日本のWebサイトへのクラッキングが多発していることを受けて,2月27日,マイクロソフトは,IIS(Internet Information Server/Services)における「Webコンテンツの改ざんに対する防御策」を公開した。IIS 4.0/5.0 それぞれでの具体的な対策手順を,分かりやすく説明している。併せて,「マイクロソフト IISセキュリティ情報センター」を開設。IISのセキュリティに関する質問などを,電話で受け付ける。対象はIISの正規ユーザー。期間は3月30日まで。
同社が公開した防御策は,Windows 2000でIIS 5.0を使用している場合と,Windows NT 4.0でIIS 4.0を使っている場合とに分け,それぞれで必要な対策を,順を追って説明している。内容は,(1)サービスパックの適用方法,(2)セキュリティパッチの適用方法,(3)MDACのRDS機能を無効にする方法,(4)OSのセキュアな設定方法,(5)IISのセキュアな設定方法である。
必要なパッチなどへのリンクを用意し,操作手順も詳細に記載しているので,分かりやすい。既に対策済みの管理者も,この情報を参考にして,チェック漏れがないかどうかを確認するとよいだろう。
ただし,この情報は,Webページの改ざんに対する防御策をまとめたものなので,より安全なサイト運営のためには,以前公開した「Internet Information Services 5.0 セキュリティのチェックリスト」あるいは「Internet Information Server 4.0 セキュリティ チェックリスト」を参考にするよう勧めている。
[マイクロソフトが公開する「Web コンテンツの改ざんに対する防御策についての説明」]
[関連記事:「Windowsのクラッキング対策“総まとめ”」]
