次の方法で共有

FTP 拒否 URL シーケンス <denyUrlSequences>

概要

<denyUrlSequences> 要素には、IIS が拒否する文字のシーケンスを指定する <add> 要素のコレクションが含まれています。これは、Web サーバーに対する URL ベースの攻撃を防ぐのに役立ちます。

Note

URL シーケンスが拒否されたために要求のフィルタリングが FTP 要求をブロックすると、FTP 7 はクライアントに FTP エラーを返し、要求が拒否された理由を示す次の FTP 副状態をログします。

FTP 副状態 説明
9 要求されたパスで拒否された URL シーケンスが検出されました。

この副状態により、Web 管理者は IIS ログを分析し、潜在的な脅威を特定できます。

互換性

バージョン メモ
IIS 10.0 <denyUrlSequences> 要素は、IIS 10.0 では変更されませんでした。
IIS 8.5 <denyUrlSequences> 要素は、IIS 8.5 では変更されませんでした。
IIS 8.0 <denyUrlSequences> 要素は IIS 8.0 では変更されませんでした。
IIS 7.5 <requestFiltering> 要素の <denyUrlSequences> 要素は、IIS 7.5 の機能として付属しています。
IIS 7.0 <requestFiltering> 要素の <denyUrlSequences> 要素が、IIS 7.0 用の別個のダウンロードとして FTP 7.0 で導入されました。
IIS 6.0 IIS 6.0 の FTP サービスでは、要求のフィルタリングはサポートされていませんでした。

Note

FTP 7.0 サービスと FTP 7.5 サービスは IIS 7.0 とは別に出荷され、次の URL からモジュールをダウンロードしてインストールする必要がありました。

https://www.iis.net/expand/FTP

Windows 7 と Windows Server 2008 R2 では、FTP 7.5 サービスは IIS 7.5 の機能として付属しているため、FTP サービスのダウンロードは必要なくなりました。

段取り

Web サーバーの FTP 公開をサポートするには、FTP サービスをインストールする必要があります。 そのためには、次のステップに従います。

Windows Server 2012 または Windows Server 2012 R2

  1. タスク バーで [サーバー マネージャー]をクリックします。

  2. [サーバー マネージャー] で、[管理] メニューを選択し、[役割と機能の追加] を選択します。

  3. [役割と機能の追加] ウィザードで、[次へ] をクリックします。 インストールの種類を選択し、[次へ] をクリックします。 対象サーバーを選択し、[次へ] をクリックします。

  4. [サーバーの役割] ページで、[Web サーバー (IIS)] を展開して、[FTP サーバー] を選びます。

    Note

    FTP サービスに対して ASP.NET メンバーシップ認証または IIS マネージャー認証をサポートするには、[FTP Service] に加えて[FTP 拡張] も選択する必要があります。
    [サーバー ロール] ページのスクリーンショット。Web サーバー I S が拡張されました。F T P サーバーが展開されています。F T P 拡張機能が強調表示され、選択されています。 .

  5. [次へ] をクリックし、[機能の選択] ページで再度 [次へ] をクリックします。

  6. [インストール オプションの確認] ページで、[インストール] をクリックします。

  7. [結果] ページで、 [閉じる]をクリックします。

Windows 8 または Windows 8.1

  1. [スタート] 画面で、ポインターを左下隅まで移動し、[スタート] ボタンを右クリックし、[コントロール パネル] をクリックします。

  2. [コントロール パネル][プログラムと機能] をクリックし、[Windows の機能の有効化または無効化] をクリックします。

  3. [インターネット インフォメーション サービス] を展開し、[FTP サーバー] を展開します。

    Note

    FTP サービスに対して ASP.NET メンバーシップ認証または IIS マネージャー認証をサポートするには、[FTP 拡張] も選択する必要があります。
    [プログラムと機能] ナビゲーション ツリーのスクリーンショット。F T P 拡張機能が強調表示され、選択されています。

  4. OK をクリックします。

  5. 閉じるをクリックします。

Windows Server 2008 R2

  1. タスク バーで [スタート] をクリックし、[管理ツール] をポイントして、[サーバー マネージャ] をクリックします。

  2. [サーバー マネージャ] 階層ウィンドウで [役割] を展開し、[Web サーバー (IIS)] をクリックします。

  3. [Web サーバー (IIS)] ウィンドウで、[役割サービス] セクションまでスクロールし、[役割サービスの追加] をクリックします。

  4. [役割サービスの追加] ウィザード[役割サービスの選択] ページで [FTP サーバー] を展開します。

  5. [FTP Service] を選択します。

    Note

    FTP サービスに対して ASP.NET メンバーシップ認証または IIS マネージャー認証をサポートするには、[FTP 拡張] も選択する必要があります。
    [ロール サービスの選択] ページのスクリーンショット。F T P サーバーが展開され、F T P サービスが強調表示され、選択されています。

  6. 次へ をクリックします。

  7. [インストール オプションの確認] ページで、[インストール] をクリックします。

  8. [結果] ページで、 [閉じる]をクリックします。

Windows 7

  1. タスク バーで、[スタート][コントロール パネル] の順にクリックします。

  2. [コントロール パネル][プログラムと機能] をクリックし、[Windows の機能の有効化または無効化] をクリックします。

  3. [インターネット インフォメーション サービス][FTP サーバー] の順に展開します。

  4. [FTP Service] を選択します。

    Note

    FTP サービスに対して ASP.NET メンバーシップ認証または IIS マネージャー認証をサポートするには、[FTP 拡張] も選択する必要があります。
    [プログラムと機能] ナビゲーション ツリーのスクリーンショット。インターネット インフォメーション サービス ノードが展開され、F T P サーバー ノードも展開されます。F T P サービスが選択されています。

  5. OK をクリックします。

Windows Server 2008 または Windows Vista

  1. 次の URL からインストール パッケージをダウンロードします。

  2. 次のチュートリアルの手順に従って、FTP サービスをインストールします。

操作方法

Note

FTP 7.0 リリースには、FTP 要求のフィルタリングのユーザー インターフェイスがありませんでした。FTP 要求のフィルタリング UI は FTP 7.5 リリースで追加されました。

FTP URL シーケンスを拒否する方法

  1. インターネット インフォメーション サービス (IIS) マネージャーを開きます。

    • Windows Server 2012 または Windows Server 2012 R2 を使用している場合:

      • タスク バーで、[サーバー マネージャー] をクリックし、[ツール][インターネット インフォメーション サービス (IIS) マネージャー] の順にクリックします。

    • Windows 8 または Windows 8.1 を使用している場合:

      • Windows キーを押しながら文字 X を押し、[コントロール パネル] をクリックします。
      • [管理ツール] をクリックし、[インターネット インフォメーション サービス (IIS) マネージャー] をダブルクリックします。

    • Windows Server 2008 または Windows Server 2008 R2 を使用している場合:

      • タスク バーで、[スタート] ボタンをクリックし、[管理ツール][インターネット インフォメーション サービス (IIS) マネージャー] の順にクリックします。

    • Windows Vista または Windows 7 を使用している場合:

      • タスク バーで、[スタート][コントロール パネル] の順にクリックします。
      • [管理ツール] をダブルクリックし、次に [インターネット インフォメーション サービス (IIS) マネージャー] をダブルクリックします。

  2. [接続] ペインで、要求のフィルタリング設定を変更するサイトまたはディレクトリに移動します。

  3. [ホーム] ペインで、[FTP 要求のフィルタリング] をダブルクリックします。
    contoso dot com ホーム ウィンドウのスクリーンショット。[F T P 要求] アイコンが強調表示されています。

  4. [FTP 要求のフィルタリング] ペインで、[拒否された URL シーケンス] タブをクリックします。
    [F T P 要求フィルター] ウィンドウのスクリーンショット。[Denied U R L Sequences]\(拒否された U R L シーケンス\) タブが選択されています。

  5. [操作] ペインで [URL シーケンスの追加] をクリックします。

  6. [拒否シーケンスの追加] ダイアログ ボックスに、ブロックする URL シーケンスを入力します。
    [拒否シーケンスの追加] ダイアログ ボックスのスクリーンショット。[U R L シーケンス] ボックスが表示されます。

  7. OK をクリックします。

構成

<requestFiltering> 要素の <denyUrlSequences> 要素は、グローバル、サイト、または URL レベルで構成されます。

属性

なし。

子要素

要素 説明
add 省略可能な要素です。

拒否された URL シーケンスのコレクションにシーケンスを追加します。
clear 省略可能な要素です。

<denyUrlSequences> コレクションからシーケンスへのすべての参照を削除します。
remove 省略可能な要素です。

<denyUrlSequences> コレクションからシーケンスへの参照を削除します。

構成サンプル

次のサンプルは、FTP サイトの <system.ftpServer> 要素内のいくつかのセキュリティ関連の構成設定を示しています。 具体的には、この例の <location> 設定は、次の方法を示します。

  • 管理者グループの読み取りと書き込みアクセス許可に対する FTP 承認規則を指定します。
  • *.exe、*.bat、および *.cmd の各ファイルを拒否する FTP 要求フィルター・オプションを指定します。
  • 最大コンテンツ長が 100 万バイト、URL の最大長が 1024 バイトの FTP 要求制限を指定します。
  • FrontPage Server Extensions で使われる _vti_bin 仮想ディレクトリへの FTP アクセスをブロックします。
  • 127.0.0.1 からのアクセスを許可し、169.254.0.0/255.255.0.0 の範囲の IP アドレスからのアクセスを拒否する FTP IP フィルター処理オプションを指定します。
<location path="ftp.example.com">
  <system.ftpServer>
    <security>
      <authorization>
        <add accessType="Allow" roles="administrators" permissions="Read, Write" />
      </authorization>
      <requestFiltering>
        <fileExtensions allowUnlisted="true">
          <add fileExtension=".exe" allowed="false" />
          <add fileExtension=".bat" allowed="false" />
          <add fileExtension=".cmd" allowed="false" />
        </fileExtensions>
        <requestLimits maxAllowedContentLength="1000000" maxUrl="1024" />
        <hiddenSegments>
          <add segment="_vti_bin" />
        </hiddenSegments>
      </requestFiltering>
      <ipSecurity enableReverseDns="false" allowUnlisted="true">
        <add ipAddress="127.0.0.1" allowed="true" />
        <add ipAddress="169.254.0.0" subnetMask="255.255.0.0" allowed="false" />
      </ipSecurity>
    </security>
  </system.ftpServer>
</location>

サンプル コード

次の例では、FTP の URL シーケンス "bin" を拒否します。これにより、"bin"、"_vti_bin"、または "cgi-bin" パスへのアクセスが禁止され、ファイル名拡張子が ".bin" のファイルのアップロードも禁止されます。

AppCmd.exe

appcmd.exe set config "Default Web Site" -section:system.ftpServer/security/requestFiltering /+"denyUrlSequences.[sequence='bin']" /commit:apphost

Note

AppCmd.exe を使用してこれらの設定を構成するときは、commit パラメーターを必ず apphost に設定する必要があります。 これで、ApplicationHost.config ファイルの適切な場所セクションに構成設定がコミットされます。

C#

using System;
using System.Text;
using Microsoft.Web.Administration;


internal static class Sample
{
   private static void Main()
   {
      using (ServerManager serverManager = new ServerManager())
      {
         Configuration config = serverManager.GetApplicationHostConfiguration();
         ConfigurationSection requestFilteringSection = config.GetSection("system.ftpServer/security/requestFiltering", "Default Web Site");
         ConfigurationElementCollection denyUrlSequencesCollection = requestFilteringSection.GetCollection("denyUrlSequences");

         ConfigurationElement addElement = denyUrlSequencesCollection.CreateElement("add");
         addElement["sequence"] = @"bin";
         denyUrlSequencesCollection.Add(addElement);

         serverManager.CommitChanges();
      }
   }
}

VB.NET

Imports System
Imports System.Text
Imports Microsoft.Web.Administration

Module Sample
   Sub Main()
      Dim serverManager As ServerManager = New ServerManager
      Dim config As Configuration = serverManager.GetApplicationHostConfiguration
      Dim requestFilteringSection As ConfigurationSection = config.GetSection("system.ftpServer/security/requestFiltering", "Default Web Site")
      Dim denyUrlSequencesCollection As ConfigurationElementCollection = requestFilteringSection.GetCollection("denyUrlSequences")

      Dim addElement As ConfigurationElement = denyUrlSequencesCollection.CreateElement("add")
      addElement("sequence") = "bin"
      denyUrlSequencesCollection.Add(addElement)

      serverManager.CommitChanges()
   End Sub
End Module

JavaScript

var adminManager = new ActiveXObject('Microsoft.ApplicationHost.WritableAdminManager');
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST";
var requestFilteringSection = adminManager.GetAdminSection("system.ftpServer/security/requestFiltering", "MACHINE/WEBROOT/APPHOST/Default Web Site");
var denyUrlSequencesCollection = requestFilteringSection.ChildElements.Item("denyUrlSequences").Collection;

var addElement = denyUrlSequencesCollection.CreateNewElement("add");
addElement.Properties.Item("sequence").Value = "bin";
denyUrlSequencesCollection.AddElement(addElement);

adminManager.CommitChanges();

VBScript

Set adminManager = createObject("Microsoft.ApplicationHost.WritableAdminManager")
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST"
Set requestFilteringSection = adminManager.GetAdminSection("system.ftpServer/security/requestFiltering", "MACHINE/WEBROOT/APPHOST/Default Web Site")
Set denyUrlSequencesCollection = requestFilteringSection.ChildElements.Item("denyUrlSequences").Collection

Set addElement = denyUrlSequencesCollection.CreateNewElement("add")
addElement.Properties.Item("sequence").Value = "bin"
denyUrlSequencesCollection.AddElement(addElement)

adminManager.CommitChanges()