動詞 <verbs>
概要
<verbs> 要素は、Web サーバーで許可される HTTP 要求の種類を制限するために、許可または拒否される HTTP 動詞を指定します。
Note
要求のフィルタリングが、HTTP 動詞が拒否されたために HTTP 要求をブロックすると、IIS 7 は HTTP 404 エラーをクライアントに返し、要求が拒否された理由を識別する一意のサブ状態で次の HTTP 状態をログに記録します。
| HTTP サブ状態 | 説明 |
|---|---|
404.6 |
動詞の拒否 |
このサブ状態によって、Web 管理者は IIS ログを分析し、潜在的な脅威を特定できます。
互換性
| バージョン | メモ |
|---|---|
| IIS 10.0 | <verbs> 要素は、IIS 10.0 では変更されませんでした。 |
| IIS 8.5 | <verbs> 要素は、IIS 8.5 では変更されませんでした。 |
| IIS 8.0 | <verbs> 要素は IIS 8.0 では変更されませんでした。 |
| IIS 7.5 | <verbs> 要素は、IIS 7.5 では変更されませんでした。 |
| IIS 7.0 | <requestFiltering> コレクションの <verbs> 要素は IIS 7.0 で導入されました。 |
| IIS 6.0 | <verbs> 要素は、IIS 6.0 UrlScan [AllowVerbs] 機能と [DenyVerbs] 機能を置き換えます。 |
段取り
IIS 7 以降の既定のインストールには、要求のフィルタリングの役割サービスまたは機能が含まれます。 要求のフィルタリングの役割サービスまたは機能がアンインストールされている場合は、次の手順を使用して再インストールできます。
Windows Server 2012 または Windows Server 2012 R2
- タスク バーで [サーバー マネージャー]をクリックします。
- [サーバー マネージャー] で、[管理] メニューを選択し、[役割と機能の追加] を選択します。
- 役割と機能の追加ウィザードで、[次へ] を選択します。 [インストールの種類] を選択し、[次へ] を選択します。 対象サーバーを選択し、[次へ] を選択します。
- [サーバーの役割] ページで [Web サーバー (IIS)] を展開し、[Web サーバー]、[セキュリティ]、[要求のフィルタリング] の順に展開します。 次へ をクリックします。
。 - [機能の選択] ページで、[次へ] をクリックします。
- [インストール オプションの確認] ページで、[インストール] をクリックします。
- [結果] ページで、 [閉じる]をクリックします。
Windows 8 または Windows 8.1
- [スタート] 画面で、ポインターを左下隅まで移動し、[スタート] ボタンを右クリックし、[コントロール パネル] を選択します。
- [コントロール パネル] で [プログラムと機能] を選択し、[Windows の機能の有効化または無効化] を選択します。
- [インターネット インフォメーション サービス]を展開し、[World Wide Web サービス] を展開し、[セキュリティ] を展開して、[要求のフィルタリング] を選択します。
- OK をクリックします。
- 閉じるをクリックします。
Windows Server 2008 または Windows Server 2008 R2
- タスク バーで [スタート] を選択し、[管理ツール] をポイントして、[サーバー マネージャー] を選択します。
- [サーバー マネージャー] 階層ウィンドウで [ロール] を展開し、[Web サーバー (IIS)] を選択します。
- [Web サーバー (IIS)] ウィンドウで、[役割サービス] セクションまでスクロールし、[役割サービスの追加] を選択します。
- 役割サービスの追加ウィザードの [役割サービスの選択] ページで、[要求のフィルタリング] を選択し、[次へ] を選択します。
- [インストール オプションの確認] ページで、[インストール] をクリックします。
- [結果] ページで、 [閉じる]をクリックします。
Windows Vista または Windows 7
- タスク バーで、[スタート]、[コントロール パネル] の順に選択します。
- [コントロール パネル] で [プログラムと機能] を選択し、[Windows の機能の有効化または無効化] を選択します。
- [インターネット インフォメーション サービス]、[World Wide Web サービス]、[セキュリティ] の順に展開します。
- [要求のフィルタリング] を選択し、[OK] を選択します。
操作方法
IIS 7.0 ユーザーの場合の注意: このセクションの一部の手順では、要求のフィルタリング用のユーザー インターフェイスを含む IIS 7.0 用 Microsoft 管理パックをインストールする必要がある場合があります。 IIS 7.0 用 Microsoft 管理パックをインストールするには、次の URL を参照してください。
HTTP 動詞を拒否する方法
インターネット インフォメーション サービス (IIS) マネージャーを開きます。
Windows Server 2012 または Windows Server 2012 R2 を使用している場合:
- タスク バーで、[サーバー マネージャー] を選択し、[ツール]、[インターネット インフォメーション サービス (IIS) マネージャー] の順に選択します。
Windows 8 または Windows 8.1 を使用している場合:
- Windows キーを押しながら文字 X を押し、[コントロール パネル] を選択します。
- [管理ツール] を選択し、[インターネット インフォメーション サービス (IIS) マネージャー] をダブルクリックします。
Windows Server 2008 または Windows Server 2008 R2 を使用している場合:
- タスク バーで、[スタート] ボタンを選択し、[管理ツール]、[インターネット インフォメーション サービス (IIS) マネージャー] の順に選択します。
Windows Vista または Windows 7 を使用している場合:
- タスク バーで、[スタート]、[コントロール パネル] の順に選択します。
- [管理ツール] をダブルクリックし、[インターネット インフォメーション サービス (IIS) マネージャー] をダブルクリックします。
[接続] ウィンドウで、要求のフィルタリング設定を変更する接続、サイト、アプリケーション、またはディレクトリに移動します。
[ホーム] ウィンドウで、[要求のフィルタリング] をダブルクリックします。
[要求のフィルタリング] ウィンドウで、[HTTP 動詞] タブを選択し、[操作] ウィンドウの [動詞の拒否] を選択します。
[動詞の拒否] ダイアログ ボックスで、ブロックする HTTP 動詞を入力し、[OK] を選択します。
たとえば、サーバーへの HTTP TRACE 要求を防ぐために、ダイアログ ボックスに「TRACE」を入力します。
構成
属性
| 属性 | 説明 |
|---|---|
allowUnlisted |
省略可能な Boolean 属性です。 Web サーバーが一覧に含まれていない動詞を処理するかどうかを指定します。 この属性を true に設定する場合は、拒否するすべての動詞を一覧に含める必要があります。 この属性を false に設定する場合は、許可するすべての動詞を一覧に含める必要があります。 既定値は true です。 |
applyToWebDAV |
省略可能な Boolean 属性です。 これらの設定を WebDAV 要求にも適用するかどうかを指定します。 |
子要素
| 要素 | 説明 |
|---|---|
add |
省略可能な要素です。 動詞コレクションに動詞を追加します。 |
clear |
省略可能な要素です。 動詞コレクションから動詞へのすべての参照を削除します。 |
remove |
省略可能な要素です。 動詞コレクションから動詞への参照を削除します。 |
構成サンプル
次の Web.config ファイルの例では、HTTP PUT 要求を拒否するように IIS を構成し、すべての HTTP 動詞への WebDAV アクセスを許可するように要求のフィルタリングを構成する 2 つのオプションを構成します。
<configuration>
<system.webServer>
<security>
<requestFiltering>
<verbs applyToWebDAV="false">
<add verb="PUT" allowed="false" />
</verbs>
</requestFiltering>
</security>
</system.webServer>
</configuration>
サンプル コード
次のコード サンプルでは、2 つのオプションを構成します。"既定の Web サイト" の HTTP PUT 要求を拒否するように IIS を構成し、すべての HTTP 動詞への WebDAV アクセスを許可するように要求のフィルタリングを構成します。
AppCmd.exe
appcmd.exe set config "Default Web Site" -section:system.webServer/security/requestFiltering /verbs.applyToWebDAV:"False"
appcmd.exe set config "Default Web Site" -section:system.webServer/security/requestFiltering /+"verbs.[verb='PUT',allowed='False']"
PowerShell
Start-IISCommitDelay
$verbs = Get-IISConfigSection -CommitPath 'Default Web Site' -SectionPath 'system.webServer/security/requestFiltering' | Get-IISConfigCollection -CollectionName 'verbs'
Set-IISConfigAttributeValue -ConfigElement $verbs -AttributeName 'applyToWebDAV' -AttributeValue $false
New-IISConfigCollectionElement -ConfigCollection $verbs -ConfigAttribute @{ 'verb'='PUT';'allowed'=$false }
Stop-IISCommitDelay
C#
using System;
using System.Text;
using Microsoft.Web.Administration;
internal static class Sample
{
private static void Main()
{
using (ServerManager serverManager = new ServerManager())
{
Configuration config = serverManager.GetWebConfiguration("Default Web Site");
ConfigurationSection requestFilteringSection = config.GetSection("system.webServer/security/requestFiltering");
ConfigurationElement verbsElement = requestFilteringSection.GetChildElement("verbs");
verbsElement["applyToWebDAV"] = false;
ConfigurationElementCollection verbsCollection = verbsElement.GetCollection();
ConfigurationElement addElement = verbsCollection.CreateElement("add");
addElement["verb"] = @"PUT";
addElement["allowed"] = false;
verbsCollection.Add(addElement);
serverManager.CommitChanges();
}
}
}
VB.NET
Imports System
Imports System.Text
Imports Microsoft.Web.Administration
Module Sample
Sub Main()
Dim serverManager As ServerManager = New ServerManager
Dim config As Configuration = serverManager.GetWebConfiguration("Default Web Site")
Dim requestFilteringSection As ConfigurationSection = config.GetSection("system.webServer/security/requestFiltering")
Dim verbsElement As ConfigurationElement = requestFilteringSection.GetChildElement("verbs")
verbsElement("applyToWebDAV") = False
Dim verbsCollection As ConfigurationElementCollection = verbsElement.GetCollection
Dim addElement As ConfigurationElement = verbsCollection.CreateElement("add")
addElement("verb") = "PUT"
addElement("allowed") = False
verbsCollection.Add(addElement)
serverManager.CommitChanges()
End Sub
End Module
JavaScript
var adminManager = new ActiveXObject('Microsoft.ApplicationHost.WritableAdminManager');
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST/Default Web Site";
var requestFilteringSection = adminManager.GetAdminSection("system.webServer/security/requestFiltering", "MACHINE/WEBROOT/APPHOST/Default Web Site");
var verbsElement = requestFilteringSection.ChildElements.Item("verbs");
verbsElement.Properties.Item("applyToWebDAV").Value = false;
var verbsCollection = verbsElement.Collection;
var addElement = verbsCollection.CreateNewElement("add");
addElement.Properties.Item("verb").Value = "PUT";
addElement.Properties.Item("allowed").Value = false;
verbsCollection.AddElement(addElement);
adminManager.CommitChanges();
VBScript
Set adminManager = WScript.CreateObject("Microsoft.ApplicationHost.WritableAdminManager")
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST/Default Web Site"
Set requestFilteringSection = adminManager.GetAdminSection("system.webServer/security/requestFiltering", "MACHINE/WEBROOT/APPHOST/Default Web Site")
Set verbsElement = requestFilteringSection.ChildElements.Item("verbs")
verbsElement.Properties.Item("applyToWebDAV").Value = False
Set verbsCollection = verbsElement.Collection
Set addElement = verbsCollection.CreateNewElement("add")
addElement.Properties.Item("verb").Value = "PUT"
addElement.Properties.Item("allowed").Value = False
verbsCollection.AddElement(addElement)
adminManager.CommitChanges()
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示