DetailPage-MSS-KB

サポート技術情報

文書番号: 825538 - 最終更新日: 2004年7月5日 - リビジョン: 1.1

目次

概要

この資料では、Microsoft インターネット インフォメーション サービス (IIS) の URLScan ユーティリティをインストールして構成する方法について手順を追って説明します。この資料の手順を実行すると、マイクロソフト Web サイトから URLScan をダウンロードできます。URLScan は、Web サーバーの安全性をさらに高めるために設計されています。

IIS Lockdown Wizard をダウンロードしてインストールする

URLScan は IIS Lockdown Wizard に含まれています。 IIS Lockdown Wizard のインストール方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
325864  (http://support.microsoft.com/kb/325864/ ) [HOWTO] IIS Lockdown Wizard のインストール方法および使用方法

URLScan のデフォルト構成を変更する

URLScan のデフォルト構成では FrontPage の機能を妨げることがあるため、構成を変更して FrontPage が適切に機能し、機密情報を含む FrontPage ファイルへのアクセスを拒否するように設定する必要があります。以下の手順はその変更例です。URLScan の設定の関連情報については、この資料の「関連情報」を参照してください。
  1. [スタート] ボタンを右クリックし、[エクスプローラ] をクリックして、次のフォルダに移動します (%windir% は C:\Windows または C:\Winnt などの Windows フォルダです)。
    %windir% \system32\inetsrv\urlscan
  2. urlscan.ini ファイルを右クリックし、[コピー] をクリックします。
  3. フォルダ内で右クリックし、[貼り付け] をクリックします。

    "コピー ~ urlscan.ini" という名前でファイルのコピーが作成されます。
  4. urlscan.ini ファイルをダブルクリックします (メモ帳でファイルが開かれます)。
  5. 次のように変更します。
    1. [options] セクションで、以下の値を設定します。
      [options] 
      UseAllowVerbs=1          ; use the [AllowVerbs] section 
      UseAllowExtensions=0     ; use the [DenyExtensions] section 
      NormalizeUrlBeforeScan=1 ; canonicalize URL before processing 
      VerifyNormalization=1    ; canonicalize URL twice, reject on change 
      AllowHighBitCharacters=0 ; deny high bit (UTF8 or MBCS) characters 
      AllowDotInPath=0         ; deny dots in path 
      EnableLogging=1          ; log activity 
      PerDayLogging=1          ; change log files daily 
      PerProcessLogging=0      ; do not change log files by process ID 
      RemoveServerHeader=0     ; do not remove"Server" header 
      AlternateServerName= 
      UseFastPathReject=0      ; use RejectResponseUrl or log the request 
      RejectResponseUrl= 
      AllowLateScanning=1      ; allow URLScan to be loaded low priority
    2. [AllowVerbs] セクションでは、以下の値のみを使用します。これ以外の値は使用しません。
      [AllowVerbs] 
      GET ; allow GET (most Web requests) 
      HEAD ; allow HEAD requests 
      OPTIONS ; allow OPTIONS (Web Folders need this) 
      POST ; allow POST (FPSE and HTML forms need this)
      
    3. [DenyHeaders] セクションでは、以下の値のみを使用します。これ以外の値は使用しません。
      [DenyHeaders] 
      If:         ; deny (used with WebDAV) 
      Lock-Token: ; deny (used with WebDAV)
    4. [DenyExtensions] セクションで、以下の値を設定します。
      [DenyExtensions]
       .asa     ; deny active server application definition files
       .bat     ; deny batch files
       .btr     ; deny FrontPage dependency files
       .cer     ; deny x509 certificate files
       .cdx     ; deny dynamic channel definition files
       .cmd     ; deny batch files
       .cnf     ; deny FrontPage metadata files
       .com     ; deny server command-line applications
       .dat     ; deny data files
       .evt     ; deny Event Viewer logs
       .exe     ; deny server command-line applications
       .htr     ; deny IIS legacy HTML admin tool
       .htw     ; deny Index Server hit-highlighting
       .ida     ; deny Index Server legacy HTML admin tool
       .idc     ; deny IIS legacy database query files
       .inc     ; deny include files
       .ini     ; deny configuration files
       .ldb     ; deny Microsoft Access Record-Locking Information files
       .log     ; deny log files
       .pol     ; deny policy files
       .printer ; deny Internet Printing Services
       .sav     ; deny backup registry files
       .shtm    ; deny IIS Server Side Includes
       .shtml   ; deny IIS Server Side Includes
       .stm     ; deny IIS Server Side Includes
       .tmp     ; deny temporary files
    5. [DenyUrlSequences] セクションで、以下の値を設定します。
      [DenyUrlSequences]
       ..        ; deny directory traversals
       ./        ; deny trailing dot on a directory name
       \         ; deny backslashes in URL
       :         ; deny alternate stream access
       %         ; deny escaping after normalization
       &         ; deny multiple CGI processes to run on a single request
       /fpdb/    ; deny browse access to FrontPage database files
       /_private ; deny FrontPage private files (often form results)
       /_vti_pvt ; deny FrontPage Web configuration files
       /_vti_cnf ; deny FrontPage metadata files
       /_vti_txt ; deny FrontPage text catalogs and indices
       /_vti_log ; deny FrontPage authoring log files
    6. 今回の設定では、[DenyVerbs] セクションと [AllowExtensions] セクションは使用しないため、これらのセクションの設定はありません。 構成ファイルのこれらのセクションの関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
      307608  (http://support.microsoft.com/kb/307608/JA/ ) [INFO] IIS の URLScan を使用する
  6. ファイルを保存し、メモ帳を終了します。

URLScan の優先順位を変更する (任意)

デフォルトでは、IIS の URLScan ツールの優先順位は "高" です。この優先順位は、URLScan が呼び出される前にタスクを実行する必要がある他の ISAPI (Internet Server Application Programming Interface) フィルタの妨げになる場合があります。FrontPage Server Extensions (Fpexedll.dll) ISAPI フィルタもその 1 つです。ここでは、Fpexedll.dll に実装されている ISAPI フィルタの実行後に URLScan を読み込むように構成する方法について説明します。この手順は、他の ISAPI フィルタを使用して URLScan を構成する場合にも簡単に適用できます。詳細については、使用している ISAPI フィルタのマニュアルを参照してください。

: 以下の手順を完了する前に、URLScan を優先順位の低いフィルタとして読み込むように、urlscan.ini ファイルで "AllowLateScanning=1" と正しく設定する必要があります。これを行うには、前の「URLScan のデフォルト構成ファイルを変更する」の手順を実行します。
  1. インターネット サービス マネージャを起動します。起動するには、IIS のバージョンに応じて以下の手順を実行します。
    • IIS 4.0 の場合

      : Windows NT 4.0 に FrontPage 2003 をインストールすることはできません。
      1. Windows で、[スタート] ボタンをクリックし、[プログラム] をポイントし、[Windows NT 4.0 Option Pack] をポイントします。
      2. [Microsoft Internet Information Server] をポイントし、[インターネット サービス マネージャ] をクリックします。
    • IIS 5.0 の場合
      1. Windows で、[スタート] ボタンをクリックし、[プログラム] をポイントし、[管理ツール] をポイントします。
      2. [インターネット サービス マネージャ] をクリックします。
    • IIS 5.1 の場合
      1. Windows で、[スタート] ボタンをクリックし、[コントロール パネル] をクリックします。
      2. [パフォーマンスとメンテナンス]、[管理ツール] の順にクリックするか、[管理ツール] をダブルクリックします。
      3. [インターネット インフォメーション サービス] をダブルクリックします。
  2. サーバー名を右クリックし、[プロパティ] をクリックします。

    IIS 5.1 の場合は、サーバー名を展開し、[Web サイト] を右クリックし、[プロパティ] をクリックします。
  3. [マスタ プロパティ] ボックスの一覧の [WWW サービス] をクリックし、[編集] をクリックします。

    IIS 5.1 の場合、この手順は不要です。
  4. [ISAPI フィルタ] タブをクリックします。
  5. [UrlScan] をクリックし、下向き矢印をクリックして UrlScan を fpexedll.dll の下に移動します。
  6. [OK] をクリックします。
  7. もう一度 [OK] をクリックします。

    IIS 5.1 の場合、この手順は不要です。

IIS を再起動して URLScan をアップデートする

IIS が起動すると、URLScan がメモリに読み込まれて urlscan.ini ファイルの設定を読み取ります。そのため、IIS を再起動して新しい構成の設定を有効にする必要があります。これを行うには、IIS のバージョンに応じて以下の手順を実行します。
  • IIS 4.0 の場合

    : Windows NT 4.0 に FrontPage 2003 をインストールすることはできません。
    1. コマンド プロンプトで、次のように入力します。
      NET STOP "IIS Admin Service" /Y
    2. 停止時にいくつかの依存サービスが表示された場合は、後でこれらのサービスを再開できるように名前を記録しておきます。
    3. 次のメッセージが表示されることを確認します。
      IIS Admin Service サービスは正常に停止されました。
      メッセージが表示されたら、各 IIS サービスの名前を指定して再開します。これを行うには、コマンド プロンプトで以下のコマンドを入力し、各行末で Enter キーを押します。
      NET START "World Wide Web Publishing Service"
      NET START "Microsoft SMTP Service"
      NET START "FTP Publishing Service"
    4. コマンド プロンプトを終了します。
  • IIS 5.0 の場合
    1. サーバー名を右クリックし、[IIS を再起動します] をクリックします。
    2. [IIS の停止/開始/再起動] ボックスの一覧の [Your Computer のインターネット サービスを再起動します] をクリックします。
    3. [OK] をクリックします。
  • IIS 5.1 の場合
    1. サーバー名を右クリックし、[すべてのタスク] をポイントし、[IIS を再起動します] をクリックします。
    2. [Your Computer のインターネット サービスを再起動します] をクリックします。
    3. [OK] をクリックします。
IIS を再起動する方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
185382  (http://support.microsoft.com/kb/185382/JA/ ) [IIS]Inetinfo プロセスを手動で停止または開始する方法
236166  (http://support.microsoft.com/kb/236166/JA/ ) [IIS] IIS における NET STOP と NET START コマンドの使用
202013  (http://support.microsoft.com/kb/202013/JA/ ) [IIS]Iisreset コマンドで IIS 5.0 を制御する方法

トラブルシューティング

  • URLScan のデフォルト構成を変更する」に示す設定では、urlscan.ini ファイルの [options] セクションで "EnableLogging=1" を指定します。この設定により、すべての URLScan 処理がログに記録されます。このログ ファイルは urlscan.dll ファイルと同じフォルダに保存されます。URLScan が有効になっている間に FrontPage または他の IIS 機能に問題が生じた場合は、ログ ファイルの最新のエントリを参照して、拒否された要求を確認してください。
  • urlscan.ini ファイルにさらに変更を加える場合は、既存の urlscan.ini ファイルのコピーを作成し、Urlscan.001、Urlscan.002 などの名前を付けて、これまでの変更履歴がわかるようにしておきます。こうすることで、新しいセキュリティの構成を実装する際に良好な構成が失われないようにできます。
  • URLScan に行った変更が有効になっていないと思われる場合は、IIS サービスを再起動する手順を繰り返します。それでも変更が有効にならない場合は、Web サーバーを再起動します。

関連情報

URLScan ツールをインストールして構成する方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
307608  (http://support.microsoft.com/kb/307608/JA/ ) [INFO] IIS の URLScan を使用する
309508  (http://support.microsoft.com/kb/309508/JA/ ) [XCCC] Exchange 環境での IIS Lockdown と URLscan の構成
307976  (http://support.microsoft.com/kb/307976/ ) FP: Error Message When You Use FrontPage with URLScan

関連情報

この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 825538  (http://support.microsoft.com/kb/825538/EN-US/ ) (最終更新日 2003-09-05) を基に作成したものです。

この資料に含まれているサンプル コード/プログラムは英語版を前提に書かれたものをありのままに記述しており、日本語環境での動作は確認されておりません。

この資料は以下の製品について記述したものです。
  • Microsoft Office FrontPage 2003
  • Microsoft FrontPage 2002 Server Extensions
  • Microsoft SharePoint Team Services
  • Microsoft Internet Information Server 4.0
  • Microsoft Internet Information Services 5.0
  • Microsoft Internet Information Services 5.1
キーワード: 
kbhowtomaster KB825538
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"
共有
その他サポート オプション
マイクロソフト コミュニティ サポート フォーラム
お問い合わせ
マイクロソフト認定パートナーの検索
Microsoft Store