米Microsoftは米国時間8月23日,同社のWebサーバー・ソフト「Internet Information Server/Sevices(IIS)」用のセキュリティ・ツール「IIS Lockdown Tool」を公開した。IISの機能を制限したり,設定を変更したりすることによって,セキュリティを高める。操作が容易なので,詳しい知識がなくても利用できることと,「Undo」機能により,ツール適用前の状態に戻せることが特徴。
対象は Windows NT 4.0 で稼働する IIS 4.0 および Windows 2000 の IIS 5.0。同社のダウンロード・ページでは特に対応言語は指定されていない。日本語版に対応しているかどうかについては,マイクロソフトに問い合わせているが,現時点では回答はない。【8月30日追記】マイクロソフトによると,同ツールの日本語環境での動作については確認していないという。日本語版対応に関しては現在検討中。
米Microsoftならびにマイクロソフトはセキュリティに対する取り組みを強化している。米Microsoftはパッチの適用状況などをチェックするツールを,8月15日に公開([関連記事])。マイクロソフトは8月22日に,パッチの適用方法を分かりやすく解説したページを公開している([関連記事])。そして今回,IISのセキュリティを高めるためのツールを公開した。
ツールを適用すると,以下に示す設定変更などを行い,IIS のセキュリティを高める。
(1)スクリプト・マッピングを削除する
IIS は ISAPIエクステンションと呼ばれるdll(Dynamic Link Library)を使用して,様々な機能を追加できる。ISAPIエクステンションは,あらかじめ関連付けられた拡張子を持つファイルが IIS に要求されると呼び出される。この関連付けが「スクリプト・マッピング」である。ISAPIエクステンションが原因のセキュリティ・ホールは多い。大きな被害をもたらした「Code Red」および「Code Red II」ワームは,ISAPIエクステンションの一つである「idq.dll」が原因であった。スクリプト・マッピングを削除することで,ISAPIエクステンションの影響を受けなくなる。当然,それらの機能も使用できなくなる。
ツールが削除するマッピングは,(i)Active Server Pages(.asp),(ii)Index Server Web Interface(.idq),(iii)Server Side Includes(.shtml, .shtm, .stm) ,(iv)Internet Data Connector (.idc) ,(v)Internet Printing (.printer) ,(vi)HTR Scripting (.htr) 。マッピングを削除した機能を呼び出す要求があった場合には,ツールに含まれる「404.dll」が「“File not found” error」を表示する。
(2)サンプル・ファイル,サンプル・プログラムを削除する
(3)「scripts」および「msadc」仮想ディレクトリを削除する
これにより,IIS のスクリプト機能,および RDS(Remote Data Services)機能を無効にする。なお,IIS から呼び出せなくするだけで,ディレクトリ自体およびディレクトリ内のファイルは削除しない。
(4)「WebDAV」を無効にする
WebDAV(Web Distributed Authoring and Versioning)とは,リモートからのWebコンテンツ作成と管理を可能にする,HTTPプロトコルを拡張したマイクロソフト独自の機能。過去にセキュリティ・ホールが見つかっている。
(5)IIS にアクセスしたユーザーが,システム・ユーティリティ(コマンド)を実行できないようにする
IIS サーバーにアクセスしたユーザーは,そのサーバーで「IUSER_マシン名」アカウントを与えられる。そのため,IIS(あるいはISAPIエクステンションなど)にセキュリティ・ホールが存在すると,通常「Everyone」グループに属する「IUSER_マシン名」権限で,システム・コマンドなどを実行される恐れがある。ツールを適用すれば,「IUSER_マシン名」権限ではコマンドなどを実行できなくなる。
(6)IIS にアクセスしたユーザーが,公開用ディレクトリに書き込みできないようにする
「IUSER_マシン名」アカウント権限は,公開用ディレクトリ(inetpub ディレクトリ)に対して,通常は読み取りしかできないように設定されている。しかしながら,現状ではセキュリティ・ホールなどが原因で,任意のファイルを書き込まれたり,変更されたりする恐れがある。そこで,セキュリティ・ホールなどを悪用されても書き込みできないように,明示的にパーミッションを設定する。
以上の設定の多くは,「Internet Information Server 4.0 セキュリティ チェックリスト」や「Internet Information Services 5 セキュリティのチェックリスト」で推奨されている。とはいえ,すべてを手動で行わなければならず手間がかかった。また,手動では困難な設定もある。今回のツールを使用すれば,それらの対策が容易に実行可能になる。
ツールには,「Express Lockdown」と「Advanced Lockdown」の2つのモードが用意されている。Express Lockdown はボタン1つで,上記すべての削除や変更を行う。Advanced Lockdown は,実行したい変更を選択する。同社のヘルプ・ファイルには,Advanced Lockdown は,(1)Express Lockdown が自サイトには適さなく,(2)設定変更による効果を理解できる場合のみ使用するよう記述されている。
同社では,上記の Express Lockdown を使用すれば,たとえパッチを適用していなくても,Code Redワームに見られたような,過去のセキュリティ・ホールの悪用からIISサーバーを守れるとしている。
また,ツールには「Undo」機能があり,ツールを適用する前の設定に戻すことができる。ただし,複数回ツールを使用した場合には,1回前の状態に戻すことしかできない。
なお,同社のWebページには,ツールの内容はほとんど記載されていない。詳細についてはツールに含まれるヘルプ・ファイル(iislockd.chm)などを参照してほしい。また,同ツールはWebに関するサービスだけを対象にしており,それ以外の FTP や Telnet,NNTP および SMTP などは対象外なので,注意が必要であるとしている。それらのサービスについては,個別にパッチを適用したり,設定変更を施す必要がある。
ツールのダウンロード・ページには,対応言語は特に記載されていないが,日本語環境できちんと動作するかどうかは不明。現在マイクロソフトに問い合わせ中である。【8月30日追記】マイクロソフトによると,同ツールの日本語環境での動作については確認していないという。日本語版対応に関しては現在検討中。
◎参考資料
◆IIS Lockdown Tool(英語)
◆IIS Lockdown Tool のダウンロード・ページ(英語)
