IIS Insider

IUSR アカウントは、"Web 匿名ユーザー" アカウント、または "インターネット ゲスト" アカウントと呼ばれることもあります。IUSR アカウントは、通常略して呼ばれますが、実際にはIUSR_<サーバー名> という形を取り、<サーバー名> はIIS がインストールされた際のサーバーのNetBIOS 名となります。恐らくご存知のように、これは匿名認証がIIS サーバー上で有効にされ、IUSR アカウントが、リクエストされた種類のアクセスに適切なNTFS アクセス許可を所有する場合に使用されるアカウントです。

このアカウント名は周知となるため、ハッカーがサーバー上のユーザー名およびパスワードを推測するのをより困難にするためにIUSR アカウントの名前を別の名前に変更することを推奨します。これは、より高度なセキュリティで保護したサーバーを実現するために堅実な忠告ではありますが、他に注意すべき点がいくつかあります。

匿名ユーザーアカウントの名前を変更する際、インターネットインフォメーションサービスマネージャおよびローカルコンピュータにユーザーとグループでも変更する必要があります。（匿名ユーザーのためにローカルアカウントを使用している場合）ユーザーとグループでIUSR アカウントを削除または変更し、Internet Services Manger で新たな匿名ユーザーアカウントを割り当てない場合、IUSR アカウントは次回の再起動で自動的に再度作成されます。私はよく、IUSR アカウントを単に無効にし、新たなアカウントを作成し、Internet Services Manager で匿名アクセスのためにそのアカウントを割り当てます。IIS Lockdown ツールを実行した場合、新たなユーザーを Web 匿名ユーザーローカルグループのメンバにします。

新たなユーザー名およびパスワードを匿名ユーザーのために作成する際、必ず強力なパスワードを使用してください。Windows 2000 の匿名ユーザーアカウントは、アルファベット 14 文字でランダムに生成される文字列となります。人間がパスワードを作成する際、元の匿名ユーザーパスワードよりずっと効果的でないパスワードを作成する傾向があるため、非常に強力なパスワード作成するように注意してください。

これらの点に留意し、インターネットサービスマネージャで、新たな匿名ユーザーアカウントを指定した場合、アカウントの変更による影響はありません。

2001 年 12 月の IIS Insider の「IUSR アカウントをセキュリティで保護する方法」を参照ください。

FrontPage Server Extensions (FPSE) を Web サーバーにインストールする際、FPSE がアクセス許可を自動的に管理するか、またはマニュアルで管理する設定にするかを選択する必要があります。既定で、FPSE は拡張がインストールされた Web サイト上でアクセス許可を自動的に管理します。この自動管理は、必要な場合、インターネットサービスマネージャのサーバーアイコン上で右クリックをし、無効に設定することができます。サーバーのプロパティから [Server Extensions] タブを選択し、[権限を手動で管理する] チェックボックスをオンにします。これはサイト毎には設定できないサーバー全体の設定であることに注意してください。FPSE でアクセス許可を自動で管理するか、またはマニュアルで管理するかの選択をし、両方を使用する設定にしないでおくことを強く推奨します。

FPSE 2000 リソースキットは、http://officeupdate.microsoft.com/japan/frontpage/wpp/serk/ からダウンロードすることができ、FPSE によって割り当てられ、保守されるアクセス許可の詳細のアカウントが含まれています。これらのアクセス許可には、質問の中で出たネットワークとインタラクティブグループの使用も含まれています。

ネットワークグループは、ネットワークログオンタイプを所有するすべてのユーザーから構成される自動的に保守されるローカルグループです。このグループのメンバは、通常ネットワークにログオンしています。インタラクティブグループはローカルログオンタイプを所有するすべてのユーザーから構成させる自動的に保守されるローカルグループです。このグループは、コンピュータコンソールでログオンしたユーザーおよび基本認証を使用して認証されたユーザーから構成されます。

この質問には様々な背景がありますが、それらをいくつかの法則にまとめることができます。これらの法則は、IIS 4 およびIIS 5 の両者に当てはまります。1 つ目の認証における不変な法則は、「匿名ユーザーとして認証することができる場合、そのユーザーは匿名ユーザーとなる」というものです。これには、匿名認証のみがリソースを有効にすることが必要となります。匿名ユーザーはリクエストされたリソースへのアクセス権があります。この法則の唯一の例外は、ユーザーが匿名ユーザー以外のユーザーとして既に認証されている場合およびその他の種類の認証が匿名以外で有効にされている場合です。

複数の認証方法を選択し、ユーザーが匿名ユーザーではない場合、使用する認証方法を決定するプロセスはどのようになるでしょうか？それは、IIS では、クライアントに認証方法のリストを確認することができ、クライアントが最も安全な方法を選択します。そのため、基本認証と統合Windows 認証（またはIIS 4 のWindows NT チャレンジ/レスポンス）を選択する場合、Netscape は統合Windows 認証を実行できないため、基本認証が選択されます。しかし、Internet Explorer では、基本認証と統合Windows 認証の選択肢がある場合、統合Windows 認証が選択されます。IIS 5 サーバー、IIS、IE は、Kerberos が有効であるかをその後確認し、有効である場合、Kerberos を使用します。IIS 4 などその他のサーバーでは、Windows NT チャレンジ/レスポンスが使用されます。