3057
 ---3057CRchk.exe (361KB)
Symantec Security Check - CodeRed Check (シマンテック社) 
Symantec Security Check - CodeRed Check[Symantec ]
http://www.symantec.com/region/jp/securitycheck/codered_secutitycheck.html
 ---CRdetect.exe 他ツール
セキュリティホールとなっている脆弱性の存在をチェック[シマンテック]

★ニュース
ワーム「Code Red」被害拡大〜東京めたりっく・インターリンクなど被害続出〜[Internet Watch 01.8.6]
 ---関連サイトリンク10
シマンテック、さらに悪質なCodeRedワームの変種を警告−バックドア型トロイの木馬を仕掛けるCodeRed.v3−[シマンテック 01.8.6]




●その他




●IIS設定


■IISヘルプファイル

 IISを解説している資料はたくさんあるけれど、概要はわかるんだけど、"実務的"
なことを知りたいとき、また特定のことに関して、キチンとしたことを知りたい時には
あまりなくて、やはり「ヘルプ」が頼りになる。

http://localhost/iishelp/iis/misc/default.asp
 註1)localhost=\管理者webサイト=homeディレクトリ=d:\WinNT\system32\inetsrv\iisadmin。 しかし実際には、d:\winNT\help\iis/misc/default.asp。 しかしまたWin98/NTなどでブラウザーで開く場合は default.htmから開く。 その場合IIS起動状態のヘルプ参照と異なり、サブメニュー(contents.htm,asp)は開かないし、リンクされたページもサーバーエラーとなってしまう。
 2)ここにはIndex serverを含むWindows NT optionpackのすべてのヘルプを参照可

 これはローカルでは、例d:\WinNT\help\iis\default.htmから起動するんだけど、
 d:\WinNT\help\iis\misc\content.htmでVBscriptを使ってCohhk.hhk等のファイルで
内容を管理しているので、通常のWEBページのようにページ参照できない。
 それで、自分でローカルに参照するため、IISでWEBページとして設定して、下記のようにしてみた。
●http://www2.fukumi.co.jp/iishelp/




■IIS初期インストールフォルダ

├□ InetPub
│├□ Catalog.wci
│├□ FTPROOT
│├□ GOPHROOT
│├□ iissamples
│├□ MAIL
│├□ Mailroot
│├□ News
│├□ NNTPFILE
│├□ SCRIPTS
│└□ WWWROOT


└□ WINNT
 ├□ Help
 │├□ IIS



●Windows Help関連フォルダ



└□ WINNT
 ├□ Help   	[5623]
 │├□ CertSrv	[315]	*Certificate Server
 │├□ COMMON   	[55]
 │├□ DEBUG   	[76]	*MS Script Debugger
 ││└□ ART   	[30]
 │├□ IIS   	[1680]	*IIS
 ││├□ HTM   	[1634]
 │││├□ adminsamples	[20]
 │││├□ ASP	[370]
 ││││├□ ART	[2]
 │││├□ CORE	[285]
 │││├□ MM 	[45]
 ││││├□ EN
 │││││└□ ALPHA
 │││├□ SDK	[883]
 ││││└□ ART
 │││└□ TUTORIAL	[31]
 │││ └□ TEMPLATE	[6]
 ││├□ MISC 	[41]
 ││└□ WINHELP	[4]
 │├□ IX   	[193]	*Index server
 ││├□ HTM   	[192]
 ││└□ WINHELP	[1]
 │├□ JSCRIPT	[936]	*Jscript
 ││└□ HTM   	[936]
 │├□ MAIL   	[139]	*MS SMTP Service
 │├□ MMC   	[31]	*Microsoft 管理コンソール
 ││├□ HTM   	[29]
 ││└□ MISC   	[2]
 │├□ Mts   	[694]	*Microsoft Transaction Server (MTS)
 ││├□ HTML   	[688]
 │││└□ IMAGES	[107]
 ││├□ MISC   	[2]
 ││└□ Winhelp	[4]
 │├□ NEWS   	[83]	*Microsoft NNTP Service
 │├□ RASICS   	[360]	*Internet Connection Services for RASファースト ステップ ガイド
 ││├□ CMAK   	[85]		Connection Manager Administration Kitガイド
 ││├□ CPS   	[143]		Connection Point Services管理者ガイド
 ││└□ IAS   	[81]		MS Internet Authentication Services管理者ガイド
 │├□ SSE   	[68]	*MS Site Server Express
 ││└□ PA   	[64]
 ││ ├□ HTM	[48]
 ││ └□ MISC	[15]
 │├□ UA Express	[237]	*MS Site Server Express Usage Import and Report Writer
 ││├□ Docs   	[222]		[IISログファイル情報を収集分析]
 │││└□ Webdocs	[221]
 │└□ VBSCRIPT	[617]	*VBScript
 │ └□ HTM   	[617]



●スクリプト関連フォルダ[WinNT]



●WSH
d:\winnt\system32\wsh*
d:\winnt\system32\setup\wsh.dll,wsh.ini
d:\winnt\help\iis\htm\asp\wsh*.htm
d:\winnt\samples\wsh\

●Jscript
d:\winnt\system32\Jscript.dll
d:\winnt\help\jscript\
d:\Program files\Microsoft Visual Studio\common\...\Jscript5.chm &
d:\Inetpub\iissamples\sdk\asp\applications\application_jscript.asp,session_jscript.asp,timeout_jscript.asp
d:\Inetpub\iissamples\sdk\asp\components\Adrotator_jscript.asp,BrowserCap_jscript.asp,CDO_jscript.asp他
d:\Inetpub\iissamples\sdk\asp\database\Adddelete_jscript.asp,Blob_jscript.asp,htmltable_jscript.asp他
d:\Inetpub\iissamples\sdk\asp\interaction\Buffer_jscript.asp,Cancel_jscript.asp,CDF_jscript.asp他
d:\Inetpub\iissamples\sdk\asp\QUEUing\EncryptedDescription_jscript.asp,他
d:\Inetpub\iissamples\sdk\asp\simple\arrays_jscript.asp,他
d:\Inetpub\iissamples\sdk\asp\transactional\Fundtransfer_jscript.asp,他

●VBScript
d:\winnt\system32\vbscript.dll
d:\winnt\help\vbscript\
d:\Inetpub\iissamples\sdk\asp\applications\application_vbscript.asp,session_vbscript.asp,timeout_vbscript.asp
d:\Inetpub\iissamples\sdk\asp\components\Adrotator_vbscript.asp,BrowserCap_vbscript.asp,CDO_vbscript.asp他
d:\Inetpub\iissamples\sdk\asp\database\Adddelete_vbscript.asp,Blob_vbscript.asp,htmltable_vbscript.asp他
d:\Inetpub\iissamples\sdk\asp\interaction\Buffer_vbscript.asp,Cancel_vbscript.asp,CDF_vbscript.asp他
d:\Inetpub\iissamples\sdk\asp\QUEUing\EncryptedDescription_vbscript.asp,他
d:\Inetpub\iissamples\sdk\asp\simple\arrays_vbscript.asp,他
d:\Inetpub\iissamples\sdk\asp\transactional\Fundtransfer_vbscript.asp,他

●ASP
d:\winnt\system32\aspperf.dll
d:\winnt\system32\drivers\aspixnt.sys
d:\winnt\system32\inetsrv\asp.dll
d:\winnt\system32\inetsrv\asp\
d:\winnt\system\aspiexec.exe
d:\winnt\help\iis\htm\asp\
d:\winnt\java\TrustLib\com\ms\asp\
d:\Program files\Microsoft Visual Studio\common\...\asp.chm &
d:\Inetpub\iissamples\sdk\asp\

●script
d:\winnt\system32\pscript.sep
d:\winnt\system32\wscript.exe
d:\winnt\system32\cscript.exe
d:\winnt\system32\scriptle.dll
d:\winnt\ras\script.doc
d:\winnt\system32\repl\import\scripts\
d:\winnt\system32\repl\export\scripts\
d:\winnt\system32\inetsrv\iisadmin\iiscript.asp
d:\winnt\help\wscript.hlp
d:\winnt\help\iis\htm\asp\script1a.asp
d:\winnt\help\iis\htm\tutorial\script1.asp,script4.asp,script6.asp
d:\winnt\help\mts\html\scriptable.htm他
d:\program files\common files\microsoft shared\.....\scripts\

●Java
d:\winnt\Java\



●スクリプト関連フォルダ[Win98]



●WSH
c:\win98rk\wshadmin.hlp
c:\win98\samples\wsh\
c:\win98\help\iis\htm\asp\wsh*
c:\win98\inf\wsh.inf
c:\win98\system\wsh*

●Jscript
c:\win98\system\Jscript.dll
c:\win98\help\jscript\
c:\Program files\Microsoft Frontpage Express\Microsoft\...\Jscript5.chm &

●VBScript
c:\win98\system\vbscript.dll
c:\win98\help\vbscript\

●ASP

●script
c:\win98\wscript.exe
c:\win98\script.doc
c:\win98\system\lmscript.exe
c:\win98\system\scriptle.dll
c:\win98\system\pscript.ini
c:\win98\command\cscript.exe
c:\win98\help\iis\htm\asp\script1a.asp
c:\win98\help\iis\htm\tutorial\script1.asp,script4.asp,script6.asp
c:\win98\help\mts\html\scriptable.htm他
c:\program files\common files\microsoft shared\.....\scripts\

●Java
c:\win98\Java\







■CGI,ASP等の設置場所

●設置場所



 「アプリケーションのマッピングを設定する」でperl等へのパスが設定されている限り、
CGI,pl,asp等の設置場所はどのディレクトリでも構わない。
 html中に書かれるスクリプトの場所が仮想ディレクトリとして使える状態であればよい。

├□ InetPub
│├□ SCRIPTS
│└□ WWWROOT
 

 詳細はIIS_Help [サーバーの管理] -[アプリケーションを構成する] -[CGIアプリケーションを構成する]。
● 参考にはIIS_Help [サーバーの管理] -[アプリケーションを構成する] -[ASPアプリ
ケーションを構成する]。

●CGIアプリケーションをインストールして構成するには
CGIプログラムのためのディレクトリをセットアップします。セキュリティを強化す
るには、CGIプログラムとコンテンツのファイルを分けて置く必要があります。
ディレクトリの名前をCgi-binにする必要はありません。 詳細については、「仮想ディレクトリを作成する」を参照。

1. CGIプログラムがスクリプトの場合は、適切なスクリプトインタープリタを入手して
インストールします。 WindowsNTおよびWindows95の各OSでは、Perl、SED、またはAWKは提供されていない。 Perlインタープリタは、『WindowsNTリソースキット』に収録。

2. CGIプログラムが.exeファイルになっている場合は、ディレクトリに「実行」アクセ
ス権を設定します。 CGIプログラムがスクリプトの場合は、ディレクトリに「実行」
アクセス権または「スクリプト」アクセス権を設定します。詳細については、「アク
セス制御」を参照。



●ディレクトリに「実行」アクセス権または「スクリプト」アクセス権を設定



「スクリプト」アクセス権を指定する場合は、ディレクトリのプロパティシートで、
スクリプトのインタープリタをスクリプトエンジンとして指定する必要がある。
ディレクトリ内で実行できるのは、スクリプトエンジンとして指定されているイン
タープリタだけ。 実行可能ファイル((.dllファイルと.exeファイル)を直接実行す
ることはできない。 つまり、ブラウザからの要求で、URLにプログラム名を含めて
も、実行可能ファイルは起動できません。 「スクリプト」アクセス権と[スクリプト
エンジン]オプションを併せて使うことで、コンテンツのファイル(.htmファイルや
.gifファイルなど)とCGIスクリプトを同じディレクトリに安全に格納できます。
 この場合、コンテンツのファイルはブラウザで表示されて、スクリプトは実行される
が、認められていないプログラムを実行したり、スクリプトコマンドをブラウザに表
示したりすることはできない。



●NTFSのアクセス権を設定します。



NTFSのアクセス権を使う場合は、プログラムを実行する必要のあるすべてのユー
ザーに、ディレクトリに対する「実行」アクセス権を忘れずに与えます。匿名ユー
ザーを受け付けるWebサイトでは、匿名ユーザー(IUSR_computernameアカウント)
に、「実行」アクセス権を設定します。
 リモートサーバーで実行されるCmd.exeにマップされているスクリプトに別のスクリプ
トからアクセスする場合、既定の実行時ディレクトリはローカルコンピュータの
%SYSTEM32%に設定される。 %SYSTEM32%の既定値は、\Winnt\System32(WindowsNT
の場合)および\Win95\System(Windows95以上の場合)。




■既定のWEB:セキュリティ設定

 MMCスナップイン使用時、[既定のWEB] -[プロパティ]の各項目のうち、関係あるものの設定を述べる。
 一般的に行われる設定。



●[ディレクトリセキュリティ] -[匿名アクセスと認証制限]



●匿名認証
 IISで一般向けにWEB公開する場合は、必ず"匿名アクセス"にチェックをいれます。
 そうしないと、一般の人はアクセスできません。
内容 すべてのユーザーが、指定したリソースへのアクセスを許可されます。ブラウザにはユーザー名とパスワードの入力を求めるダイアログ ボックスは表示されず、ユーザー情報を入力する必要はありません。匿名ユーザーは、Windows NT® のユーザー アカウントである IUSR_computernameを偽装して、そのユーザーとして振る舞います。
要件 クライアント : なし。すべてのブラウザで機能します。
サーバー : ローカル ログオンの権限を持ち、Everyone ユーザー グループに所属する有効な Windows NT ユーザー アカウントが必要。アカウント IUSR_computername は、匿名認証のために標準でインストールされます。
一般的な使用目的 インターネットサイトでの公開情報。
設定方法 1. ISM の [匿名アクセス] チェック ボックスをオンにします。
2. [編集] をクリックし、アカウント IUSR_computername が選択されていることを確認します。
3. [自動パスワード同期を有効にする] (IIS 5.0 では [IIS によるパスワードの管理を許可する]) チェック ボックスをオンにして、パスワードの同期を行うように設定します。
メモ セキュリティ : サーバーおよび指定したリソースにアクセスするすべてのユーザーが、アカウント IUSR_computername に与えられたユーザー権限とアクセス権を持つことになります。このアカウントには高レベルのアクセス権を与えないでください。
ファイアウォール : この認証方法は、プロキシ サーバーやほかのファイアウォールの使用による影響は受けません。

一般的な注意事項

IUSR_
computername アカウント		 このアカウントは IIS により標準でインストールされ、適切なユーザー権限、アクセス権、ユーザー グループの割り当てが設定されます。通常は、このアカウントに設定されている設定を変更したり、匿名認証のために別のアカウントを使用したりする必要はありません (サーバー名を変更した場合を除きます)。設定を変更したり別のアカウントを使用することもできますが、サーバーにアクセスするユーザーは、使用するアカウントに割り当てられている権利や権限をすべて持つことになる点に留意する必要があります。
パスワードの同期 : 匿名認証で IIS が使用するパスワードは、Windows NT で使用されるパスワードと同じでなければなりません。パスワードが一致しない場合、匿名認証は機能しません。パスワードが確実に同じとなるようにするには、[編集] をクリックして表示される [自動パスワード同期を有効にする] (IIS 5.0 では [IIS によるパスワードの管理を許可する]) チェックボックスをオンにします。
サーバー名の変更 : サーバーの名前を変更した場合、Windows NT のユーザー アカウント IUSR_computernameは再起動時に自動的に更新されます。ただし、IIS が使用するアカウントは古いままなので、アカウントが存在しないことになります。IIS で使用するアカウントについては、[編集] をクリックして新しいアカウント名を入力するか、アカウント名を参照し、アカウントの設定を変更する必要があります。
ローカル ログオン このユーザーの権限は、物理的にサーバー コンピュータにログオンした場合と同様の権限をアカウントに与えます。この権利は、匿名認証および基本認証の各認証方法で使用されるすべてのアカウントに割り当てなければなりません。これが割り当てられないと、認証が機能せず、"403:Access Denied" というエラー メッセージがユーザーに表示されます。

 from ●IIS 4.0 および IIS 5.0 の認証方法一覧

註1)●サーバー名を変更した場合
 IUSR_ComputerNameが無効になってしまうのに注意。 詳細は上の表参照。
註2)●Frontpage Server Extension利用時は、
 次の"基本認証"にも同時にチェックをいれる必要がある。
 (そうしないと、WEBフォルダがエラーで開けない)
●[ホームディレクトリ]

●Web サーバーのセキュリティの設定

IIS には固有のセキュリティ システムが内蔵されており、インターネット サービス マネージャ(ISM)を使用してアクセスできます。ISM から Web サイトで右クリックし、プロパティを選択して [ホーム ディレクトリ] タブを選択すると、Web サーバーのセキュリティの設定を表示できます。


ご使用のブラウザがインライン フレームをサポートしていない場合は、ここをクリックして、別のページに表示してください。

from Technet:NTFS セキュリティ 第 1 部 : Web サイトにおける NTFS の標準権限の実装[Microsoft]


表3.6.2-2 アクセス権一覧
項目名 内容 推奨の設定
スクリプトソースアクセス ASP等のスクリプトソースを、ブラウザー上から参照できるようにします。 チェックを外します。ソースが公開されることは大変危険です。
ログアクセス ディレクトリへのアクセスを、ログファイルに記録します。 チェックを付けます。
読み取り ディレクトリへのアクセスとして、読み取りを可能にします。 チェックを付けます
このリソースに索引を付ける Microsoft Indexing Serviceを使用しているときの、Webサイトのフルテキストインデックスボックスに入れます。 チェックを外します。Indexing Serviceを使用している場合も、予期せぬ情報漏洩を防ぐために、外すことをおすすめします。
書き込み サーバへの書き込み機能をサポートするブラウザにおいて、ファイルなどの書き込みができるようにします。 チェックを外します。データの改竄の原因になります。
ディレクトリの参照 ディレクトリ内の、ファイル一覧をブラウザ上で表示できるようにします。 チェックを外します。通常は表示されないはずのページにアクセスされる可能性があり、情報漏洩の危険があります。
実行アクセス権 なし HTMLや画像ファイルなど、静的なファイルのみにアクセスを許可します。 必要に応じて設定を行います。Webアプリケーションを使用しない場合は、「なし」を選択します。
「スクリプトおよび実行可能ファイル」を選択しておけば、サービス性は高くなりますがセキュリティ・レベルは低くなります。
スクリプトのみ ASP等のスクリプトのみの実行を許可します。
スクリプト
および
実行可能ファイル		 全てのファイルアクセスと、アプリケーションの実行を許可します。
アプリケーション保護
(IIS プロセス)		 Webサーバサービスと同じプロセスで実行させます。 必要に応じて設定を行います。「高(分離プロセス)」を選択すれば、1つアプリケーションがクラッシュなどの問題を起こしても、Webサービスや他のアプリケーションに影響を避けることができ、DoS攻撃対策になります。

(プール)		 既に実行されている、他のWebアプリケーションと同じプロセスで実行させます。

(分離プロセス)		 他のプロセスから分離された、独立プロセスで実行させます。

(5) 認証済みアクセス

普段のブラウザによるWebサーバへのアクセスは、 匿名アクセスとして扱われます。
匿名アクセスでは、これに割り当てられたWindowsユーザアカウントを使用し、 サーバ内のフォルダにアクセスが行われます。
よって、全ての人にWebコンテンツを参照してもらうには、 それを公開するフォルダに匿名アクセス用ユーザ アカウントに読み取り許可のアクセス権が必要です。 なお、ここでいうアクセス権限とは、NTFSアクセス制御のことであり、 エクスプローラなどでファイルやフォルダを選択し、 これらのプロパティ画面から設定するセキュリティのことです。
対して、匿名アクセス用の読み取り許可が与えられていないフォルダにWebブラウザからアクセスすると、ブラウザー上には、ユーザ名とパスワードの入力を要求するダイアログが表示されます。
この場合、フォルダへのアクセス許可があるWindows ユーザ アカウントの名とパスワードを入力することで、アクセスが可能になるのですが、デフォルトの設定では Internet Explorer からのみ可能となります。
これを、ブラウザに関係なく行うためのの手順を、以下に説明します。

  1. Webサイトのプロパティを開きます。
  2. 「ディレクトリ セキュリティ」タグをクリックし、 「匿名および認証コントロール」の欄の「編集」ボタンを押下します。
  3. 表示された「認証方法」画面にて、「認証済みアクセス」の欄にある、 「基本認証」のチェックボックスにチェックを付けます。

以上で、ほとんどのブラウザでの認証済みアクセスが可能になります。
ただし、ユーザ名とパスワードが暗号化されずに通信されるため、 セキュリティレベルが低くなります
この問題を解決し、ブラウザの種類に関係なく、ユーザ名とパスワードを暗号化によって通信するためには、SSLを使用してください。
from ●3.6.2 Microsoft Webサービスのセキュリティ設定 







●NTFSセキュリティ



 Windows Explorer: wwwrootフォルダに関して、右クリック[プロパティ] -[セキュリティ]で、
 Administrators	フルコントロール
 Everyone   	読みとり
を設定




■アクセス制限

IISインストールアンドアドミニストレーションガイド:ユーザー名またはグループ名によるアクセスの制御
アクセス制限方法はいろいろあるが、外部からのアクセス制限を特定のフォルダに対して行うことができる。
 特定のフォルダにたいしてユーザーアカウントの設定をする。
(インターネット サービスマネージャによる)[ ディレクトリ] プロパティシートで設定
 詳細はIIS_Help [サーバーの管理] -[セキュリティ] -[アクセス制御]。
 具体的方法が書いてある。 その前項目[認証]も参考に。

●認証方法



適切に IIS にアクセスおよび管理をするには、System アカウントとローカルの Adminis
trators グループには、コンピュータ上のすべてのドライブに対し、フルコントロールの
アクセス権が必要です。これらのアクセス権はコマンドプロンプトから設定することがで
きます。各 NTFS ドライブで以下のコマンドを実行します: 
   cd \ 
   cacls * /T /E /C /P System:F Administrators:F

適切な NTFS アクセス権のほかに IIS では、ユーザーが Web サーバーにアクセスする際、
適切なユーザーの権利を持つことが必要です。次の表は、認証タイプと、それぞれの認証
タイプを使用するときに必要なユーザーの権利の一覧です 
    認証タイプ                           必要なユーザーの権利
    -------------------              ------------------------------
    匿名                                 ローカル ログオン
    基本認証 (クリア テキスト)           ローカル ログオン
    NT チャレンジ/レスポンス             ネットワーク経由でコンピュータへアクセス
    ダイジェスト認証 (IIS 5.0 のみ)      ネットワーク経由でコンピュータへアクセス
    統合 Windows 認証 (IIS 5.0 のみ)   ネットワーク経由でコンピュータへアクセス
 from [IIS]サイトを動作させるために必要な NTFS アクセス権の一覧


●参考
IIS 4.0 の認証の構成
IIS 4.0 および IIS 5.0 の認証方法一覧
[IIS]誤った NTFS アクセス許可により IIS でエラーが発生する[Microsoft]
[IIS]サイトを動作させるために必要な NTFS アクセス権の一覧
 ---アクセス権のない Web ページにアクセスしようとすると、次のエラー メッセージが
表示されることがあります。 
HTTP 401.3 - リソース上の ACL によってアクセスを拒否されました。







●IIS活用


■管理保守

●アクセスログ

サイトの利用状況のログを収集する

Web サイトのログ収集機能を有効にすることで、ユーザーの利用状況の情報を収集できます。収集された情報は、ASCII ファイルまたは ODBC 準拠のデータベースに格納されます。IIS のログ情報には、Windows 2000 のイベント ログ収集機能やパフォーマンス監視機能では記録されない情報も含まれます。このログには、 Web サイトにアクセスした利用者名、利用者が閲覧した情報、最後に情報を閲覧した日時、などの情報を収集できます。このログを使って、コンテンツの人気を評価したり、情報のボトルネックを特定したりすることができます。

ここで説明する項目は次のとおりです。

関連するその他の項目

★アクセスログの場所(デフォルト)
 「既定のWEBサイト」プロパティでアクティブログ形式のプロパティを参照。
デフォルトだと、所在は"%SystemRoot%\system32\LogFiles"、ファイル名は
W3SVC1\inyymmdd.log





●アクセスログ管理ツール



 実際に試用してみて、一番のお勧めはWebLogです。(free)

 --- from Vector: Webホスト用
	Windows > インターネット&通信 > Web用ユーティリティ > Webホスト用
★[share][sregi](4,800円)[new]AccessHunterオフライン版 2.20 WEBサーバ アクセスログ解析ツール  (2,822K)
 --- CLF(NCSA形式)、IIS形式サポート。 多機能分析。 30日試用可
[free]HPAccessLog 2.01 ホームページのアクセスログ収集+ログビューア (257K)
[share][sregi](1,500円)HpAcs 1.2 あなたのホームページのアクセス状況をさまざまな角度から解析 (3,028K)
[share][sregi](2,500円)HPアクセス解析ソフト 1.33 ホームページのアクセス状況を解析します (266K)
 --- サーバーに置きログ記録するタイプ。試用期間1か月程度、機能制限なし
 Win95/98/NT, Perl, VB6 runtime要。
 HTMLファイル毎に、ホームページのアクセス状況を解析します。解析できる項目は、月
別,週別,曜日別,日付別,時間別,OS別,ブラウザ別,エージェント別,ホスト名(IPアドレス)
別,前画面別,ページ別の11種類です。
★[free]IISのログファイルのグラフ表示ソフト 1.0 IIS の ログファイル(W3C拡張)をグラフで表示 (211K)
[free]LOG-O 1.0 アクセスログ解析 (18K)
[share][sregi](500円)[new]LogAnalyzer for ASP 1.02 アクセスログを分かりやすく管理者に通知するWebアプリケーション (20K)
★[share][sregi](1,000円)LogQuick 1.10
 アクセスログ集計・解析ツール 分散ファイル集計や不正アクセスの分割表示が行えます (96K)
 --- IIS/Apache対応。Win95/98/NT/2000。試用期間、機能制限なし。要VB6sp4ランタイム
 分割保存されたログファイルをまとめて集計。抽出された明細をCSV形式で保存可。
さらに対象ファイルを指定し、正常アクセスとアクセス違反を分けて集計。
★[free]MIO-ACS For ASP 1.2 ホームページのアクセス解析を行うASP版のアクセス解析ツール (99K)
 --- OS別にも解析。 サーバーに置き記録するタイプ。要IIS/PWS
[share](5,000円)SAL for apache 1.1 apacheのログを解析してレポートを作成 (10,190K)
[share](10,500円(税込み))SAL for Radius 1.0 Radiusのログを解析してレポートを作成 (10,423K)
★[free]WebLog Internet Information Server(IIS)のログ解析ツール
 --- 一番のお勧め。 複数ログ一括読み込み可。 ログ項目は一通り全部MDB保存可。
 要VB6ランタイム。様なログの抽出・集計ができ、その結果をCSV出力可能。
[free]WebLog Convert Internet Information Server(IIS)のログ変換ツール 
[free]WebLog-NCSA Internet Information Server(IIS)のログ(NCSA形式)解析ツール 
[share](9,800円)Webサイト解析ツール Web Analyzer for Excel97/2000 1.0 サイトへのアクセス状況をExcel上で自動解析 (221K)
[製品][sregi](8,800円)Web知る 1.21 IISのログから、Webのアクセス状況を知るためのログ解析ツール (209K)
[free]シンクプロ ログ解析 1.1 Access2000で動作するアクセスログ解析ツール (87K)
 --- 複数ログ読み込み不可なのが残念。

●[share](3,500円)[Mysoft]アクセスログ分析ツール Witness 3.5-0 by 小池 幸徳
 --- witness_jwin_3_5_0.zip 8,290K 2001.2.27 ; 必要なソフト JRE(Javaの実行環境)
Windows95/98/NT/2000 Unix Linux; 試用期間2週間
NCSA形式、W3C拡張形式(W3CExtended)、マイクロソフトIIS形式アクセスログの完全分析ツール
 最新ドメイン名リストを収納
Witness3.5では2002年1月13日現在の.jp全ドメイン名約26万件を収容いたしました。
 アクセスログ代行 - ログ・ミーサービス
貴方のホームページのアクセスログを弊社サーバー上に作成、Witnessを利用したアクセ
スログの解析が行えます。設定も簡単でインターネット初心者の方でも御利用いただけます。
バナー広告の効果を分析してますか?
Witnessの直前URL分析機能によりバナー広告からのアクセス頻度、特性等を詳細に分析し、
バナー広告の効果を寄り一層高めます。 
Witnessはこんな問題を解決します
不正アクセスに悩まされていませんか?アクセス元をズバリ逆探知!
あなたのホームページにどんな人が来ているか気になりませんか? 
アクセスカウンターだけで貴方のホームページの分析は充分ですか? 

Witnessならわかります 
ご自分のホームページがどこからリンクされているか? 
1日当り何人訪れたのか? 
今月は何人訪れたのか? 
時間帯別にどの時間帯が混んでいるか? 
どのページが人気があるか? 
訪問者のホスト名は? 
訪問者のIPアドレスは? 
訪問者のドメイン名? 
使っているブラウザーは? 
各ホームページ毎のアクセス数は? 
各ボタンのヒット数は? 
バナー広告が本当に役に立っているか? 
更に月次、日次のレポート機能も!

Witnessとは 
サーバー側に特別な設定はいりませんので、Witnessをクライアント 側にインストールするだけでご利用になれます。
更に詳細な分析を行うにはWitnessの提供するLogWriterをサーバー側にインストールする
ことにより、アクセスログを  Witness形式アクセスログとして作成、分析する事ができます。 
UNIX版のWitnessを実行するには JAVAの実行環境が必要ですので、お持ちでない場合には
 FAQでご確認の上、クライアント側にインストールして下さい。Windowsの場合は必要ありません。




●リモート保守



 MMCの部「リモート管理」で解説してある。
★ブラウザー経由
 http://ipアドレス/iisadmin/
 --- html経由は読み込みに時間がかかるというデメリットあり。
 註1)デフォルトでは、リモート禁止になってるので、仮想フォルダIISADMINプロパティ
のディレクトリのIP制限の設定を変更する。
 2)リモートアクセス後"Active ディレクトリ サービス オブジェクトに接続できませんでした。"
 --- このエラーに対しては 

★Lan経由
註)ターミナルサービスによる方法
LAN、PPTP、またはダイアルアップなどのネットワーク接続で Microsoft ターミナル サービスを使用すると、IIS をリモート管理できます。ターミナルサービスでは、リモート コンピュータに Microsoft 管理コンソール (MMC) や IIS スナップインをインストールする必要はありません。詳細については、ターミナル サービスのマニュアルを参照してください。特に指定しない限り、ターミナル サービスのマニュアルは C:\Winnt\Help\TermSrv.chm および C:\Winnt\Help\TermCli.chm にインストールされています。
* Terminal ServiceはWindows 2000では標準装備(WBT=Windows-Based Terminal) 。
Windows NT Terminal serverは別ライセンス。

[11S1.0]インターネット上でのIIS の管理[01.2.9]

★[free]WebRemote(ウェブリモート) 1.00 ★Windows系WEBサーバーをIEやiMode等から遠隔操作★ (1,161K)




●セキュリティ管理



[IIS4.0]安全なIISコンピュータの実行に必要なサービスの一覧
 --- IIS 4.0 を実行するために必要なサービス、必要のないサービス、および必要にな
る可能性のあるサービスをまとめたものです。
[IIS4.0,5.0]Webサーバーによるファイル要求の解析の脆弱性への対策[01.4.20]
[IIS4.0]Microsoft Security Bulletin MS99-025のFAQ[01.2.27]

★Technetセキュリティセンター
Microsoft Internet Information Server 4.0 セキュリティ チェックリスト[01.3.5]|[詳細]
Web セキュリティのしくみ : IIS セキュリティの活用
IIS 4.0 セキュリティの基本
IIS 4.0 の認証の構成
IIS 4.0 および IIS 5.0 の認証方法一覧




●監視ツールIIS Exception Monitor



IIS Exception Monitor
 --- IISの動作を監視し、アプリケーションの異常終了のような例外処理が発生した時に
なんらかのアクションをとれるようにするツール。 また原因を特定できる。
 上記からダウンロードしインストールする。 (デフォルトC:\ixcptmon)
 ixcptmon.exeを実行するとウィザードを起動しツールの構成を開始する。
 1) IISシステムを調査し、必要なシンボルファイル一覧を提示。
  註) IIS Symbolsとは、プログラムのリンク時に生成するデバッグのための情報ファイル
 2) シンボルファイルをMicrosoft サイトからダウンロード、逐次インストール。
 3) [Process options]で監視したいプロセスの種類を選択
 4) [Start Monitoring]でモニタリング開始。
 註) ログファイルの解析は、別のツール IIS Log File Analyzerで行う




●その他



[IIS] IIS 4.0 を使用した Windows NT アカウントのパスワード変更方法
 --- ユーザーが自分のパスワードを変更できるようにするには、使用している Webペー
ジで次の場所へのリンクを設定します。
http://servername/IISADMPWD/aexp.htr







●IIS関連リソース


■Microsoft社サイト

MS IISホームページ



概要|Web パブリッシング[4p]|アプリケーション[4p]|セキュリティ[2p]|運用管理[3p]
新機能一覧[8p]|他社製品との比較[7p]|旧バージョン製品との比較
Windows NT4.0 Option Pack|IIS技術情報&サポート|IIS 導入事例|ダウンロード
Windows NT Server|Windows NT ServerサービスパックMS-Technet IIS
CompanyX.Ltd におけるWindows NT 4.0とWindows 2000とのIIS |パフォーマンスの比較
IIS 5.0での管理作業の自動化
ASP での Excelスプレッドシートの表示 |ASPのプランニング
MicrosoftのWeb サイト上でのサーバー パフォーマンスの最適化
IIS4.0の認証の構成[9p] --- Certificate Server+ASP使用方法
など多数のドキュメントを提供。


IIS技術情報&サポート



製品別サポート情報IIS
 ---FAQ, 最近の技術情報など必須使用法
サポート技術情報検索 





Windows NT4.0 Option Pack −概要



Windows NT4.0 Option Pack −コンポーネント一覧
 インストールされるモジュール、内容、対応OS(WinNT,NT_W,Win95)一覧表
 主要なものでは、IIS4.0, PWS, Transaction Server(MTS)2.0, Message Queue Server
(MSMQ)1.0, Index Server2.0, Microsoft管理コンソール(MMC), Site Server Express, 
Certificate Server 1.0, IIS for RAS, SMTP Server 2.0, NNTP Server 2.0, MS Data Access Component,
Java VM, Script Debugger, Windows Scripting Host, Frontpage98 Server Extension等。
・IIS4.0 … ASP2.0, MMC_IISスナップイン, FTPサーバー, サンプルサイトを含む。
・Transaction Server(MTS)2.0 … MMC_MTSスナップインを含む。
・Site Server Express … Site Analyst(情報収集・視覚化)/Usage Analysy(IISログ
分析)/WebPost(httpサーバーupload)/Posting Acceptor(WebPost用ファイル転送)/。
・IIS for RAS … Radius認証サーバー(IAS)、電話帳サービス(CPS)、CMAK。
・MS Data Access Component … ADO,RDS,OLE DB,ODBCを含む。
・Script Debugger … VB Script, JScript用を含む。
 他の関連ページ★ホワイトペーパー|必要システム|使用許諾契約書|ダウンロード|リリースノート




■一般サイト

●FAQ



The Microsoft Internet Information Server FAQ[24p]
What's New?		WWWHTTP/HTMLの質問
全般的な情報と質問 	FTP - IIS のFTP サーバについての質問
IISの設定の質問 	ISAPI プログラミングFAQ((英語)
WWW - CGIの質問全般 	ISAPI 開発者向けのWWWサイト(英語)
WWW - IDC,ODBC,SQL ServerとIIS 	作者に関する情報と連絡先(英語)
ASP開発者向けのサイト(英語)

IIS - Links/News
http://www4.airnet.ne.jp/munakata/iis.html




●解説



インターネット&CGI入門講座EZ-NET Server特集
Internet Information Service 5.0 構築[8p]
ほか、Terminal Server, EMWAC IMS(無料メールサーバー), IIS-SMTP, Apache+Frontpage
 Extension, Bind 8.2.2, Delegateなど解説。

★Windows 2000 Guide on ZDNet
 --- Windows2000導入後、Active Directoryを新規導入する方法について詳述。
 MS-DNSインストールと設定、TCP/IP関連パラメータ設定、ADインストール、ADオブジェクト
(MMCと管理ツール/オブジェクト作成・配置/共有フォルダオブジェクト/共有プリンタオブジェクト/など)
MMCと管理ツールでは、Windows2000提供のスナップイン、管理ツール一覧表。


●セキュリティ関連



ZDNET: IISが危ない!? WEBサイト改ざん事件多発でIPAが警告[2001.2.10]
 --- 関連記事と関連サイトリンクがあるのでとても便利。




●使用事例



ASP での Excelスプレッドシートの表示[MS Technet_IIS]




●その他



IIS4.0編[www.ijournal.org]







●MMC[Microsoft管理コンソール]

●MMCについて調べた理由



 実は、IISの設定画面が、いつの間にか変わってしまった。 IIS設定を起動すると、
従来の既存
のWWW"などを含む画面ではなくて、MMCの画面が出てくるようになってしまったのだ。
 MS Office Extension, Frontpage Extensionをインストールした頃から。
 多分そのせいだ。
 IIS 5.0は最初からMMC管理下にあるから、そんなものだと納得できるけど、こっちは
戸惑ってしまう。

 結局[接続]でマシン名(自分の場合"FWD")を指定すればいいだけなんだけど....
 IIS 5.0以降はMMCを使うんだから、IIS-Snapinだけじゃなく、一応のことは知っておこう。




■Microsoft 管理コンソールについて

E:\WINNT\Help\MMC\HTM\MMC_0.HTM

●Microsoft 管理コンソール

Microsoft 管理コンソール (MMC) は、ネットワークの管理作業を論理的に構成したり、実行するための共通の枠組みを提供します。MMC は、外見上も、機能的にも Windows NT エクスプローラとよく似ています。ここでは、ネットワーク管理を行うためのコンソールを作成し、使用するために必要な概念について説明します。

ここでは、次の内容について説明します。

ここでは、MMC コンソールの作成については説明していません。「MMC コンソールの使用」を参照してください。

●MMC の概要

Microsoft 管理コンソール (MMC) は、"共通の管理コンソール" です。すなわち、MMC は、すべてのネットワーク管理プログラムで使用できる一貫した枠組みを提供します。この枠組みにより、管理作業を行うために必要なネットワークのツール、情報、および表示方法が単一のコンソールに統合されます。管理者は、このコンソールを使って、ネットワークを管理したり、管理作業を行うために別のコンソールを提供したりすることができます。

MMC 自体は、実際にネットワークを管理するわけではありません。MMC は、"スナップイン" と呼ばれるプログラムを呼び出すコンソールを表示します。ネットワークを管理するには、これらのスナップインを使います。たとえば、Internet Information Server 4.0 では、スナップインとしてインターネット サービス マネージャが実装されています。インターネット サービス マネージャを起動すると、MMC コンソールが起動し、インターネット サービス マネージャ スナップインを読み込みます。

Windows NT を含めて、将来の Microsoft BackOffice 製品ではすべて、現在の管理ツールは MMC スナップインに変換されます。MMC の仕様は他社にも公開されており、今後、多くのソフトウェア ベンダがスナップインにより管理される製品を発売するようになります。




■Microsoft 管理コンソール (MMC)の使用

E:\WINNT\Help\MMC\HTM\MMC_PROC.HTM

Microsoft 管理コンソール ファイル (拡張子が .msc のファイル) では、MMC コンソールを定義するネームスペースのコンソール ツリー、スナップイン、拡張、およびウィンドウの配置が指定されます。コンソールを作成するには、まずネームスペースを定義するスナップインのツリーとノードを作成します。次に、コンソールに関連する作業に必要なネームスペースの複数のビューに対応するウィンドウを作成します。保存したコンソール ファイルは、ユーザーに配布したり、ネットワーク経由で共有したりできます。

ここでは、次の内容について説明します。

ここでは、MMC の背景情報は説明していません。MMC の詳細については、次の項目を参照してください。


●ノードをネームスペースに直接追加する

E:\WINNT\Help\MMC\HTM\MMC_NODE.HTM
フォルダ、Web サイトへのリンク、およびコントロールは、MMC のネームスペースの任意
の場所に直接追加できます。

ネームスペースにノードを追加するには、次のようにします。
1.スコープ ウィンドウ領域 (左側の領域) で、新しいノードを追加するノードを選択します。 
2.スコープ ウィンドウ領域の上の [動作] メニューをクリックし、[新規作成] をポイン
トします。次に目的のオブジェクトをクリックします。 

ネームスペースからノードを削除するには、次のようにします。 
1.いずれかのウィンドウで、削除するノードを選択します。 
2.Del キーを押します。




リモート管理

IISのリモート管理には2つのオプションがあります。インターネット、またはプロキシサーバー経由でIISをリモート管理する場合は、ブラウザベースのインターネットサービスマネージャ(HTML)を使用します。"イントラネット"では、ブラウザベースのインターネットサービスマネージャ(HTML)、またはMicrosoft管理コンソール(MMC)のIISスナップインのどちらかを使用します。

注 IISのリモート管理には、LAN、PPTP、ダイヤルアップなどのネットワーク接続経由で Microsoftターミナルサービスを使用できます。

★ブラウザベースのインターネットサービスマネージャ(HTML)を有効にするには
 ローカルコンピュータのIISスナップインで、[管理者Webサイト]のプロパティシートを開きます。
[Webサイト]プロパティシートに表示されている[TCPポート番号]をメモします。
[ディレクトリセキュリティ]プロパティシートで、[IPアドレスとドメイン名の制限]の[編集]をクリックし、IISのリモート管理に使用されるコンピュータの権限を設定します。

★ブラウザベースのインターネットサービスマネージャ(HTML)を起動するには
 ブラウザを起動し、Administration Siteのドメイン名と、このサイトに割り当てられたポート番号を入力します。たとえば、「http://www.microsoft.com:port number」のように入力します。
注 IISスナップインが起動されるまで、インターネットサービスマネージャ(HTML)にはログ収集モジュールはインストールされません。

Webサイトオペレータとしてインターネットサービスマネージャ(HTML)にリモートアクセスするには
 ブラウザを起動し、該当するWebサイトのドメイン名に「/iisadmin/」を付けて入力します。たとえば、「http://www.microsoft.com/iisadmin/」のように入力します。

★このIISスナップインを使用して、イントラネットにあるリモートサイトを管理するには
 ネットワークにあるWindowsが実行されているコンピュータでIISスナップインを起動します。
管理の対象となるネットワークのIISのインストール状況を確認するには、ツールバーの[コンピュータ]アイコンをクリックします。
注 TCP/IPとWINS(Windowsインターネットネームサービス)がインストールされていない場合、使用しているコンピュータと同じサブネットにインストールされているIIS以外は表示されない可能性があります。

★ローカルまたはリモートでオンラインマニュアルにアクセスするには
ブラウザを起動し、「http://servername/iishelp/iis/misc/default.asp」に接続します。「servername」にはIISが実行されているコンピュータを指定します。

★関連項目
ブラウザベースの管理の詳細については、「WebサイトおよびFTPサイトについて」の「サイトをリモートで管理する」を参照してください。
SSLについては、「サーバーにSSLをセットアップする」を参照してください。


●実証

http://210.226.186.179/iisadmin/
HTTP エラー 403 - インターネット サービス マネージャ (HTML) へのアクセスはローカルホストからのみに制限されています
403.6 許可されていません: IP アドレスが拒否されました

セキュリティの関係から、インターネット サービス マネージャ (HTML) へのアクセスをインストールしたサーバー コンピュータ (Localhost、IP アドレス 127.0.0.1) のみに許可しています。

リモートからインターネット サービス マネージャ (HTML) を使用し、サーバーを管理できるようにするには、サーバー上のインターネット サービス マネージャを使用し、Web サイトの IISADMIN の IP アドレスによる制限を変更する必要があります。

・[スタート] メニューからインターネット サービス マネージャを起動する 
・接続しようとする Web サイトのノードを開く 
・IISADMIN 仮想ディレクトリを選択する 
・右クリックして [プロパティ] を選択する 
・[ディレクトリ セキュリティ] タブをクリックする 
・[IPアドレスとドメイン名の制限] を編集する




■IISスナップイン

監査を構成および監視する



[管理]-[サーバーの管理]-[セキユリティ]-[監査]-
Windows エクスプローラ、IIS スナップイン、および Microsoft 管理コンソール (MMC) を使って、Web サーバーのセキュリティに関連するイベントを監視し、特定のファイルやディレクトリに対するセキュリティの侵害を検出することができます。監査の詳細については、Windows のマニュアルを参照してください。ここでは、ディレクトリやファイルへのアクセス、およびサーバーのイベントに対して監査を構成する手順について説明します。

IIS のログ収集の詳細については、「サイトの利用状況のログを収集する」を参照してください。

★グループ ポリシー スナップインをインストールする

監査機能を使用するためには、グループ ポリシー スナップインをインストールする必要があります。このスナップインはコンピュータ管理コンソール(Computer Management console)には含まれません。グループ ポリシー スナップインのための新しいコンソールを作成する必要があります。MMC スナップインの追加に関する詳細については Windows 2000 のマニュアルを参照してください。

★新しい MMC コンソールを作成し、グループ ポリシー スナップインを追加する
1.[スタート] をクリックし、そして [ファイル名を指定して実行] をクリックします。[ファイル名を指定して実行] ダイアログ ボックスで、mmcと入力します。これにより、新しい MMC コンソールが開始されます。
2.[コンソール] メニューで、[スナップインの追加と削除] を選択します。
3.[スナップインの追加と削除] ダイアログ ボックスで、[追加] をクリックします。
4.[スタンドアロン スナップインの追加] ダイアログ ボックスで、スナップインのリストで [グループ ポリシー] を選択します。[追加] をクリックします。
5.[グループ ポリシー オブジェクトの選択] ダイアログ ボックスで 、[完了] をクリックし、ローカル コンピュータの監査を行うか、または [参照] をクリックし監査を行うコンピュータを選択します。
6.[参照] をクリックした場合、手順 7 へ進み、それ以外は、手順 9 に進みます。
7.[グループ ポリシー オブジェクトの参照] ダイアログ ボックスで、[コンピュータ] タブをクリックし、[別のコンピュータ] をクリックして監査を行うコンピュータを選択し、[OK] をクリックします。
8.[グループ ポリシー オブジェクトの選択] ダイアログ ボックスで [完了] をクリックします。
9.[スタンドアロン スナップインの追加] ダイアログ ボックスを閉じます。
10.[OK] をクリックします。
11.[コンソール] メニューで、[上書き保存] を選択し、ハードディスクに新しいコンソールを保存します。監査の構成に、このコンソールを使用します。

★別のアカウントで監査を構成するには
特に指定しない限り、Administrators グループのメンバだけが監査を構成する権限を持っています。サーバーのイベントの監査を構成する作業を、別のユーザー アカウントに任せることができます。別のアカウントに監査の構成を許可する手順は次のとおりです。
1.作成したグループ ポリシー コンソールで、[コンピュータの構成]、[Windows の設定]、[セキュリティの設定]、[ローカル ポリシー]、[ユーザー権利の割り当て] の順にクリックします。
2.[監査とセキュリティ ログの管理] を選択し、[操作] メニューで [セキュリティ] をクリックします。
3.[監査とセキュリティ ログの管理] ダイアログ ボックスで、[追加] をクリックします。
注 [追加] が選択できない場合は、[ローカル ポリシーから除外する] チェック ボックスをオフにして、このボタンをアクティブにします。
4.一覧から適切なユーザーまたはユーザー グループを選択して、[追加] をクリックし、[OK] をクリックします。

★ディレクトリまたはファイルへのアクセスを監査するには
次の監査機能を使用するには、NTFS ファイル システムが必要です。詳細については、「NTFS でファイルを保護する」を参照してください。
1.Windows エクスプローラで、監査するディレクトリまたはファイルを指定して、そのプロパティ シートを開きます。
2.[セキュリティ] タブをクリックします。
注 サーバーのファイル システムが FAT に設定されている場合は、[セキュリティ] タブが表示されません。FAT から NTFS への変換については、Windows のマニュアルを参照してください。
3.[詳細] をクリックし、[アクセス制御の設定] ダイアログ ボックスで、[監査] タブをクリックします。
4.監査するグループ、ユーザー、またはコンピュータを追加するには、[追加] をクリックし、一覧から、ユーザー、コンタクト、グループ、またはコンピュータを選択して、[OK] をクリックします。
5.[監査エントリ] ダイアログ ボックスの [アクセス] ボックスで、適切なオプションを選択します。これらのオプションの詳細については、Windows のマニュアルを参照してください。
6.監査するリソースの範囲を変更するには、[適用先] ボックスで、適切な監査レベルを選択します。これらのレベルの詳細については、Windows のマニュアルを参照してください。
7.選択した範囲のみに適用されるオブジェクトを監査する場合、[これらの監査エントリを、このコンテナの中にあるオブジェクトやコンテナにのみ適用する] チェック ボックスをオンにします。このチェック ボックスをオンにすると、選択範囲内で作成したオブジェクトでも、その範囲外で実行する場合は監査されなくなります。
注 ・監査にはコンピュータ リソースが使用されます。サーバーのパフォーマンスを最適化するため、監査対象はできるだけ絞り込みます。たとえば、100個のファイルを含むディレクトリの監査対象がそのうちの数ファイルのみである場合、ディレクトリ全体ではなく、対象ファイルに対してのみ監査を設定します。
・ディレクトリまたはファイルを共有して、そのディレクトリやファイルへのアクセスの監査をリモートに構成することができます。リモート ユーザーは、上記の手順を使用できます。ディレクトリやファイルの共有の詳細については、Windows のマニュアルを参照してください。 ★サーバーのイベント監査を構成するには
1.作成したグループ ポリシー コンソールで、[コンピュータの構成]、[Windows の設定]、[セキュリティの設定]、[ローカル ポリシー]、[監査ポリシー] の順にクリックします。
注 プライマリ ドメイン コントローラ (PDC) またはバックアップ ドメイン コントローラ (BDC) 上のドメインに対してセキュリティ原則を構成する場合は、[ローカル ポリシー] の代わりに [ドメイン ポリシー] をクリックします。

2.詳細ウィンドウで、監査するイベントを選択し、[操作] をクリックして、[セキュリティ] をクリックします。
3.必要に応じてチェック ボックスをオンまたはオフにします。監査オプションの詳細については、Windows のマニュアルを参照してください。
注 オプションが選択できない場合は、[ローカル ポリシーから除外する] チェック ボックスをオフにして、それらのオプションをアクティブにします。 4.[OK] をクリックします。

IIS スナップインを使用する

インターネット インフォメーション サービス スナップインは、Windows 2000 のほかの管理機能に統合されている IIS 5.0 の管理ツールです。旧バージョンでは、インターネット サービス マネージャと呼ばれていました。

インターネット インフォメーション サービス スナップインを起動するには
1.[スタート] ボタンをクリックし、[プログラム] をポイントして、次に [管理ツール] をポイントし、[コンピュータの管理] をクリックします。
2.[サービスとアプリケーション] の下にある [インターネット インフォメーション サービス] をクリックします。
注 ブラウザベースの管理ツールであるインターネット サービス マネージャ (HTML) は、[管理ツール] プログラム グループにはありません。詳細については、「リモート管理」を参照してください。







■IISマニュアル

from ■MSDN プラットフォームSDK■WEBサービス/IIS5.0

はじめに

インターネットインフォメーションサービス 5.0(IIS)は、イントラネットやインターネットで簡単に情報を公開するためのWindows 2000のWebサービスです。

[同期]ボタンをクリックすると、コンテンツペインで表示されているドキュメントに対応する目次が、ナビゲーションペインに表示されます。




管理

ここでは、インターネットインフォメーションサービススナップインを使って、IISを管理する方法について説明します。Microsoft管理コンソール(MMC)の中で動作するIISスナップインは、サーバーの設定すべてにアクセスできる強力なサイト管理ツールです。IISスナップインを使って、企業における複雑なイントラネットを管理したり、インターネットに情報を公開することができます。

ここで説明する項目は次のとおりです。

   インターネットインフォメーションサービススナップインはIIS 5.0の管理ツールで、Windows 2000の管理機能と統合されています。前バージョンでは、このツールをインターネットサービスマネージャと呼んでいました。

関連するその他の項目

Webサイト管理

サイトコンテンツのオーサリングと、必要な発行ディレクトリ構造を作成する方法

関連するその他の項目

サーバーの管理

既定の設定を調整してパフォーマンスやセキュリティを向上させる方法

ここでは、WebサイトおよびFTPサイトを作成する方法と既定の設定を変更する方法について説明します。また、サイトのトラフィックのログを収集し、サーバーのパフォーマンスを監視する方法についても説明します。

IISの既定の設定を使用したり、Webを公開するときのニーズに合わせ設定をカスタマイズしたりすることができます。既定の設定を調整することによって、付加価値を提供し、パフォーマンスを向上させ、セキュリティを強化できる場合があります。

ここで説明する項目は次のとおりです。

関連するその他の項目

管理者用リファレンス

レジストリとメタベースの設定について詳細に説明します。

ここでは、レジストリ構成プロパティ、メタベース、IISのWindowsイベント、カウンタ、タイムアウト、およびログ収集プロパティの詳細について説明します。このリファレンスは、管理作業用です。

ここで説明する項目は次のとおりです。

※関連するその他の項目




Active Server Pagesガイド

Active Server Pagesガイドへようこそ。このActive Server Pagesガイドでは、ASPページの作成方法とWebアプリケーションの開発方法について、詳細に説明します。また、ASPやISAPIアプリケーションからのアクセスを実現するコンポーネントの作成に利用できる、特殊なイベントメソッドおよびインターフェイスについても説明します。さらに、カスタムIIS構成データを保存する方法と、組み込みオブジェクトを使用してデータを操作する方法について説明します。最後に、IISと対話するさまざまな方法を示すスクリプトのライブラリおよびプログラム例を紹介します。

ここで説明する項目は次のとおりです。




既定のログオン ドメインを設定する

[MSDN]-[WEBサービス]-[IIS]-[管理]-[サーバーの管理]-[セキュリティ]-[認証]-
基本認証で認証を受けるユーザーは、有効な Windows ユーザー名とパスワードでログオンする必要があります。通常、ユーザー名には次のものが含まれます。

Windows "ドメイン" 名
アカウント ユーザー名
これらの名前により、Web サーバーが管理する 1 台または複数のコンピュータが単一のエンティティとして識別されます。たとえば、"Sales1" ドメインの "PhilSpencer" というアカウントを使用してログオンするユーザーは、"Sales1\PhilSpencer" としてログオンします。ただし、ユーザーがドメイン名を示さない場合に、基本認証用の既定のログオン ドメインを使用するように、Web サーバーを構成することができます。

★既定のログオン ドメインを設定するには
インターネット インフォメーション サービス スナップインで、Web サイト、ディレクトリ、またはファイルを選択し、そのプロパティ シートを開きます。
[ディレクトリ セキュリティ] プロパティ シートまたは [ファイル セキュリティ] プロパティ シートをクリックします。[匿名アクセスおよび認証コントロール] の [編集] をクリックします。
[認証方法] ダイアログ ボックスで、[基本認証] チェック ボックスをオンにします。
注 基本認証ではパスワードが暗号化されずにネットワークに送信されるので、先に進むかどうかを確認するメッセージが表示されます。[はい] をクリックして先に進みます。

[編集] をクリックします。
[基本認証ドメイン] ダイアログ ボックスで、新しく既定のログオン ドメインにするドメイン名を入力するか、または参照して選択します。Web サーバーの既定のドメイン名を使用するには、[標準設定] をクリックします。




潟tクミ Fukumi Corporation
〒101-0032 東京都千代田区岩本町2−4−10共同ビル(岩本町2丁目) tel.03-5687-2890 fax.03-5687-2918 URL:www.fukumi.co.jp/  E-Mail: mm@fukumi.co.jp
Tips 目次へ戻る。
ホームへ戻る。
作成:2000.11.3 最終更新:2001.11.10 小菅博之