IIS Insider

セキュアなサーバーのためには、サーバーの標準のディレクトリ名を使用しない方法は最善策であるといえます。IIS では、攻撃者は、IIS サーバーの基本のファイル構造を必ずしも知っているわけではありません。たとえば、Web サイトのルート ロケーションを d:\websites\mywebsite にマップし、ユーザーがサーバーにアクセスする際に、default.asp のページを配信する場合、クライアントは、サーバーの既定のフォルダが d:\websites\mywebsite にあると確認する方法はありません。攻撃者がサーバーへの書き込みアクセス権を取得することができる場合、攻撃者は、独自の実行可能プログラムを、攻撃者が使用しているユーザー コンテキストの実行可能なセットのために実行可能なアクセス権のセットが設定されたロケーションを必要とするサーバーに書き込むことが考えられます。IIS 5 の既定の構成には、\inetpub\scripts フォルダなど、Everyone にフル コントロールが許可されるロケーションがあります。もちろん、これらのフォルダは、削除または変更する必要があり、これは、IIS Lockdown ツールで実行されるタスクのうちの 1 つです。

Web サーバー ファイルの場所をシステム ドライブ以外のドライブに変更することが重要です。（システム ドライブでは、既定で Inetpub が追加されます） これにより、攻撃者が潜在的な正規化攻撃 (例 :ディレクトリの移動に \ を使用し、IIS をだます) を行うのを防ぐことができます。新たな予防策として、既定のインストールによって作成されたフォルダ名を変更することができます。これにより、既知のパスが削除され、攻撃者が攻撃を行うことがより困難となります。この方法は行うのが簡単で （少なくともサーバーを最初にインストールする際には） セキュリティが向上するため、最善策と考えられ、できる限りこの措置をとる必要があります。

この場合、証明書サービスをインストールするのは、この目的を果たすための １ つの方法です。IIS サーバーに証明書サービスをインストールした場合、証明書サービスへ Web ベースのインターフェイスをホストする Certserv という名前の仮想ディレクトリが作成されます。その後、証明書リクエストを生成し、証明書を発行する証明書サービス アプリケーションに、その形式で貼り付けます。以下のサイトなど、このプロセスのステップバイステップの説明をご覧ください。

IIS 6.0 を使用しており、テストまたは社内での使用目的で証明書をインストールする必要がある場合、IIS 6 Resource Kit の SelfSSL ユーティリティを使用し、約 2 秒で行うことができます。コマンド ラインで、SelfSSL と入力するだけで、既定の Weｂ サイトに自己署名つきの証明書が即座にインストールされます。証明書を他のサイトにインストールし、コマンドライン スイッチを使用して、共通の名前および有効日などを含む証明書のコンテンツを管理することができます。詳細は、SelfSSL の資料をご覧ください。

IIS 6 をまだ使用していない場合、Microsoft ダウンロード センターからダウンロード可能な SSLDiag tool (英語) を使用することができます。SSLDiag のドキュメントを見るためには、setup.exe のパッケージをすべてダウンロードしてください。Web サイトに証明書をインストールするには、SSL Diagnostics のメイン ウインドウの Web サイト レベル ([W3SVC/<サイト番号>] によって表示されます) を、右クリックをし、次に Create New Certificate をクリックします。このツールにより、証明書をカスタマイズすることはできるようにはなりませんが、テストの目的で使用される、自動的に生成される証明書をインストールすることができるようになります。

これらのツールにより、自己署名入りの証明書が作成されますが、自己署名入りの証明書で、コンテンツをさらに管理する必要がある場合、（例 : エクストラネット向けにクライアントの証明書を発行する場合など） 証明書サービスをインストールする必要があります。Web サイトで、匿名ユーザーに、信頼される SSL 接続を提供する必要がある場合、信頼される証明書機関から証明書を購入する必要があります。

Web フォルダを使用すると、非常に便利です。Web フォルダの概念があまり詳しくない方への説明としては、それは基本的にはエクスプローラのディレクトリのためのフォルダのようなもので、コンテンツは IIS サーバー上にあるというものです。フォルダを作成すると、コンテンツをフォルダにドラッグ アンド ドロップし、ファイルの名前を変更し、ローカル ファイル上で行うように、IIS サーバー上のコンテンツを管理することができます。（ただし、Http を使用します） これにより、FTP または他の特別なメカニズムを使用しないで、コンテンツを IIS に発行する非常に有効な方法が提供されます。

あいにく、Web フォルダ (WebDAV) の全体の話は非常に複雑です。そのため、様々な環境の Web フォルダを使用した公開のための会社規模のシステムを実装するのは困難です。仕様は、IIS と連携するために使用しているクライアント オペレーティング システムの種類によって異なります。Front Page Server Extensions は IIS サーバー上にインストールされていますか? この場合、IIS 5 とクライアント オペレーティング システムとして Windows XP Professional が使用されており、FrontPage Server Extension はインストールされていないと思われます。（サーバー上に FrontPage Server Extensions がインストールされている場合、それにより、標準のプロバイダではなく Web フォルダの機能が提供されます。

最初に、いくつかの誤解を解きましょう。Web フォルダは、サーバー上に Web フォルダを作成しないように、クライアント上に作成されます。サーバー側では、単純に Web フォルダを使用する際に、クライアントがファイルを配置し、適切な NTFS アクセス権をフォルダに構成する必要があるロケーションを識別する必要があります。また、IIS を構成し、書き込みアクセス権を許可し、ニーズに合った認証を構成する必要があります。

この場合 Windows XP Professional を使用しているので、IIS サーバーのディレクトリにこのコンテンツを配置する必要があります。言い換えると、Web フォルダの URL を http://servername にすることができません。これは、Windows XP Professional 上の WebClient サービスの固有の要件で、これにより、net use コマンドで、Web フォルダの機能が提供されます。

このすべてが Windows XP Professional で適切に設定された場合、コマンド プロンプトで、以下のように入力を行うことができます。

net use * http://servername/foldername 

すると、IIS サーバーに、ドライブがマップされます。その後、xcopy を使用し、IIS にコンテンツを移動することができます。マップされたドライブは、ユーザーのプロファイルの一部となり、新規のユーザーがコンピュータにログオンする際には表示されないことに注意してください。