非表示セグメント <hiddenSegments>
- 概要
- 互換性
- セットアップ
- 方法
- 構成
- サンプル コード
※本ページに挿入されている画像をクリックすると、画像全体が別ウィンドウで表示されます。
概要
<hiddenSegments> 要素には、IIS 7.0 によってクライアントにアクセスできなくなる特定の URL を識別するさまざまな <add> 要素が格納されます。
たとえば、ASP.NET コンテンツをホストしている Web サーバーでは、IIS 7.0 によって、Web.config、bin、App_Code など、ASP.NET 関連のいくつかのパスがブロックされます。これらの URL セグメントをブロックすると、攻撃者がこれらの URL を利用して情報を入手する可能性を低減できます。
注 : 非表示の HTTP セグメントにより要求のフィルタリングで HTTP 要求がブロックされると、IIS 7.0 は HTTP 404 エラーをクライアントに返し、要求が拒否された理由を特定する固有の副状態と共に次のいずれかの HTTP 状態をログに記録します。
| HTTP 副状態 | 説明 |
|---|---|
404.8 |
非表示の名前空間 |
この副状態により、Web 管理者は IIS ログを分析し、潜在的な脅威を特定できます。
互換性
| IIS 7.0 | IIS 6.0 | |
|---|---|---|
| 注意 | <requestFiltering> コレクションの <hiddenSegments> は IIS 7.0 で新たに導入された要素です。 |
<hiddenSegments> 要素は、IIS 6.0 の UrlScan [DenyUrlSequences] 機能に代わるものです。 |
セットアップ
IIS 7.0 の既定のインストールには、要求のフィルタリング役割サービスが含まれます。要求のフィルタリング役割サービスがアンインストールされている場合、次の手順を使用して再インストールできます。
Windows Server 2008
タスク バーで [スタート] ボタンをクリックし、[管理ツール] をポイントして [サーバー マネージャー] をクリックします。
[サーバー マネージャー] ウィンドウのツリー表示で、[役割] を展開して [Web サーバー (IIS)] をクリックします。
[Web サーバー (IIS)] ウィンドウで、[役割サービス] セクションまでスクロールして [役割サービスの追加] をクリックします。
役割サービスの追加ウィザードの [役割サービスの選択] ページで、[要求フィルタ] を選択して、[次へ] をクリックします。
.gif "拡大")
[インストール オプションの確認] ページで [インストール] をクリックします。
[結果] ページで [閉じる] をクリックします。
.gif "拡大")
Windows Vista
タスク バーで [スタート] ボタンをクリックし、[コントロール パネル] をクリックします。
コントロール パネルで、[プログラムと機能]、[Windows の機能の有効化または無効化] の順にクリックします。
[Internet Information Services]、[World Wide Web サービス]、[セキュリティ] の順に展開します。
[要求のフィルタリング] を選択して、[OK] をクリックします。
.gif "拡大")
.gif "拡大")
方法
注 : このセクションの手順では、要求のフィルタリング用のユーザー インターフェイスが含まれている Microsoft Administration Pack for IIS 7.0 をインストールしている必要があります。Microsoft Administration Pack for IIS 7.0 をインストールするには、次の URL を参照してください。
http://learn.iis.net/page.aspx/415/
非表示セグメントを追加する方法
タスク バーで [スタート] ボタンをクリックし、[管理ツール] をポイントして [インターネット インフォメーション サービス (IIS) マネージャー] をクリックします。
[接続] ウィンドウで、要求のフィルタリング設定を変更する接続、サイト、アプリケーション、またはディレクトリに移動します。
[ホーム] ウィンドウで [要求のフィルタリング] をダブルクリックします。
.gif "拡大")
[要求のフィルタリング] ウィンドウで、[Hidden Segments] タブをクリックし、[操作] ウィンドウで [Add Hidden Segment] をクリックします。
.gif "拡大")
[Add Hidden Segment] ダイアログ ボックスで、非表示にする相対パスを入力し、[OK] をクリックします。
.gif "拡大")
.gif "拡大")
.gif "拡大")
.gif "拡大")
構成
属性
| 属性 | 説明 |
|---|---|
applyToWebDAV |
オプションの Boolean 属性。 これらの設定を WebDAV 要求にも適用する必要があるかどうかを指定します。 |
子要素
| 要素 | 説明 |
|---|---|
add |
オプションの要素。 非表示セグメントのコレクションにセグメントを追加します。 |
clear |
オプションの要素。<hiddenSegments> コレクションからセグメントへのすべての参照を削除します。 |
remove |
オプションの要素。<hiddenSegments> コレクションから 1 つのセグメントへの参照を削除します。 |
構成サンプル
次のサンプル Web.config ファイルでは、2 つのオプションを構成します。まず、"_private" フォルダーに対する要求へのアクセスを拒否するように IIS を構成します。また、WebDAV が非表示セグメントにアクセスすることを許可するように要求のフィルタリングを構成します。
<configuration>
<system.webServer>
<security>
<requestFiltering>
<hiddenSegments applyToWebDAV="false">
<add segment="_private" />
</hiddenSegments>
</requestFiltering>
</security>
</system.webServer>
</configuration>
サンプル コード
次のコード サンプルでは、2 つのオプションを構成します。まず、Default Web Site 内の _private フォルダーに対する要求へのアクセスを拒否するように IIS を構成します。また、WebDAV が非表示セグメントにアクセスすることを許可するように要求のフィルタリングを構成します。
AppCmd.exe
appcmd.exe set config "Default Web Site" -section:system.webServer/security/requestFiltering /hiddenSegments.applyToWebDAV:"False"
appcmd.exe set config "Default Web Site" -section:system.webServer/security/requestFiltering /+"hiddenSegments.[segment='_private']"
C#
using System;
using System.Text;
using Microsoft.Web.Administration;
internal static class Sample
{
private static void Main()
{
using (ServerManager serverManager = new ServerManager())
{
Configuration config = serverManager.GetWebConfiguration("Default Web Site");
ConfigurationSection requestFilteringSection = config.GetSection("system.webServer/security/requestFiltering");
ConfigurationElement hiddenSegmentsElement = requestFilteringSection.GetChildElement("hiddenSegments");
hiddenSegmentsElement["applyToWebDAV"] = false;
ConfigurationElementCollection hiddenSegmentsCollection = hiddenSegmentsElement.GetCollection();
ConfigurationElement addElement = hiddenSegmentsCollection.CreateElement("add");
addElement["segment"] = @"_private";
hiddenSegmentsCollection.Add(addElement);
serverManager.CommitChanges();
}
}
}
VB.NET
Imports System
Imports System.Text
Imports Microsoft.Web.Administration
Module Sample
Sub Main()
Dim serverManager As ServerManager = New ServerManager
Dim config As Configuration = serverManager.GetWebConfiguration("Default Web Site")
Dim requestFilteringSection As ConfigurationSection = config.GetSection("system.webServer/security/requestFiltering")
Dim hiddenSegmentsElement As ConfigurationElement = requestFilteringSection.GetChildElement("hiddenSegments")
hiddenSegmentsElement("applyToWebDAV") = False
Dim hiddenSegmentsCollection As ConfigurationElementCollection = hiddenSegmentsElement.GetCollection
Dim addElement As ConfigurationElement = hiddenSegmentsCollection.CreateElement("add")
addElement("segment") = "_private"
hiddenSegmentsCollection.Add(addElement)
serverManager.CommitChanges()
End Sub
End Module
JavaScript
var adminManager = new ActiveXObject('Microsoft.ApplicationHost.WritableAdminManager');
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST/Default Web Site";
var requestFilteringSection = adminManager.GetAdminSection("system.webServer/security/requestFiltering", "MACHINE/WEBROOT/APPHOST/Default Web Site");
var hiddenSegmentsElement = requestFilteringSection.ChildElements.Item("hiddenSegments");
hiddenSegmentsElement.Properties.Item("applyToWebDAV").Value = false;
var hiddenSegmentsCollection = hiddenSegmentsElement.Collection;
var addElement = hiddenSegmentsCollection.CreateNewElement("add");
addElement.Properties.Item("segment").Value = "_private";
hiddenSegmentsCollection.AddElement(addElement);
adminManager.CommitChanges();
VBScript
Set adminManager = WScript.CreateObject("Microsoft.ApplicationHost.WritableAdminManager")
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST/Default Web Site"
Set requestFilteringSection = adminManager.GetAdminSection("system.webServer/security/requestFiltering", "MACHINE/WEBROOT/APPHOST/Default Web Site")
Set hiddenSegmentsElement = requestFilteringSection.ChildElements.Item("hiddenSegments")
hiddenSegmentsElement.Properties.Item("applyToWebDAV").Value = False
Set hiddenSegmentsCollection = hiddenSegmentsElement.Collection
Set addElement = hiddenSegmentsCollection.CreateNewElement("add")
addElement.Properties.Item("segment").Value = "_private"
hiddenSegmentsCollection.AddElement(addElement)
adminManager.CommitChanges()