IIS Lockdown Tool 2.1

IIS 5 以前の環境は 「デフォルトで何でも出来る。だから簡単」 という方針で設計されていました。 IIS 6 以降はセキュリティを重視し、 「デフォルトでは何も動かない。だから安全」 という考えにシフトしてきています。

懐かしいので書くと、昔私は TechEd でこれ系のセッションを担当しました。
ITMedia: エンタープライズ: IIS のセキュリティ確保は情報収集と慎重な設計が基本

このため、IIS 5 のセキュリティを向上させようと思うといろいろな部分を無効にしたり、削除したりする必要がありました。 例えばデフォルトで Samples というディレクトリまでインストールされてしまいますが、これなどは本番環境では全く不要です。 こうしたディレクトリを削除する必要があります。

IIS Lockdown Tool 2.1 は IIS 5 をロックダウンするツールです。

インストール

スクリーンショットを取りました。参考にしてください。

インストールログ

%SYSTEMROOT%\System32\inetsrv に oblt-log.logoblt-rep.log が作成されます。 rep がサマリで、詳細は log の方です。

oblt-rep.log は以下のようになります。 この設定は ASP 用の設定です。 

Created local group: Web Anonymous Users
Added user 'IUSR_KEISUKEW2K' to local group 'Web Anonymous Users'.
Created local group: Web Applications
Added user 'IWAM_KEISUKEW2K' to local group 'Web Applications'.
Changes service smtpsvc startup type from Automatic to Disabled.
Changes service msftpsvc startup type from Automatic to Disabled.
Backed up metabase
Locked httpext.dll
Locked idq.dll
Disabled Internet Printing
Installed URLScan
Removed script map: .htw, C:\WINNT\System32\webhits.dll
Removed script map: .ida, C:\WINNT\System32\idq.dll
Removed script map: .idq, C:\WINNT\System32\idq.dll
Removed script map: .idc, C:\WINNT\System32\inetsrv\httpodbc.dll
Removed script map: .shtm, C:\WINNT\System32\inetsrv\ssinc.dll
Removed script map: .shtml, C:\WINNT\System32\inetsrv\ssinc.dll
Removed script map: .stm, C:\WINNT\System32\inetsrv\ssinc.dll
Removed script map: .printer, C:\WINNT\System32\msw3prt.dll
Installed 404.dll to system32\inetsrv
Removed printer virtual dir (/LM/W3SVC/1/ROOT/Printers)
Removed samples (/LM/W3SVC/1/ROOT/IISSamples)
Removed MSADC virtual dir (/LM/W3SVC/1/ROOT/MSADC)
Removed scripts virtual dir (/LM/W3SVC/1/ROOT/Scripts)
Removed IISAdmin virtual dir (/LM/W3SVC/1/ROOT/IISAdmin)
Removed IISAdmin web site (/LM/W3SVC/2)
Removed IISAdmin virtual dir (/LM/W3SVC/1/ROOT/IISHelp)
Set Deny All ACE for anonymous web users on system utilities under C:\WINNT
Set Deny Write ACE for anonymous web users under c:\inetpub\wwwroot
Set Deny Write ACE for anonymous web users under C:\Program 
Files\Common Files\Microsoft Shared\Web Server Extensions\40\isapi
Lockdown finished.
Details have been written to the log that is used for undoing 
the changes (oblt-log.log).  Note: modifying or erasing oblt-log.log 
will prevent the tool from being able to successfully undo the 
results of this lockdown.

ユーザー設定

IUSR は Web Anonymous Users グループに入り、 IWAM は Web Applications グループに入ります。 これらのグループは書き込み権限等が取られています。

ここまでお読みいただき、誠にありがとうございます。SNS 等でこの記事をシェアしていただけますと、大変励みになります。どうぞよろしくお願いします。

© 2024 Web/DB プログラミング徹底解説