IIS で FTP セキュリティを構成する方法

作成者: Robert McMurray

インターネットは、今日のサーバー管理者にとって手ごわい一連のセキュリティ上の課題を提示します。ハッカー、マルウェア、その他のサイバー脅威のため、管理者は、増加する脅威に関する最新情報を入手する必要があります。 これらの課題に対処するために、Microsoft の FTP サービスには、管理者が FTP サイトのセキュリティを維持するのに役立つさまざまなセキュリティ機能が用意されています。

FTP 認証の構成

• <認証> | ソース: IIS 構成参照、Microsoft
• 適用対象: IIS 7.0、IIS 7.5、IIS 8.0

最も基本的なレベルでは、FTP 管理者は、正しい形式で認証を行うために FTP サイトを構成する必要があります。 IIS 7.0、IIS 7.5、IIS 8.0 の Ftp サービスでは、匿名、基本、クライアント証明書、カスタムの認証の種類がサポートされています。 公式の IIS 構成参照からのこの記事では、FTP 認証設定を構成する方法について詳しく説明します。

FTP 認可の構成

• <認可> | ソース: IIS 構成参照、Microsoft
• 適用対象: IIS 7.0、IIS 7.5、IIS 8.0

FTP 管理者は、認証に加えて、ユーザーが公開タスクを実行するために必要な適切なレベルのアクセス権を持つことができるように、FTP サイトを構成する必要があります。 公式の IIS 構成参照からのこの記事では、FTP 認可設定を構成する方法について詳しく説明します。

FTP ユーザーの分離の構成

• 記事 | ソース: Robert McMurray、Microsoft
• 適用対象: IIS 7.0、IIS 7.5、IIS 8.0

すべてのユーザーに対して 1 つの FTP サイトを使用する FTP 管理者にとっての課題の 1 つは、個々のアカウントを独自のコンテンツ ディレクトリに制限する方法です。 Microsoft の FTP サービスを使用すると、ユーザーの分離を通じてこれが可能になります。これにより、管理者はユーザーを個々のコンテンツ フォルダーに制限できます。 このチュートリアルでは、FTP ユーザーの分離を構成する方法と、ユーザーを制限するためのさまざまなオプションについて説明します。

データまたはユーザーの資格情報をセキュリティで保護するための FTP over SSL の有効化

• 記事 | ソース: Robert McMurray、Microsoft
• 適用対象: IIS 7.0、IIS 7.5、IIS 8.0

FTP プロトコルの初期設計では、セキュリティで保護された通信が許可されなかったため、FTP 管理者がよく質問する課題の 1 つは、"FTP セッションをセキュリティで保護する方法" です。これらの質問は通常、1) 管理者がユーザー名とパスワードをセキュリティで保護したい、または 2) 管理者がデータをセキュリティで保護したいという 2 つの条件のいずれかに基づいています。 FTP 7 以降では、管理者は、FTP over SSL を使用してデータ チャネル、コントロール チャネル、またはユーザー資格情報のみをセキュリティで保護するために FTP サービスを構成できます。 このチュートリアルでは、FTP over SSL を構成するステップについて説明します。

FTP アクセス用の IIS マネージャー アカウントを使用するための FTP サービスの構成

• ビデオ | ソース: Scott Forsyth、DotNetSlackers.com
• 適用対象: IIS 7.0、IIS 7.5、IIS 8.0

IIS 7 では、IIS マネージャー アカウントと呼ばれる新しい種類のユーザー アカウントが導入されました。 管理者は、これらのユーザー アカウントに管理タスクを委任できます。これにより、Web サーバーの管理者ではないリモート ユーザーがサイトの設定を管理できるようになります。 FTP 7 以降では、FTP アクセス用にこれらの IIS マネージャー アカウントを使用することもできます。これにより、これらのアカウントがサーバーまたは Active Directory アカウントにマップされないため、サーバーのセキュリティ レベルが強化されます。 このビデオでは、FTP アクセス用に IIS マネージャー アカウントを使用するために FTP サービスを設定する手順について説明します。

FTP アクセス用の .NET メンバーシップ アカウントを使用するための FTP サービスの構成

• 記事 | ソース: Robert McMurray、Microsoft
• 適用対象: IIS 7.0、IIS 7.5、IIS 8.0

ASP.NET は、.NET メンバーシップ プロバイダーとロール プロバイダーを介して Active Directory アカウントまたはローカル サーバー アカウントとは別のユーザー ストアを提供します。 FTP 7 以降では、サーバー管理者は、このアーキテクチャを利用して、.NET メンバーシップ アカウントへの FTP アクセスを提供できます。 これらのメンバーシップ アカウントはローカル サーバーまたは Active Directory に格納されないため、FTP サーバーのセキュリティ レベルが強化されます。 このチュートリアルでは、FTP アクセス用に .NET メンバーシップを使用するために FTP サービスを設定するために必要なステップについて説明します。

ブルート フォース攻撃者への FTP アクセスの拒否

• 記事 | ソース: Robert McMurray、Microsoft
• 適用対象: IIS 8.0

FTP サービスに対して最も広く使用されている攻撃領域の 1 つは、よく知られている Windows アカウントのパスワードを推測しようとするブルート フォース攻撃です。 たとえば、"管理者" アカウントはほとんどの Web サーバーに存在するため、ハッカーは、そのアカウントのパスワードを推測しようとするためにブルート フォース攻撃を自動化できます。 この外部からの攻撃のアクセスを減らすために、FTP 8 では FTP ログオン試行制限が導入されました。これにより、管理者は、特定のクライアントが一時的にブロックされるまでのログオンの失敗試行回数を構成できます。 これにより、物理アカウントがロックアウトされず、有効なユーザーがシステムに引き続きアクセスできる間、攻撃者がブロックされるため、管理者は、Active Directory のアカウント ロックアウト ポリシーに加えて追加の利点を享受できます。 このチュートリアルでは、ブルート フォース攻撃者がシステムにアクセスするのを抑止するために FTP サービスを構成する方法について説明します。

カスタム FTP 認証プロバイダーの作成

• コード サンプル | ソース: Robert McMurray、Microsoft
• 適用対象: IIS 7.5、IIS 8.0

IIS 7.5 以降、IIS の FTP サービスを使用すると、開発者は独自の認証プロバイダーを作成できるため、Active Directory アカウントまたは Windows ローカル アカウントを使用して FTP ユーザーにアクセスを提供する必要がなくなります。 このコード サンプルでは、管理者が FTP アクセスを提供するために使用できるユーザーとロールのリストを定義する XML ファイルを使用するカスタム FTP 認証プロバイダーを作成する方法を示します。