■「URLScanセキュリティツール」のインストール方法
Internet Information Server 4.0/Internet Information Services 5.x(以下、IIS)の脆弱性の多くは、攻撃者からの不正なリクエストを受け取ることで顕在化します。すでに明らかになっている脆弱性は、修正プログラムを適用することによって解消できますが、未知の脆弱性をねらった攻撃に対する防御策として、不正なリクエストを受け取らないようにすることが有効です。マイクロソフトは、IISに対する不正な(不正な可能性が高い)特定のHTTPリクエストをブロックし、そうしたリクエストがIISにより処理されないようにする「URLScanセキュリティツール」ならびに、IISの不要なサービスを停止するなどしてIISの安全性を高める「IIS
Lockdownツール」を提供しています。今回は、URLScanセキュリティツールのインストール方法について解説します。
URLScanセキュリティツールとは
URLScanセキュリティツールは、IIS Lockdownツールと連携し、HTTPリクエストを制限したり、ログを取得したりするものです。具体的には、.dllや.com、.exeといった拡張子を含むリクエストを解析し、ファイルの実行を制限したり、非ASCII文字を含むURLを排除したりします(これらは、攻撃用の不正なリクエストである可能性があります)。さらにURLScanセキュリティツール
2.5では、以下の3つの機能が強化されています。
・ログ・ファイル保存ディレクトリの変更
ログ・ファイルを保存するディレクトリを任意に変更することで、ログ・ファイルからの情報漏洩やログ・ファイルの改ざん、ログ記録機能の脆弱性を悪用した攻撃を回避できる可能性があります。
・長いURLリクエストの記録
リクエストされたURLを最大128Kbytesまで記録します。これにより不正なリクエストの発信元や攻撃の種類などを解析できる可能性が高まります。
・リクエストのサイズ制限
リクエストのURLやクエリ文字列の長さを制限します。これにより、異常に長いURLリクエストを排除し、バッファ・オーバーフロー攻撃などを回避します。
インストール手順
IIS Lockdownツール 2.1のパッケージには、URLScanセキュリティツール 2.0が含まれていますが、それよりも新しいURLScanセキュリティツール
2.5が配布されています。ただし、URLScanセキュリティツール 2.5のインストールには、事前に1.0もしくは2.0をインストールしておく必要があります。そこでIIS
Lockdownツール 2.1のパッケージ(Iislockd.exe)をダウンロードし、インストールを行います。次に、そのパッケージからUrlScan.exeとUrlScan.iniの2つのファイルを取り出します。「iislockd.exe
/q /c」を実行し、現れたダイアログ・ボックスに展開先のフォルダ名を指定すると、そこにIislockd.exeの内容が展開されます。WinZipなどの解凍ツールを用いてファイルを取り出すことも可能です。ファイルを展開したら、UrlScan.exeを実行します。これで、URLScanセキュリティツール
2.0のインストールが完了します。
続いてURLScanセキュリティツール 2.5にバージョンアップします。URLScanセキュリティツールは、チャンク転送エンコードの処理の違いなどにより、Urlscan.iniの記述が異なるBaseline
URLScanとUrlscan-SRPの2種類が提供されています。Urlscan-SRPをインストールし、アプリケーションの実行などに不都合が生じた場合は、%windir%\System32\inetsrv\urlscanの下にインストールされているUrlScan.iniを書き換えるとよいでしょう。UrlScan.iniの「MaxAllowedContentLength=30,000,000」の値を「2,000,000,000」に変更し、さらに「[DenyHeaders]
セクション」をすべて削除することで、Baseline URLScan相当となります。
なお各ツールは、以下のURLからダウンロード可能です。
・IIS Lockdownツール:
http://www.microsoft.com/japan/technet/security/tools/tools/locktldl.htm
・Baseline URLScan:
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=12244F33-A5DA-4203-A3A8-83F4388BB71F
・Urlscan-SRP:
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=F4C5A724-CAFA-4E88-8C37-C9D5ABED1863
|