次の方法で共有

セキュリティ <security>

  • [アーティクル]

概要

<security> セクション グループは <system.webServer> セクション内にあり、インターネット インフォメーション サービス (IIS) 7 サーバーでセキュリティ設定を構成するすべての要素が含まれています。 これには、サイトの Secure Sockets Layer (SSL) 設定、Common Gateway Interface (CGI) または Internet Server API (ISAPI) バイナリに依存するアプリケーション、サーバーにインストールされているすべての認証モジュールの構成設定、認可規則の設定が含まれます。 また、IP セキュリティと要求のフィルタリングの構成設定と、サーバー上の ISAPI および CGI の制限の一覧も含まれます。

<security> セクション グループの設定は、セキュリティを強化するために組み合わせることができます。 次に例を示します。

  • <authentication> 要素は、IIS 7 サーバーにインストールして有効にできるすべてのユーザー認証の種類の構成セクションを定義します。一方、<authorization> 要素は、サイトまたはアプリケーションにアクセスできるユーザー アカウントを構成します。 サーバー上のコンテンツへのアクセスをセキュリティで保護するために、<authorization><authentication> と組み合わせて使用します。 <access> 要素は、Web サーバー、サイト、またはアプリケーションの SSL 設定を構成します。
  • <isapiCgiRestriction> 要素は、IIS 7 で実行できる CGI アプリケーションと ISAPI アプリケーションの一覧を指定します。 この要素を使用すると、悪意のあるユーザーが、承認されていない CGI および ISAPI バイナリを Web サーバーにコピーして実行できないように設定できます。 <applicationDependencies> 要素は、1 つ以上の CGI または ISAPI 拡張機能の制限への依存関係を持つアプリケーションを指定します。 CGI または ISAPI 拡張機能の制限が正しく設定されるように、<isapiCgiRestriction> 要素と <applicationDependencies> 要素を組み合わせることができます。

Note

セキュリティを強化するために、Windows Vista と Windows Server 2008 の両方で、IIS 7 は既定ではインストールされません。 IIS 7 をインストールすると、HTML ファイルやイメージ ファイルを含む静的コンテンツのみを提供するように IIS が自動的に構成されます。 Web サイトとアプリケーションに必要なその他の役割サービスと機能を手動でインストールする必要があります。 この戦略により、IIS 7 攻撃対象領域は大幅に減少します。

互換性

バージョン メモ
IIS 10.0 <security> 要素は IIS 10.0 では変更されませんでした。
IIS 8.5 <security> 要素は IIS 8.5 では変更されませんでした。
IIS 8.0 <defaultIpSecurity> 要素が子要素として追加されました。
IIS 7.5 <security> 要素は、IIS 7.5 では変更されませんでした。
IIS 7.0 <security> 要素が IIS 7 で導入されました。
IIS 6.0 <security> 要素は、証明書、認証、認可に関連する IIS 6.0 セキュリティ メタベース プロパティを置き換えます。

段取り

<security> 要素は IIS 7 の既定のインストールに含まれています。

操作方法

匿名認証を無効にする方法

  1. インターネット インフォメーション サービス (IIS) マネージャーを開きます。

    • Windows Server 2012 または Windows Server 2012 R2 を使用している場合:

      • タスク バーで、[サーバー マネージャー] をクリックし、[ツール][インターネット インフォメーション サービス (IIS) マネージャー] の順にクリックします。

    • Windows 8 または Windows 8.1 を使用している場合:

      • Windows キーを押しながら文字 X を押し、[コントロール パネル] をクリックします。
      • [管理ツール] をクリックし、[インターネット インフォメーション サービス (IIS) マネージャー] をダブルクリックします。

    • Windows Server 2008 または Windows Server 2008 R2 を使用している場合:

      • タスク バーで、[スタート] ボタンをクリックし、[管理ツール][インターネット インフォメーション サービス (IIS) マネージャー] の順にクリックします。

    • Windows Vista または Windows 7 を使用している場合:

      • タスク バーで、[スタート][コントロール パネル] の順にクリックします。
      • [管理ツール] をダブルクリックし、[インターネット インフォメーション サービス (IIS) マネージャー] をダブルクリックします。

  2. [接続] ウィンドウで、サーバー名を展開し、[サイト] を展開し、構成する階層ウィンドウのレベルに移動し、Web サイトまたは Web アプリケーションを選択します。

  3. [ホーム] ウィンドウの [セキュリティ] セクションまでスクロールし、[認証] をダブルクリックします。

  4. [認証] ウィンドウで [匿名認証] を選択し、[操作] ウィンドウで [無効] を選択します。
    I I S マネージャーの [認証] ウィンドウを示すスクリーンショット。

IUSR アカウントから匿名認証の資格情報を変更する方法

  1. インターネット インフォメーション サービス (IIS) マネージャーを開きます。

    • Windows Server 2012 または Windows Server 2012 R2 を使用している場合:

      • タスク バーで、[サーバー マネージャー] をクリックし、[ツール][インターネット インフォメーション サービス (IIS) マネージャー] の順にクリックします。

    • Windows 8 または Windows 8.1 を使用している場合:

      • Windows キーを押しながら文字 X を押し、[コントロール パネル] をクリックします。
      • [管理ツール] をクリックし、[インターネット インフォメーション サービス (IIS) マネージャー] をダブルクリックします。

    • Windows Server 2008 または Windows Server 2008 R2 を使用している場合:

      • タスク バーで、[スタート] ボタンをクリックし、[管理ツール][インターネット インフォメーション サービス (IIS) マネージャー] の順にクリックします。

    • Windows Vista または Windows 7 を使用している場合:

      • タスク バーで、[スタート][コントロール パネル] の順にクリックします。
      • [管理ツール] をダブルクリックし、[インターネット インフォメーション サービス (IIS) マネージャー] をダブルクリックします。

  2. [接続] ウィンドウで、サーバー名を展開し、[サイト] を展開し、構成する階層ウィンドウのレベルに移動し、Web サイトまたは Web アプリケーションを選択します。

  3. [ホーム] ウィンドウの [セキュリティ] セクションまでスクロールし、[認証] をダブルクリックします。

  4. [認証] ウィンドウで [匿名認証] を選択し、[操作] ウィンドウで [編集] を選択します。

  5. [匿名認証資格情報の編集] ダイアログ ボックスで、次のいずれかを実行します。

    • アプリケーション プールの ID セットを使用するアプリケーション プール ID を選択し、[OK] を選択します。
      [匿名認証資格情報の編集] ダイアログ ボックスを示すスクリーンショット。アプリケーション プール ID が選択されています。

    • [設定] を選択し、[資格情報の設定] ダイアログ ボックスの [ユーザー名] ボックスにアカウントのユーザー名を入力し、[パスワード] ボックスと [パスワードの確認] ボックスにアカウントのパスワードを入力し、[OK] を選択して、もう一度 [OK] を選択します。
      [資格情報の設定] ダイアログ ボックスを示すスクリーンショット。

      Note

      この手順を使用する場合は、IIS サーバー コンピューターで新しいアカウントに最小限の特権のみを付与します。

基本認証を有効にして、匿名認証を無効にする方法

  1. インターネット インフォメーション サービス (IIS) マネージャーを開きます。

    • Windows Server 2012 または Windows Server 2012 R2 を使用している場合:

      • タスク バーで、[サーバー マネージャー] をクリックし、[ツール][インターネット インフォメーション サービス (IIS) マネージャー] の順にクリックします。

    • Windows 8 または Windows 8.1 を使用している場合:

      • Windows キーを押しながら文字 X を押し、[コントロール パネル] をクリックします。
      • [管理ツール] をクリックし、[インターネット インフォメーション サービス (IIS) マネージャー] をダブルクリックします。

    • Windows Server 2008 または Windows Server 2008 R2 を使用している場合:

      • タスク バーで、[スタート] ボタンをクリックし、[管理ツール][インターネット インフォメーション サービス (IIS) マネージャー] の順にクリックします。

    • Windows Vista または Windows 7 を使用している場合:

      • タスク バーで、[スタート][コントロール パネル] の順にクリックします。
      • [管理ツール] をダブルクリックし、[インターネット インフォメーション サービス (IIS) マネージャー] をダブルクリックします。

  2. [接続] ウィンドウで、サーバー名を展開し、[サイト] を展開し、基本認証を有効にするサイト、アプリケーション、または Web サービスを選択します。

  3. [ホーム] ウィンドウの [セキュリティ] セクションまでスクロールし、[認証] をダブルクリックします。

  4. [認証] ウィンドウで [基本認証] を選択し、[操作] ウィンドウで [有効化] を選択します。

  5. [認証] ウィンドウで [匿名認証] を選択し、[操作] ウィンドウで [無効] を選択します。
    [認証] ウィンドウを示すスクリーンショット。[匿名認証] が選択されています。[操作] ウィンドウに [無効] と [編集] の一覧が表示されます。

Secure Sockets Layer を要求する方法

  1. インターネット インフォメーション サービス (IIS) マネージャーを開きます。

    • Windows Server 2012 または Windows Server 2012 R2 を使用している場合:

      • タスク バーで、[サーバー マネージャー] をクリックし、[ツール][インターネット インフォメーション サービス (IIS) マネージャー] の順にクリックします。

    • Windows 8 または Windows 8.1 を使用している場合:

      • Windows キーを押しながら文字 X を押し、[コントロール パネル] をクリックします。
      • [管理ツール] をクリックし、[インターネット インフォメーション サービス (IIS) マネージャー] をダブルクリックします。

    • Windows Server 2008 または Windows Server 2008 R2 を使用している場合:

      • タスク バーで、[スタート] ボタンをクリックし、[管理ツール][インターネット インフォメーション サービス (IIS) マネージャー] の順にクリックします。

    • Windows Vista または Windows 7 を使用している場合:

      • タスク バーで、[スタート][コントロール パネル] の順にクリックします。
      • [管理ツール] をダブルクリックし、[インターネット インフォメーション サービス (IIS) マネージャー] をダブルクリックします。

  2. [接続] ウィンドウで、SSL 要件を構成するサイト、アプリケーション、またはディレクトリに移動します。 サーバー レベルで SSL を構成することはできません。

  3. [ホーム] ウィンドウで、[SSL 設定] をダブルクリックします。
    スクリーンショットには、[既定の Web サイトホーム] ウィンドウが表示され、[S S L の設定] が選択されています。

  4. [SSL 設定] ウィンドウで、[SSL を必須にする] を選択します。

  5. [操作] ウィンドウで、[適用] をクリックします。

Web サイト、Web アプリケーション、または Web サービスに対して Windows 認証を有効にする方法

  1. インターネット インフォメーション サービス (IIS) マネージャーを開きます。

    • Windows Server 2012 または Windows Server 2012 R2 を使用している場合:

      • タスク バーで、[サーバー マネージャー] をクリックし、[ツール][インターネット インフォメーション サービス (IIS) マネージャー] の順にクリックします。

    • Windows 8 または Windows 8.1 を使用している場合:

      • Windows キーを押しながら文字 X を押し、[コントロール パネル] をクリックします。
      • [管理ツール] をクリックし、[インターネット インフォメーション サービス (IIS) マネージャー] をダブルクリックします。

    • Windows Server 2008 または Windows Server 2008 R2 を使用している場合:

      • タスク バーで、[スタート] ボタンをクリックし、[管理ツール][インターネット インフォメーション サービス (IIS) マネージャー] の順にクリックします。

    • Windows Vista または Windows 7 を使用している場合:

      • タスク バーで、[スタート][コントロール パネル] の順にクリックします。
      • [管理ツール] をダブルクリックし、[インターネット インフォメーション サービス (IIS) マネージャー] をダブルクリックします。

  2. [接続] ウィンドウで、サーバー名を展開し、[サイト] を展開し、Windows 認証を有効にするサイト、アプリケーション、または Web サービスを選択します。

  3. [ホーム] ウィンドウの [セキュリティ] セクションまでスクロールし、[認証] をダブルクリックします。

  4. [認証] ウィンドウで [Windows 認証] を選択し、[操作] ウィンドウで [有効化] を選択します。
    [認証] ウィンドウを示すスクリーンショット。Windows 認証が選択されています。

構成

セキュリティ設定を構成するときは、構成 XML に <security> セクション グループを含める必要があります。 セキュリティ設定は、ApplicationHost.config ファイルのサーバー レベルで構成することも、適切な Web.config ファイルのサイト レベル、アプリケーション レベル、またはディレクトリ レベルで構成することもできます。

属性

なし。

子要素

要素 説明
access 省略可能な要素です。

認証と暗号化強度にクライアント証明書を使用するかどうかなど、Secure Sockets Layer (SSL) の構成設定を指定します。
applicationDependencies 省略可能な要素です。

1 つ以上の CGI または ISAPI 拡張制限への依存関係を持つアプリケーションを指定します。
authentication 省略可能な要素です。

認証関連の設定を指定します。
authorization 省略可能な要素です。

認可関連の設定を指定します。
dynamicIpSecurity 省略可能な要素です。

一連の条件を満たす IP アドレスをブロックする動的 IP 制限を指定します。
ipSecurity 省略可能な要素です。

IP バージョン 4 のアドレスまたは DNS ドメイン名に基づいてアクセス制限を指定します。
isapiCgiRestriction 省略可能な要素です。

サーバーでの実行を許可する CGI および ISAPI プログラムを制限する設定を指定します。
requestFiltering 省略可能な要素です。

要求のフィルタリングの構成設定を指定します。

構成サンプル

次の例では、Contoso という名前の Web サイトの認証、SSL、要求のフィルター設定を構成します。

<location path="Contoso">
   <system.webServer>
      <security>
         <authentication>
            <windowsAuthentication enabled="true" />
            <basicAuthentication enabled="false" />
            <anonymousAuthentication enabled="false" />
         </authentication>
         <access sslFlags="Ssl, SslNegotiateCert, Ssl128" />
         <requestFiltering>
            <fileExtensions>
               <add fileExtension=".inc" allowed="false" />
            </fileExtensions>
            <denyUrlSequences>
               <add sequence="_vti_bin" />
               <add sequence="_vti_cnf" />
               <add sequence="_vti_pvt" />
            </denyUrlSequences>
         </requestFiltering>
      </security>
   </system.webServer>
</location>

サンプル コード

次の例では、Contoso という名前のサイトの匿名認証を無効にしてから、このサイトの基本認証と Windows 認証の両方を有効にします。

AppCmd.exe

appcmd.exe set config "Contoso" -section:system.webServer/security/authentication/anonymousAuthentication /enabled:"False" /commit:apphost

appcmd.exe set config "Contoso" -section:system.webServer/security/authentication/basicAuthentication /enabled:"True" /commit:apphost

appcmd.exe set config "Contoso" -section:system.webServer/security/authentication/windowsAuthentication /enabled:"True" /commit:apphost

Note

AppCmd.exe を使用してこれらの設定を構成するときは、commit パラメーターを必ず apphost に設定する必要があります。 これで、ApplicationHost.config ファイルの適切な場所セクションに構成設定がコミットされます。

C#

using System;
using System.Text;
using Microsoft.Web.Administration;

internal static class Sample {

   private static void Main() {

      using(ServerManager serverManager = new ServerManager()) { 
         Configuration config = serverManager.GetApplicationHostConfiguration();

         ConfigurationSection anonymousAuthenticationSection = config.GetSection("system.webServer/security/authentication/anonymousAuthentication", "Contoso");
         anonymousAuthenticationSection["enabled"] = false;

         ConfigurationSection basicAuthenticationSection = config.GetSection("system.webServer/security/authentication/basicAuthentication", "Contoso");
         basicAuthenticationSection["enabled"] = true;

         ConfigurationSection windowsAuthenticationSection = config.GetSection("system.webServer/security/authentication/windowsAuthentication", "Contoso");
         windowsAuthenticationSection["enabled"] = true;

         serverManager.CommitChanges();
      }
   }
}

VB.NET

Imports System
Imports System.Text
Imports Microsoft.Web.Administration

Module Sample
   Sub Main()
      Dim serverManager As ServerManager = New ServerManager
      Dim config As Configuration = serverManager.GetApplicationHostConfiguration

      Dim anonymousAuthenticationSection As ConfigurationSection = config.GetSection("system.webServer/security/authentication/anonymousAuthentication", "Contoso")
      anonymousAuthenticationSection("enabled") = False

      Dim basicAuthenticationSection As ConfigurationSection = config.GetSection("system.webServer/security/authentication/basicAuthentication", "Contoso")
      basicAuthenticationSection("enabled") = True

      Dim windowsAuthenticationSection As ConfigurationSection = config.GetSection("system.webServer/security/authentication/windowsAuthentication", "Contoso")
      windowsAuthenticationSection("enabled") = True

      serverManager.CommitChanges()
   End Sub
End Module

JavaScript

var adminManager = new ActiveXObject('Microsoft.ApplicationHost.WritableAdminManager');
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST";

var anonymousAuthenticationSection = adminManager.GetAdminSection("system.webServer/security/authentication/anonymousAuthentication", "MACHINE/WEBROOT/APPHOST/Contoso");
anonymousAuthenticationSection.Properties.Item("enabled").Value = false;

var basicAuthenticationSection = adminManager.GetAdminSection("system.webServer/security/authentication/basicAuthentication", "MACHINE/WEBROOT/APPHOST/Contoso");
basicAuthenticationSection.Properties.Item("enabled").Value = true;

var windowsAuthenticationSection = adminManager.GetAdminSection("system.webServer/security/authentication/windowsAuthentication", "MACHINE/WEBROOT/APPHOST/Contoso");
windowsAuthenticationSection.Properties.Item("enabled").Value = true;

adminManager.CommitChanges();

VBScript

Set adminManager = CreateObject("Microsoft.ApplicationHost.WritableAdminManager")
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST"

Set anonymousAuthenticationSection = adminManager.GetAdminSection("system.webServer/security/authentication/anonymousAuthentication", "MACHINE/WEBROOT/APPHOST/Contoso")
anonymousAuthenticationSection.Properties.Item("enabled").Value = False

Set basicAuthenticationSection = adminManager.GetAdminSection("system.webServer/security/authentication/basicAuthentication", "MACHINE/WEBROOT/APPHOST/Contoso")
basicAuthenticationSection.Properties.Item("enabled").Value = True

Set windowsAuthenticationSection = adminManager.GetAdminSection("system.webServer/security/authentication/windowsAuthentication", "MACHINE/WEBROOT/APPHOST/Contoso")
windowsAuthenticationSection.Properties.Item("enabled").Value = True

adminManager.CommitChanges()