FTP セキュリティ <セキュリティ> セクション グループ;
概要
<security>
セクション グループは <system.ftpServer>
セクション内にあり、インターネット インフォメーション サービス (IIS) 7 サーバーのセキュリティ設定を構成する要素が含まれています。 これには、認可規則の設定、IP セキュリティ、要求のフィルタリングの構成設定が含まれます。
Note
強化されたセキュリティのために、Windows 7 と Windows Server 2008 R2 の両方で FTP 7 は既定でインストールされません。 FTP 7 をインストールすると、既定のサイトは作成されません。FTP サイトは手動で作成する必要があります。 この戦略により、IIS 7 の攻撃面が大幅に減少します。
互換性
バージョン | メモ |
---|---|
IIS 10.0 | <authentication> 要素は、IIS 10.0 では変更されませんでした。 |
IIS 8.5 | <security> 要素は IIS 8.5 では変更されませんでした。 |
IIS 8.0 | <security> 要素の <authentication> 要素は、IIS 8.0 の機能として提供されます。 |
IIS 7.5 | <system.ftpServer> 要素の <security> 要素は、IIS 7.5 の機能として付属しています。 |
IIS 7.0 | <system.ftpServer> 要素の <security> 要素が、IIS 7.0 用の別個のダウンロードとして FTP 7.0 で導入されました。 |
IIS 6.0 | 該当なし |
Note
FTP 7.0 サービスと FTP 7.5 サービスは IIS 7.0 とは別に出荷され、次の URL からモジュールをダウンロードしてインストールする必要がありました。
Windows 7 と Windows Server 2008 R2 では、FTP 7.5 サービスは IIS 7.5 の機能として付属しているため、FTP サービスのダウンロードは必要なくなりました。
段取り
Web サーバーの FTP 公開をサポートするには、FTP サービスをインストールする必要があります。 そのためには、次のステップに従います。
Windows Server 2012 または Windows Server 2012 R2
タスク バーで [サーバー マネージャー]をクリックします。
[サーバー マネージャー] で、[管理] メニューを選択し、[役割と機能の追加] を選択します。
[役割と機能の追加] ウィザードで、[次へ] をクリックします。 インストールの種類を選択し、[次へ] をクリックします。 対象サーバーを選択し、[次へ] をクリックします。
[サーバーの役割] ページで、[Web サーバー (IIS)] を展開して、[FTP サーバー] を選びます。
Note
FTP サービスに対して ASP.NET メンバーシップ認証または IIS マネージャー認証をサポートするには、[FTP Service] に加えて[FTP 拡張] も選択する必要があります。
.[次へ] をクリックし、[機能の選択] ページで再度 [次へ] をクリックします。
[インストール オプションの確認] ページで、[インストール] をクリックします。
[結果] ページで、 [閉じる]をクリックします。
Windows 8 または Windows 8.1
[スタート] 画面で、ポインターを左下隅まで移動し、[スタート] ボタンを右クリックし、[コントロール パネル] をクリックします。
[コントロール パネル]で [プログラムと機能] をクリックし、[Windows の機能の有効化または無効化] をクリックします。
[インターネット インフォメーション サービス] を展開し、[FTP サーバー] を展開します。
Note
FTP サービスに対して ASP.NET メンバーシップ認証または IIS マネージャー認証をサポートするには、[FTP 拡張] も選択する必要があります。
OK をクリックします。
閉じるをクリックします。
Windows Server 2008 R2
タスク バーで [スタート] をクリックし、[管理ツール] をポイントして、[サーバー マネージャ] をクリックします。
[サーバー マネージャ] 階層ウィンドウで [役割] を展開し、[Web サーバー (IIS)] をクリックします。
[Web サーバー (IIS)] ウィンドウで、[役割サービス] セクションまでスクロールし、[役割サービスの追加] をクリックします。
[役割サービスの追加] ウィザードの [役割サービスの選択] ページで [FTP サーバー] を展開します。
[FTP Service] を選択します。
Note
FTP サービスに対して ASP.NET メンバーシップ認証または IIS マネージャー認証をサポートするには、[FTP 拡張] も選択する必要があります。
次へ をクリックします。
[インストール オプションの確認] ページで、[インストール] をクリックします。
[結果] ページで、 [閉じる]をクリックします。
Windows 7
タスク バーで、[スタート]、[コントロール パネル] の順にクリックします。
[コントロール パネル]で [プログラムと機能] をクリックし、[Windows の機能の有効化または無効化] をクリックします。
[インターネット インフォメーション サービス]、[FTP サーバー] の順に展開します。
[FTP Service] を選択します。
Note
FTP サービスに対して ASP.NET メンバーシップ認証または IIS マネージャー認証をサポートするには、[FTP 拡張] も選択する必要があります。
OK をクリックします。
Windows Server 2008 または Windows Vista
次の URL からインストール パッケージをダウンロードします。
次のチュートリアルの手順に従って、FTP サービスをインストールします。
操作方法
FTP 認可規則を追加する方法
インターネット インフォメーション サービス (IIS) マネージャーを開きます。
Windows Server 2012 または Windows Server 2012 R2 を使用している場合:
- タスク バーで、[サーバー マネージャー] をクリックし、[ツール]、[インターネット インフォメーション サービス (IIS) マネージャー] の順にクリックします。
Windows 8 または Windows 8.1 を使用している場合:
- Windows キーを押しながら文字 X を押し、[コントロール パネル] をクリックします。
- [管理ツール] をクリックし、[インターネット インフォメーション サービス (IIS) マネージャー] をダブルクリックします。
Windows Server 2008 または Windows Server 2008 R2 を使用している場合:
- タスク バーで、[スタート] ボタンをクリックし、[管理ツール]、[インターネット インフォメーション サービス (IIS) マネージャー] の順にクリックします。
Windows Vista または Windows 7 を使用している場合:
- タスク バーで、[スタート]、[コントロール パネル] の順にクリックします。
- [管理ツール] をダブルクリックし、次に [インターネット インフォメーション サービス (IIS) マネージャー] をダブルクリックします。
[接続] ペインでサーバー名を展開し、[サイト] を展開してから、認可を構成するサイトまたは URL に移動します。
[ホーム] ペインで、[認可規則] をダブルクリックします。
新しい認可規則を追加するには、[操作] ペインで [許可規則の追加] または、[拒否規則の追加] をクリックします。
サイトまたはアプリケーションに必要な認可設定を適用します。 考慮する必要があるセクションが 2 つあります。
このコンテンツへのアクセスを許可する: ラジオ ボタンを使って、アクセス規則を適用する対象を指定します。
- すべてのユーザー
- すべての匿名ユーザー
- 指定されたロールまたはユーザー グループ (複数のグループやロールはコンマで区切ることができます)
- 指定されたユーザー (複数のユーザーはコンマで区切ることができます)
アクセス許可: チェック ボックスを使って、規則の読み取りまたは書き込みアクセス許可を指定します。
OK をクリックします。
構成
<system.ftpServer>
要素の <security>
要素は、サーバー、サイト、またはフォルダー レベルで構成されます。
属性
なし。
子要素
要素 | 説明 |
---|---|
authentication |
省略可能な要素です。 認証関連の設定を指定します。 |
authorization |
省略可能な要素です。 認可関連の設定を指定します。 |
ipSecurity |
省略可能な要素です。 IP バージョン 4 のアドレスまたは DNS ドメイン名に基づいてアクセス制限を指定します。 |
requestFiltering |
省略可能な要素です。 要求のフィルタリングの構成設定を指定します。 |
構成サンプル
次のサンプルは、FTP サイトの <system.ftpServer>
要素内のいくつかのセキュリティ関連の構成設定を示しています。 具体的には、この例の <location>
設定は、次の方法を示します。
- 管理者グループの読み取りと書き込みアクセス許可に対する FTP 承認規則を指定します。
- *.exe、*.bat、および *.cmd の各ファイルを拒否する FTP 要求フィルター・オプションを指定します。
- 最大コンテンツ長が 100 万バイト、URL の最大長が 1024 バイトの FTP 要求制限を指定します。
- FrontPage Server Extensions で使われる _vti_bin 仮想ディレクトリへの FTP アクセスをブロックします。
- 127.0.0.1 からのアクセスを許可し、169.254.0.0/255.255.0.0 の範囲の IP アドレスからのアクセスを拒否する FTP IP フィルター処理オプションを指定します。
<location path="ftp.example.com">
<system.ftpServer>
<security>
<authorization>
<add accessType="Allow" roles="administrators" permissions="Read, Write" />
</authorization>
<requestFiltering>
<fileExtensions allowUnlisted="true">
<add fileExtension=".exe" allowed="false" />
<add fileExtension=".bat" allowed="false" />
<add fileExtension=".cmd" allowed="false" />
</fileExtensions>
<requestLimits maxAllowedContentLength="1000000" maxUrl="1024" />
<hiddenSegments>
<add segment="_vti_bin" />
</hiddenSegments>
</requestFiltering>
<ipSecurity enableReverseDns="false" allowUnlisted="true">
<add ipAddress="127.0.0.1" allowed="true" />
<add ipAddress="169.254.0.0" subnetMask="255.255.0.0" allowed="false" />
</ipSecurity>
</security>
</system.ftpServer>
</location>
サンプル コード
次の例では、既定の Web サイトに 2 つの FTP 認可規則を追加します。 最初の規則では管理者グループの読み取りと書き込みアクセスが許可され、2 番目の規則ではゲスト アカウントの読み取りと書き込みアクセスが拒否されます。
AppCmd.exe
appcmd.exe set config "Default Web Site" -section:system.ftpServer/security/authorization /+"[accessType='Allow',roles='administrators',permissions='Read, Write']" /commit:apphost
appcmd.exe set config "Default Web Site" -section:system.ftpServer/security/authorization /+"[accessType='Deny',users='guest',permissions='Read, Write']" /commit:apphost
Note
AppCmd.exe を使用してこれらの設定を構成するときは、commit パラメーターを必ず apphost
に設定する必要があります。 これで、ApplicationHost.config ファイルの適切な場所セクションに構成設定がコミットされます。
C#
using System;
using System.Text;
using Microsoft.Web.Administration;
internal static class Sample
{
private static void Main()
{
using (ServerManager serverManager = new ServerManager())
{
Configuration config = serverManager.GetApplicationHostConfiguration();
ConfigurationSection authorizationSection = config.GetSection("system.ftpServer/security/authorization", "Default Web Site");
ConfigurationElementCollection authorizationCollection = authorizationSection.GetCollection();
ConfigurationElement addElement = authorizationCollection.CreateElement("add");
addElement["accessType"] = @"Allow";
addElement["roles"] = @"administrators";
addElement["permissions"] = @"Read, Write";
authorizationCollection.Add(addElement);
ConfigurationElement addElement1 = authorizationCollection.CreateElement("add");
addElement1["accessType"] = @"Deny";
addElement1["users"] = @"guest";
addElement1["permissions"] = @"Read, Write";
authorizationCollection.Add(addElement1);
serverManager.CommitChanges();
}
}
}
VB.NET
Imports System
Imports System.Text
Imports Microsoft.Web.Administration
Module Sample
Sub Main()
Dim serverManager As ServerManager = New ServerManager
Dim config As Configuration = serverManager.GetApplicationHostConfiguration
Dim authorizationSection As ConfigurationSection = config.GetSection("system.ftpServer/security/authorization", "Default Web Site")
Dim authorizationCollection As ConfigurationElementCollection = authorizationSection.GetCollection
Dim addElement As ConfigurationElement = authorizationCollection.CreateElement("add")
addElement("accessType") = "Allow"
addElement("roles") = "administrators"
addElement("permissions") = "Read, Write"
authorizationCollection.Add(addElement)
Dim addElement1 As ConfigurationElement = authorizationCollection.CreateElement("add")
addElement1("accessType") = "Deny"
addElement1("users") = "guest"
addElement1("permissions") = "Read, Write"
authorizationCollection.Add(addElement1)
serverManager.CommitChanges()
End Sub
End Module
JavaScript
var adminManager = new ActiveXObject('Microsoft.ApplicationHost.WritableAdminManager');
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST";
var authorizationSection = adminManager.GetAdminSection("system.ftpServer/security/authorization", "MACHINE/WEBROOT/APPHOST/Default Web Site");
var authorizationCollection = authorizationSection.Collection;
var addElement = authorizationCollection.CreateNewElement("add");
addElement.Properties.Item("accessType").Value = "Allow";
addElement.Properties.Item("roles").Value = "administrators";
addElement.Properties.Item("permissions").Value = "Read, Write";
authorizationCollection.AddElement(addElement);
var addElement1 = authorizationCollection.CreateNewElement("add");
addElement1.Properties.Item("accessType").Value = "Deny";
addElement1.Properties.Item("users").Value = "guest";
addElement1.Properties.Item("permissions").Value = "Read, Write";
authorizationCollection.AddElement(addElement1);
adminManager.CommitChanges();
VBScript
Set adminManager = createObject("Microsoft.ApplicationHost.WritableAdminManager")
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST"
Set authorizationSection = adminManager.GetAdminSection("system.ftpServer/security/authorization", "MACHINE/WEBROOT/APPHOST/Default Web Site")
Set authorizationCollection = authorizationSection.Collection
Set addElement = authorizationCollection.CreateNewElement("add")
addElement.Properties.Item("accessType").Value = "Allow"
addElement.Properties.Item("roles").Value = "administrators"
addElement.Properties.Item("permissions").Value = "Read, Write"
authorizationCollection.AddElement(addElement)
Set addElement1 = authorizationCollection.CreateNewElement("add")
addElement1.Properties.Item("accessType").Value = "Deny"
addElement1.Properties.Item("users").Value = "guest"
addElement1.Properties.Item("permissions").Value = "Read, Write"
authorizationCollection.AddElement(addElement1)
adminManager.CommitChanges()
次の例では、一覧にない IP アドレスを許可するように FTP IP セキュリティを構成し、127.0.0.1 からのアクセスを許可し、169.254.0.0/255.255.0.0 の範囲の IP アドレスからのアクセスを拒否する IP 制限を指定します。
AppCmd.exe
appcmd.exe set config "Default Web Site" -section:system.ftpServer/security/ipSecurity /allowUnlisted:"True" /commit:apphost
appcmd.exe set config "Default Web Site" -section:system.ftpServer/security/ipSecurity /+"[ipAddress='127.0.0.1',allowed='True']" /commit:apphost
appcmd.exe set config "Default Web Site" -section:system.ftpServer/security/ipSecurity /+"[ipAddress='169.254.0.0',subnetMask='255.255.0.0']" /commit:apphost
Note
AppCmd.exe を使用してこれらの設定を構成するときは、commit パラメーターを必ず apphost
に設定する必要があります。 これで、ApplicationHost.config ファイルの適切な場所セクションに構成設定がコミットされます。
C#
using System;
using System.Text;
using Microsoft.Web.Administration;
internal static class Sample
{
private static void Main()
{
using (ServerManager serverManager = new ServerManager())
{
Configuration config = serverManager.GetApplicationHostConfiguration();
ConfigurationSection ipSecuritySection = config.GetSection("system.ftpServer/security/ipSecurity", "Default Web Site");
ConfigurationElementCollection ipSecurityCollection = ipSecuritySection.GetCollection();
ipSecuritySection["allowUnlisted"] = true;
ConfigurationElement addElement = ipSecurityCollection.CreateElement("add");
addElement["ipAddress"] = @"127.0.0.1";
addElement["allowed"] = true;
ipSecurityCollection.Add(addElement);
ConfigurationElement addElement1 = ipSecurityCollection.CreateElement("add");
addElement1["ipAddress"] = @"169.254.0.0";
addElement1["subnetMask"] = @"255.255.0.0";
ipSecurityCollection.Add(addElement1);
serverManager.CommitChanges();
}
}
}
VB.NET
Imports System
Imports System.Text
Imports Microsoft.Web.Administration
Module Sample
Sub Main()
Dim serverManager As ServerManager = New ServerManager
Dim config As Configuration = serverManager.GetApplicationHostConfiguration
Dim ipSecuritySection As ConfigurationSection = config.GetSection("system.ftpServer/security/ipSecurity", "Default Web Site")
Dim ipSecurityCollection As ConfigurationElementCollection = ipSecuritySection.GetCollection
ipSecuritySection("allowUnlisted") = True
Dim addElement As ConfigurationElement = ipSecurityCollection.CreateElement("add")
addElement("ipAddress") = "127.0.0.1"
addElement("allowed") = True
ipSecurityCollection.Add(addElement)
Dim addElement1 As ConfigurationElement = ipSecurityCollection.CreateElement("add")
addElement1("ipAddress") = "169.254.0.0"
addElement1("subnetMask") = "255.255.0.0"
ipSecurityCollection.Add(addElement1)
serverManager.CommitChanges()
End Sub
End Module
JavaScript
var adminManager = new ActiveXObject('Microsoft.ApplicationHost.WritableAdminManager');
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST";
var ipSecuritySection = adminManager.GetAdminSection("system.ftpServer/security/ipSecurity", "MACHINE/WEBROOT/APPHOST/Default Web Site");
var ipSecurityCollection = ipSecuritySection.Collection;
ipSecuritySection.Properties.Item("allowUnlisted").Value = true;
var addElement = ipSecurityCollection.CreateNewElement("add");
addElement.Properties.Item("ipAddress").Value = "127.0.0.1";
addElement.Properties.Item("allowed").Value = true;
ipSecurityCollection.AddElement(addElement);
var addElement1 = ipSecurityCollection.CreateNewElement("add");
addElement1.Properties.Item("ipAddress").Value = "169.254.0.0";
addElement1.Properties.Item("subnetMask").Value = "255.255.0.0";
ipSecurityCollection.AddElement(addElement1);
adminManager.CommitChanges();
VBScript
Set adminManager = createObject("Microsoft.ApplicationHost.WritableAdminManager")
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST"
Set ipSecuritySection = adminManager.GetAdminSection("system.ftpServer/security/ipSecurity", "MACHINE/WEBROOT/APPHOST/Default Web Site")
Set ipSecurityCollection = ipSecuritySection.Collection
ipSecuritySection.Properties.Item("allowUnlisted").Value = True
Set addElement = ipSecurityCollection.CreateNewElement("add")
addElement.Properties.Item("ipAddress").Value = "127.0.0.1"
addElement.Properties.Item("allowed").Value = True
ipSecurityCollection.AddElement(addElement)
Set addElement1 = ipSecurityCollection.CreateNewElement("add")
addElement1.Properties.Item("ipAddress").Value = "169.254.0.0"
addElement1.Properties.Item("subnetMask").Value = "255.255.0.0"
ipSecurityCollection.AddElement(addElement1)
adminManager.CommitChanges()