IIS 資料。


TOP メモ全般 DNS と ActiveDirectory 関連 Windows Server 2003 SP1 関連 リモートデスクトップ 関連 WSC 関連 SMTP 送信関連 IIS 関連(ここ) ASP 関連 Web サーバー技術情報ポータル「IIS TechCenter」http://technet.microsoft.com/ja-jp/iis/default.aspx IIS Extensions : The Official Microsoft IIS Site http://www.iis.net/extensions Microsoft Web Platform - Home http://www.microsoft.com/web/default.aspx Internet Information Services フォーラム http://social.technet.microsoft.com/Forums/ja-JP/category/iis インターネット Web サーバー構築ガイドライン (ドラフト版) http://technet.microsoft.com/ja-jp/iis/ff625168.aspx 【コラム】にわか管理者のためのWindowsサーバ入門-37 Webサーバの導入(IIS 7.x) http://journal.mycom.co.jp/column/winserver/037/ IIS に対する攻撃が始まっているようです。  Mass Infection of IIS/ASP Sites  http://isc.sans.edu/diary.html?storyid=8935  マイクロソフト セキュリティ アドバイザリ (2416728)  ASP.NET の脆弱性により、情報漏えいが起こる  http://www.microsoft.com/japan/technet/security/advisory/2416728.mspx  ビューステートのセキュリティ  http://msdn.microsoft.com/ja-jp/magazine/ff797918.aspx  チェック用のスクリプト   Understanding the ASP.NET Vulnerability   http://blogs.technet.com/b/srd/archive/2010/09/17/understanding-the-asp-net-vulnerability.aspx  Microsoft、「ASP.NET」の脆弱性突く攻撃を確認  http://www.itmedia.co.jp/enterprise/articles/1009/22/news054.html  postback している場合はご注意。  パッチがリリースされましたので適用しておきましょ。
とりあえず、設定を触る前に windows\system32\inetsrv\config のフォルダをバックアップしておきましょう。
バージョン Personal Web Server Windows95/98/98SE Windows NT 4.0 SP3 IIS3.0 Windows NT 4.0 Option Pack IIS4.0 Windows 2000 Professional IIS5.0 COM+ Windows 2000 Server IIS5.0 延長サポート終了 2010/07/13 http://support.microsoft.com/lifecycle/?c1=508 Windows XP Professional IIS5.1 ※IIS5には48kbバグ(HTTP Request Smuggling)が残っていると思いますので速やかに移行しましょう。                     「ドライブ・バイ・ダウンロード」によるマルウェア感染とは――IPAが注意喚起 Windows Server 2003 IIS6.0 延長サポート終了 2015/07/14 Windows XP Professional x64 IIS6.0 Windows Vista Home Premium IIS7.0 Windows Vista Business IIS7.0 Windows Vista Enterprise IIS7.0 Windows Vista Ultimate IIS7.0 Windows Web Server 2008 IIS7.0 延長サポート終了 2018/07/10 Windows Server 2008 IIS7.0 延長サポート終了 2020/01/14 モジュール化、IIS Extensions Windows 7 Professional IIS7.5 Winsows 7 Enterprise IIS7.5 Winsows 7 Ultimate IIS7.5 Windows Web Server 2008 R2 IIS7.5 延長サポート終了 2018/07/10 Windows Server 2008 R2 IIS7.5 延長サポート終了 2020/01/14 Windows Server 2012 IIS8.0 延長サポート終了 2023/01/10 Windows Server 2012 R2 IIS8.5 延長サポート終了 2023/01/10 Windows Server 2016 IIS10.0 IIS5.0  [IIS]Windows 2000 Server/Professional での IIS 5.0 の相違点  クライアント版Windowsに付属するIISの制限 IIS6.0→IIS7.0  IIS 6.0 から IIS 7.0 への ASP.NET アプリケーションの移行 IIS7.0 から ASP はデフォルトで無効になっています。(悩んでいる人が多いようですので)  有効にするには、サーバーマネージャ - 役割 - Web サーバー(IIS)  から「役割サービスの追加」で ASP や ASP.NET を選択します。  IIS で Classic ASP Web サイトを構築する  IIS 6.0 からの移行 IIS7.0→IIS7.5  Internet Information Services  IIS 7.0 および IIS 7.5 上で Classic ASP アプリケーションを実行する  ASP.NET アプリケーションの構築と実行  マイクロソフトの Web サーバー Internet Information Services 7.0 & 7.5 概要※ pptxファイル  IIS 7.5 で使用できる Web サーバー (IIS) の役割サービス  IIS 関連情報 | TechNet  オートスタートの実装   ・オートスタートするASP.NETアプリケーション(VS 2010&.NET 4シリーズ)  強化されたIIS 7.5(前編)  強化されたIIS 7.5(後編) IIS8.0  Web サーバー (IIS) の概要  Performance Tuning Guidelines for previous versions of Windows Server IIS6.0→IIS8.x  第 1 回 - Cloud OS MVP Roadshow | TechNet IIS10.0   Request Filtering モジュールでの Server ヘッダー削除機能   <attribute name="removeServerHeader" type="bool" defaultvalue="false" /> IIS のバージョンが 10 になった事により URL Rewrite や ARR モジュールでインストール出来ない問題が発生(現状レジストリを弄って 9 にするしかない)   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InetStp\MajorVersion   
◆IIS を再起動する iisreset [computername]
/RESTARTすべてのインターネット サービスを停止してから、再開します。
/STARTすべてのインターネット サービスを開始します。
/STOPすべてのインターネット サービスを停止します。
/REBOOTコンピュータを再起動します。
/REBOOTONERRORインターネット サービスの開始、停止、または再開の際にエラーが発生した場合に、コンピュータを再起動します。
/NOFORCEインターネット サービスを正常に停止できなかった場合、サービスの終了強制は行いません。
/TIMEOUT:valタイムアウト値を秒数で指定します。
この値は、インターネット サービスが正常に停止するまでの待ち時間を表します。
/REBOOTONERRORパラメータが指定されている場合、タイムアウトを過ぎると、コンピュータが再起動されます。
既定値は、再開は 20 秒、停止は 60 秒、再起動は 0 秒です。
/STATUSすべてのインターネット サービスのステータスを表示します。
/ENABLEローカル システム上でのインターネット サービスの再開を有効にします。
/DISABLEローカル システム上でのインターネット サービスの再開を無効にします。

◆IISの設定/環境を移行 iismt.exe を利用する。  IIS移行ツールiismt.exeでIISの設定/環境を移行させる  http://www.atmarkit.co.jp/fwin2k/win2ktips/917iismt/iismt.html  Web 配置ツール (x86)  http://www.microsoft.com/downloads/details.aspx?FamilyID=32A781A2-4961-49FC-B34D-170BFA78414F&displaylang=ja  Web 配置ツール (x64)  http://www.microsoft.com/downloads/details.aspx?familyid=2C3B55B7-8BAD-4F92-86C2-C3758237AB70&displaylang=ja  IIS 5. 1 または IIS 6. 0 から IIS 7. 0 にアップグレードすると移行されているレジストリ キーの一覧  http://support.microsoft.com/default.aspx/kb/930907/ja  Migrating from IIS 5/6 to IIS 7 manually  http://programmersjournal.blogspot.com/2009/12/migrating-from-iis-56-to-iis-7.html
◆クラスタ時の構成設定の複製  ・2008 Server でネットワーク負荷分散させる場合は、UAC を OFF にしておくこと。(有効のままだとハマります)   ネットワーク負荷分散クラスタ   http://technet.microsoft.com/ja-jp/library/cc759510(WS.10).aspx  IIS5.0  %SystemRoot%\system32\inetsrv\iissync destination  http://msdn.microsoft.com/ja-jp/library/cc338066.aspx  IIS6.0  %SYSTEMROOT%\SYSTEM32\cscript.exe iiscnfg.vbs /copy  http://support.microsoft.com/kb/313098/ja  IIS7.0  IISマネージャの共有構成から。  applicationHost.configファイルを共有フォルダに配置し,全Webサーバーが参照するように設定する  http://itpro.nikkeibp.co.jp/article/COLUMN/20080109/290724/?ST=itproexpo&P=10  Microsoft Windows Server 2008 フェールオーバー クラスターで IIS 7. 0 World Wide Web 発行サービスを構成します。  http://support.microsoft.com/kb/970759   共有構成をした場合に   イベントID 9000 や 9006 IIS-APPHOSTSVC が発生する場合は   IIS 共有構成上のすべてのクラスター ノード構成する    net stop apphostsvc    sc privs apphostsvc SeChangeNotifyPrivilege/SeTcbPrivilege/SeImpersonatePrivilege    net start apphostsvc   applicationHost.config の バックアップの保存先を変更するには   <system.applicationHost>  <configHistory enabled="true" path="%SystemDrive%\inetpub\history" maxHistories="10" period="00:02:00" /> </system.applicationHost>    Event ID 9006 — IIS Application Host History Configuration    http://technet.microsoft.com/en-us/library/cc735123(WS.10).aspx   履歴の保存先を UNC パスで指定すると、 イベントID 9011 が発生するので注意。   イベントID 5   次のエラーが原因でアプリケーションプール 'DefaultAppPool' のテンプレート固定キャッシュの初期化に失敗しました:   アプリケーション プールのディスク キャッシュ サブディレクトリを作成できませんでした。データに追加のエラーコードがある可能性があります。   が、出る場合。   IIS7.0 の場合は、%SystemDrive%\inetpub\temp のアクセス権を確認。(多分ここ)   IIS6.0 の場合は、http://support.microsoft.com/kb/332097   アプリケーションプールID を LocalSystem に変更すれば、エラーは出なくなります。   アプリケーションプールID で指定している ユーザにフルアクセス権があるか確認。   UNC サーバーおよび NAS デバイス上にリモートに格納されたコンテンツに対する IIS 6.0 の展開と構成   https://technet.microsoft.com/ja-jp/library/dd296641(v=ws.10).aspx   Web サイトまたは IIS 6. 0 でホストされている仮想ディレクトリにアクセスすると、エラー メッセージ:「HTTP エラー 401. 1」   http://support.microsoft.com/kb/979892   FTP 7. 5 を IIS 7. 0 の場合は、Windows Server 2008 フェールオーバー クラスターで構成する方法   http://support.microsoft.com/kb/974603   Windows Vista および Windows Server 2008 以降の OS で、IP アドレスの変更時に送信される ARP リクエストにより、他の機器の ARP テーブルが更新されずに通信が失敗する   http://support.microsoft.com/kb/980424   NLB 環境における IIS7.x の共有構成について - monoe's blog - Site Home - MSDN Blogs   http://blogs.msdn.com/b/osamum/archive/2010/11/09/nlb-iis7-x.aspx  この件とは別にリバースプロキシーを使った   Application Request Routing を使用した HTTP 負荷分散   http://technet.microsoft.com/ja-jp/library/ee886279.aspx   Application Request Routing: The Official Microsoft IIS Site   http://www.iis.net/downloads/microsoft/application-request-routing  といったことも。ARR(Application Request Routing)については別途。  Windows Server 2008、Windows Server 2008 R2、または Windows Server 2012 フェールオーバー クラスターで IIS 7.0 以降の World Wide Web 発行サービスを構成する  http://support.microsoft.com/kb/970759/ja
◆URLScan UrlScan のデフォルトでは、インストール時スプリクト (.asp) が禁止になっているので、 C:\WINNT\system32\inetsrv\urlscanの中にあるurlscan.inf を書き換えて インクルードファイル、mdb ファイル、各種ソフトが自動で作るバックアップファイル などへのアクセスを拒否しないため、設定の変更が必要です。(Windows 2000 Server) urlscan.ini を編集する
[options] - UseAllowExtensions = 0 の場合(デフォルト値=0) [DenyExtensions] 内に無効とされるコマンド、ファイルが記述されている。 デフォルトは以下 ; Deny executables that could run on the server .exe .bat .cmd .com ; Deny infrequently used scripts .htw ; Maps to webhits.dll, part of Index Server .ida ; Maps to idq.dll, part of Index Server .idq ; Maps to idq.dll, part of Index Server .htr ; Maps to ism.dll, a legacy administrative tool .idc ; Maps to httpodbc.dll, a legacy database access tool .shtm ; Maps to ssinc.dll, for Server Side Includes .shtml ; Maps to ssinc.dll, for Server Side Includes .stm ; Maps to ssinc.dll, for Server Side Includes .printer ; Maps to msw3prt.dll, for Internet Printing Services ; Deny various static files .ini ; Configuration files .log ; Log files .pol ; Policy files .dat ; Configuration files ;.asp ;.cer ;.cdx ;.asa --- 追加例 --- ;Deny various static files .ini ; Configuration files .log ; Log files .pol ; Policy files .dat ; Configuration files .pif ; Program Information File .src .cgi .php .pl .zip .inc ; include files .dll ; .db ; .mdb ; Access files .bak ; Backup files

注)Deny various static files に追加。青字が追加部分。 追加・保存の後、IISを再起動すると設定が反映されます。
一応、ブラウザ等からダウンロードが無効になっているかどうか確認のこと。

主なオプション
[Options] セクション []内はデフォルト値
UseAllowVerbs:  0 : [DenyVerbs]に記載された HTTP verb が含まれるすべてのリクエストを拒否(大文字、小文字の区別をしない)
[1]: [AllowVerbs]に明示的に記載されていない HTTP verb が含まれるすべてのリクエストを拒否(大文字、小文字の区別をする)
UseAllowExtensions: [0]: [DenyExtensions]にファイル拡張子が記載されている場合リクエストを拒否(大文字と小文字が区別される)
 1 : [AllowExtensions]にファイル拡張子が記載されていない場合にリクエストを拒否(大文字と小文字が区別される)
NormalizeUrlBeforeScan:  0 : クライアントによって送られた時点で、raw URL に対してすべての解析を実行
[1]: IIS がリクエストされた URL をデコードし、正規化した後に、リクエスト URL に対してすべての解析を実行
   ※0にするとIIS サーバーはURL拡張子の正しい解析をバイパスするエンコード攻撃にさらされる可能性が有るので、URL解析に関する知識が豊富な上級ユーザーのみ設定する事
VerifyNormalization:  0 : チェックしない(このオプションは NormalizeUrlBeforeScan オプションに依存)
[1]: 正規化を検証する
   ※この動作によりURLに二重エンコードされた文字列が含まれるエンコード攻撃に対して防御する事が可能
   例)"%252e"の場合 %25が解読され(%)文字にデコードされ"%2e"となり、2回目にピリオド文字(.)に解読される
AllowHighBitCharacters:  0 : URLにASCII以外の文字セットが含まれている場合にリクエストを拒否
[1]: URLにASCII以外のバイナリ値が存在することを許可
   ※UNICODEやUTF-8ベースの攻撃から防御出来るが、ASCII以外のコードページを使用した正当なリクエストも拒否されるので注意が必要
   また日本語ファイルにアクセスさせる必要が在る場合は 0 にしておく事。
AllowDotInPath: [0]: チェックしない
 1 : ディレクトリまたはファイル名にピリオド文字 (.) が含まれるすべてのリクエストを拒否
RemoveServerHeader: [0]: 操作しない
 1 : すべての応答のサーバーヘッダーを削除
   ※IIS4.0以降にインストールされている場合に限り使用可能
EnableLogging:  0 : ログの記録はしない
[1]: URLScan.dllと同じディレクトリにURLScan.logというファイルに記録する
PerProcessLogging: [0]: ログファイルはURLScan.logとなる
 1 : プロセスIDをログファイル名に付け加える(例 URLScan.1234.log 等)
   ※同時に複数のプロセスでフィルタをホストできる IIS バージョンで有用
AlternateServerName:    : 許可される値は文字列(デフォルト値は空の文字列)
   RemoveServerHeaderが0の場合、そのすべての応答のデフォルトServer:ヘッダーをこの文字列に置き換える
   ※IIS4.0以降にインストールされている場合に限り使用可能

   サーバヘッダのみ隠蔽するツールとして MoIISProtect - IIS Protection ISAPI Filter があります。
   IIS7以降はIIS7 の機能を拡張してみる-レスポンスヘッダー内のサーバー名の改ざん    [FIX、IIS 7. 0 のパイプラインが正しく処理されない ISAPI からのリターン コード、SF_NOTIFY_URL_MAP 通知をリダイレクトするとき http://support.microsoft.com/kb/960267    ちなみに Etag を削除するツールとしては ETagFix があるようです。

   Etag で ChangeNumber だけを送らないようにするには
   cscript adsutil.vbs set w3svc/etag_changenumber 0
   ※IIS7.0 で 0 に戻っています。
   
   詳しくは
   http://blogs.iis.net/chrisad/archive/2006/12/18/iis7-deployments-calls-for-etag-usage-review-if-using.aspx
   Internet Explorer 6 を使用して、インターネット インフォメーション サービス 6.0 でホストされている Web アプリケーションにアクセスすると、Web パフォーマンスが低下することがある
   http://support.microsoft.com/kb/922703/
AllowLateScanning: [0]: 優先順位の高いフィルタとして実行
 1 : 優先順位の低いフィルタとして登録 URLScan が解析を実行する前にほかのフィルタに URL を変更させることができます
   ※変更後、URLScanがサーバーのMMC ISAPIフィルタのプロパティシートのフィルタリストの下位にリストされていることを確認する事
   ※Front Page Server Extensions では、この設定を 1 にする必要が有る
[AllowVerbs] セクション HTTP verb (メソッド) の一覧を記載 UseAllowVerbs=1 が設定されている場合 ここに明示的に記載されたもの以外の verb が含まれるすべてのリクエストを拒否(大文字と小文字を区別する) [DenyVerbs] セクション HTTP verb (メソッド) の一覧を記載 UseAllowVerbs=0 が設定されている場合 ここに記載されている verb が含まれるすべてのリクエストを拒否(大文字と小文字を区別する) [DenyHeaders] セクション header-name: 形式でリクエストヘッダーの一覧を記載 ここに記載されたリクエストヘッダーが含まれるすべてのリクエストを拒否(大文字と小文字を区別しない) [AllowExtensions] セクション .xxx の形式でファイル拡張子の一覧を記載 UseAllowExtensions=1 が設定されている場合 ここに明示的に記載されているもの以外の拡張子の付いた URLが含まれるすべてのリクエストを拒否(大文字と文字を区別しない) [DenyExtensions] セクション .xxx の形式でファイル拡張子の一覧を記載 UseAllowExtensions=0 が設定されている場合 ここに記載された拡張子の付いたURLが含まれるすべてのリクエストを拒否(大文字と小文字を区別する) IIS5.0 の場合は設定が既定のままで拡張子を .inc にして利用するとファイル名が表示されたエラーメッセージが画面に表示された場合に .inc のファイルの存在がバレてしまい、URLにそのファイル名を指定するとファイル全体をブラウザで表示することが出来てしまう。 ファイルの内容(データベースの設定等を記述している)によってサイトを危険にする可能性がある。 簡単な防御法は拡張子マッピングに .inc .asa を追加してメソッドの制限をる。(HEAD メソッドのみ許可) もしくは、.inc を .asp にする。 <!-- #include virtual="/bin/inc/inc.asp" --> <!-- #include file="inc.asp" --> virtual は URL で記述。 file は同じフォルダにある場合に記述。 Hit-highlighting は、 IIS 認証に依存しません。 ↑こういう問題もありますので、IIS5.0 は URLScan は必須でしょう。 IIS Lockdown Wizard による変更を元に戻す方法 http://support.microsoft.com/kb/317052/ja IIS7.0 の場合は、Administration Pack を入れると、アドオンで request filtering(要求のフィルタリング) が追加されますので入れておきましょう。  基本機能の編集で  ・一覧にないファイル名拡張子を許可する  ・一覧にない動詞を許可する  ・ハイビット文字を許可する  ・ダブルエスケープを許可する  ・許可されたコンテンツ最大長(バイト)デフォルトは 30000000  ・URLの最大長(バイト)デフォルトは 4096  ・クエリ文字列の最大長(バイト)デフォルトは 2048  を編集可能です。 ここの HTTP 動詞に以下を設定すればOKです。 GET True HEAD True POST True PUT False DELETE False OPTIONS False TRACE False CONNECT False PATCH False LINK False UNLINK False PROPFIND False <これも飛んでくるようなので、追加しときましょ。 これ以外だと(WebDAV関連) PROPPATCH MKCOL COPY MOVE LOCK UNLOCK SEARCH AllowWeakHeaderNameSyntax 値を有効にしている場合は小文字も追加しないといけない、、、かも? /testhost.htm 2010/01/20 8:56:22 405 PUT dsl78.171-52205.ttnet.net.tr 2010/01/20 10:33:55 200 OPTIONS 2010/01/20 10:33:56 200 OPTIONS 2010/01/20 10:33:59 200 OPTIONS 2010/01/20 10:38:36 405 PUT dsl78.171-52205.ttnet.net.tr ってアクセスが在ったので、注意しましょうね。 設定すると、404に変ります。 2010/01/20 19:30:41 404 OPTIONS 2010/01/20 19:30:41 404 OPTIONS 2010/01/20 20:01:29 404 OPTIONS 2010/01/20 20:01:29 404 OPTIONS  違いを確認するには  WEBサーバにtelnet接続  コマンドから telnet www.netdive.jp http OPTIONS /index.html HTTP/1.1 Host: netdive.jp Connection: close 404 になります。  コマンドから telnet www.kojikoji.net http OPTIONS /index.aspx HTTP/1.1 Host: kojikoji.net Connection: close 200 になります。 たまに、null が飛んできて 400 返していますが アパッチを利用している場合は Bad Request に バージョン情報が上がってないか確認した方がいいですよ。 /%0 付けてファイアフォックスで確認   サイトを公開する際に最低限抑えておきたい Apache の設定 http://c-brains.jp/blog/wsg/10/07/05-115821.php ※Windows VISTA 以降では telnet コマンドは既定では無効化されていますので  telnet を利用するには、「プログラムと機能」の「Windows の機能の有効化または無効化」から  「Telnet クライアント」にチェックを付ける事で利用できるようになります。  Administration Pack for IIS 7.0 (x86)  http://www.microsoft.com/downloads/details.aspx?familyid=BC9B9F0F-830E-409C-A211-DCEA1B4D9860&displaylang=ja  Administration Pack for IIS 7.0 (x64)  http://www.microsoft.com/downloads/details.aspx?familyid=B74E3B35-B77C-4191-9AC4-8307423D09EC&displaylang=ja    IIS 7.0: カスタム HTTP 応答ヘッダーを削除する  http://technet.microsoft.com/ja-jp/library/cc733102(WS.10).aspx  ※カスタム HTTP 応答ヘッダーの一覧を表示するには   appcmd list config /section:httpProtocol   appcmd の使い方は   How to use the Appcmd.exe command-line tool to enable and configure HTTP logging and other features in Internet Information Services 7.0   http://support.microsoft.com/kb/930909  カスタム HTTP 応答ヘッダー「 X-FRAME-OPTIONS 」の追加(クリックジャッキング対策)  値     内容  DENY    他の Web ページ上の frame 及び iframe 上での表示を拒否。  SAMEORIGIN Top-level-browsing-context が一致した場合のみ、他の Web ページ上の        frame 及び iframe 上での表示を許可し一致しない場合は表示を拒否。  詳しくは http://www.jpcert.or.jp/ed/2009/ed090001.pdf  情報処理推進機構:IPA テクニカルウォッチ:知らぬ間にプライバシー情報の非公開設定を公開設定に変更されてしまうなどの『クリックジャッキング』に関するレポート  http://www.ipa.go.jp/about/technicalwatch/20130326.html  あと、IE8 XSS Filter用に  X-XSS-Protection: 1; mode=block  X-Content-Type-Options: nosniff  を追加しておきましょう。    ヘッダーに X-AspNet-Version: 2.0.50727 と出力されている場合は  Web.config の <system.web> の下に  <httpRuntime enableVersionHeader="false" />  と記述すると消すことが出来ます。  MVC をインストールした場合も X-AspNetMvc-Version を出力するようです。  Application_Start に MvcHandler.DisableMvcResponseHead="true" と書いておく。  http://msdn.microsoft.com/ja-jp/library/system.web.mvc.mvchandler.disablemvcresponseheader.aspx  そのた。  XMLHttpRequestを使ったCSRF対策 - 葉っぱ日記  http://d.hatena.ne.jp/hasegawayosuke/20130302/p1  HTTP access control | MDN  https://developer.mozilla.org/ja/docs/HTTP_access_control  Strict-Transport-Security: max-age=31536000  http://blog.wonderrabbitproject.net/post/2011/01/11/IIS-75-How-to-use-HSTS(HTTP-Strict-Transport-Security).aspx デバッグ用とか Access-Control-Allow-Origin ヘッダを強制挿入するには Fiddler を利用してカスタムルールの設定で OnBeforeResponse に oSession.oResponse.headers.Add("Access-Control-Allow-Origin", "*"); と書き足しておく。 IIS 7. 0 では、アンダースコア文字を含むホスト ヘッダー名はサポートされていません ホスト名が無効である場合は、cookie は保存されません。
◆Windows Server 2003 に URLScan をインストールする場合の注意点。 URLScan2.5 のみ直接インストールしないと、トラブルが起きます。 http://www.microsoft.com/japan/technet/security/tools/urlscan.asp また、WebDAV で 30MB 以上ファイルを PUT する予定がある場合は バグにより PUT 出来ない不具合が出ます。  ちなみにIIS7.0でやるには以下参照  インターネット インフォメーション サービス 7. 0 を実行しているコンピューターに UrlScan ツールのバージョン 2. 5 をインストールしようとすると、エラー メッセージ: インストーラーできません「インストール」UrlScan IIS Version 4. 0、5. 0、5. 1、または 6. 0 がこのコンピューターにインストールされていないため  http://support.microsoft.com/kb/931206  インターネット インフォメーション サービス 7. 0 で、インターネット サーバー API フィルター通知プロセスが変更された方法  http://support.microsoft.com/kb/931205 MSサイトに書かれている説明通り http://www.microsoft.com/japan/technet/security/tools/locktool.asp IIS Lockdown Wizard 2.1 ツール を展開して、URLScan 2.1 をインストール後 2.5 をインストールするとアクセス権が設定されず、ログが書かれない等の現象 が発生します。(2004.5.20 現在の情報) ※ MS 問い合わせたので日本語の修正がいずれ入ります。 デフォルトフォルダから指定したフォルダにログを書き込むように変更した場合 も同様の現象が発生する事になります。 この場合は、対象フォルダに、グループ「IIS_WPG」を追加し、読み込みと書込み 権限を設定します。 また詳細設定を開いて、アクセス許可エントリーに以下の項目に 「許可」のチェックが入っている事を確認します。 ・フォルダの一覧/データ読み取り ・属性の読み取り ・拡張属性の読み取り ・ファイルの作成/データの書き込み ・フォルダの作成/データの追加 ・属性の書き込み ・拡張属性の書き込み ・アクセス許可の読み取り ◆ URLScan 2.5 を削除する場合の注意点。 アプリケーションの追加と削除からアンインストール可能ですが Logsフォルダとアクセスログが既に出来ている場合は、フォルダ の削除はされません。この場合は手動で行う事になります。 また、IIS の ISAPI(アイサピ と言うらしい)から登録されている URLScan を手動で削除する必要があります。 ファイル自体は削除されますが、登録された内容はそのままらしい。 また、削除していない場合は、再インストールが出来ません。 64bit版 に入れる場合 x64 環境での IIS6 は 64bit モードでデフォルト設定されているので 読み込むことができませんでしたってなエラーが出る場合は IIS 自体を 32bit モードで起動する必要がある。( BASP を利用する場合も ) 解決するには Enable32bitAppOnWin64 を 1 に設定する。(戻す場合は 0 ) http://support.microsoft.com/kb/895976/ja http://support.microsoft.com/kb/894435/ja  cscript %SYSTEMDRIVE%\inetpub\adminscripts\adsutil.vbs SET W3SVC/AppPools/Enable32bitAppOnWin64 1 http://naka.wankuma.com/site/column/windowsxp/00008.htm http://blogs.sqlpassj.org/mitsugi/archive/2005/08/17.aspx .NET Framework もセットアップが必要かな?  32bit  C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727>aspnet_regiis.exe -i  64bit  C:\WINDOWS\Microsoft.NET\Framework64\v2.0.50727>aspnet_regiis.exe -i  どうしても 64bit で動作させたい場合はコンポーネントサービスに登録してみる。  basp21.dll 登録手順 ※検証してませんので各自で試してください。  1.comexp.exe を管理者として実行  2.コンソール ルート   -コンポーネント サービス    -コンピュータ     -マイコンピュータ      -COM+ アプリケーション <ここで右クリックから新規作成で、アプリケーションを選択   ここで、ウイザードに従い、空のアプリケーションを作成する       -BASP <BASPという名で作成した場合        -コンポーネント <ここで右クリックから新規作成で、コンポーネントを選択   ウイザードで「新しいイベントクラスをインストールする」を選択し、%SystemRoot%\sysWOW64\basp21.dll を選択後、戻るを押す。   次に、「新しいコンポーネントをインストールする」を選択し、同様に %SystemRoot%\sysWOW64\basp21.dll を選択して、次に進める。  createobject で呼び出せれば OK  動かない場合は、アクセス権周りを確認する。  作成したアプリケーション「BASP」を右クリックしてプロパティを表示して、セキュリティタブを確認。  同様に  -BASP   -コンポーネント    -Basp21.1    -Basp21.FTP.1    -Basp21.Socket.1   の各プロパティを確認   問題になるとすればアクティブ化タブの部分かな。   また詳細タブに IISサポート で組み込みプロパティを許可する というのがある。      学習リモコンの DLL 作った時に x64 で動かなくて調べたら   ここの登録で動いたので、ひょっとすると、BASP もいけるかもしれない。   Windows 7 または Windows Server 2008 R2 を実行しているコンピューター上の COM ベースのアプリケーションがフリーズします。   Windows 7 ベースまたは Windows Server 2008 R2 ベースの COM クライアント上の RPC サービスのクラッシュ   メモリ リークが発生し、クライアントからの要求を COM + に基づいたアプリケーションを実行すると、長時間かかることがありが登録されて、シングル スレッド 似たようなの? SecureIIS™ Web Server Protection サーバヘッダのみ削除する場合は     KEY HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parpameters     値の名前 : DisableServerHeader     データ型 : REG_DWORD     値    : 1   参考    IIS 6 のサーバー バナーの削除    http://www.microsoft.com/japan/technet/community/columns/insider/iisi1004.mspx#EABAA      IIS/6.0の"DisableServerHeader"は期待通りに動かない    http://d.hatena.ne.jp/EijiYoshida/20061108/1163006448    IISのレスポンスヘッダ情報の一部を編集    http://kinshachi.ddo.jp/kurage/html/MT/comp/archives/000581.html そのた  WOW64 モードで32 ビット Reporting Services を実行するように IIS を設定します。  http://support.microsoft.com/kb/910228/ja UrlScan 3.0 ベータが出ているようです。 http://learn.iis.net/page.aspx/473/using-urlscan UrlScan 3.1 が公開されています。(IIS5.1以降)  x86版  http://www.microsoft.com/downloads/details.aspx?FamilyID=ee41818f-3363-4e24-9940-321603531989&DisplayLang=en  x64版  http://www.microsoft.com/downloads/details.aspx?FamilyID=361e5598-c1bd-46b8-b3e7-3980e8bdf0de&DisplayLang=en  互換性は保たれているようで、新たにクエリ文字列をチェック出来るようになった。  QueryString や Cookie の余分な「%」を検知するようです。POST は駄目らしい。  ※IIS7.0 にインストールするには、先に IIS 6 管理互換をインストールしておく必要があります。  appcmd による設定(要求のフィルタリング)  ハイビット文字を許可  appcmd set config /section:requestfiltering /allowhighbitcharacters:true  ダブル エスケープを有効  appcmd set config /section:requestfiltering /allowdoubleescaping:true  一覧にないファイル名拡張子を拒否  appcmd set config /section:requestfiltering /fileExtensions.allowunlisted:false  ファイル名拡張子を WebDAV 要求に適用  appcmd set config /section:requestfiltering /fileExtensions.applyToWebDAV:false  ファイル名拡張子 .xxx の許可  appcmd set config /section:requestfiltering /+fileExtensions.[fileextension=' .xxx ',allowed='true']  ファイル名拡張子 .xxx の規則を削除  appcmd set config /section:requestfiltering /-fileExtensions.[fileextension=' .xxx ']  コンテンツの最大長を 30000000 に設定  appcmd set config /section:requestfiltering /requestlimits.maxallowedcontentlength:30000000  着信 URL の最大長を 4096 に設定  appcmd set config /section:requestfiltering /requestlimits.maxurl:4096  着信クエリ文字列の最大長を 2048 に設定  appcmd set config /section:requestfiltering /requestlimits.maxquerystring:2048  HTTP Keep-Alive ヘッダーを無効に設定  appcmd set config /section:httpProtocol /allowKeepAlive:false  直ちにコンテンツの有効期限が切れるように Expires 応答ヘッダーを設定  appcmd set config /section:staticContent /clientCache.cacheControlMode:DisableCache  その他は  IIS 7.0: Appcmd.exe  http://technet.microsoft.com/ja-jp/library/cc772200(WS.10).aspx  http://technet.microsoft.com/ja-jp/library/cc754791(WS.10).aspx  IIS Post 許可で検索して来訪してくる方がいらっしゃるようですが  たぶん、.NET Framework 1.1 のままだからだと思いますよ。 デフォルトで禁止になってたと思います。  2.0 から許可に仕様が変更されていますので、2.0 入れるのが楽かと。  セキュリティ関連   Dynamic IP Restrictions   http://technet.microsoft.com/ja-jp/iis/ee839436.aspx   Dynamic IP Restrictions の使用   http://technet.microsoft.com/ja-jp/library/dd939100.aspx  IIS7.0 や IIS7.5 を利用時は   Microsoft Web Platform Installer 2.0   http://www.microsoft.com/web/downloads/platform.aspx  をインストールして、そこから選んだ方が良いかも。URLScan3.1 も選べます。  記事になったようです。  ※Microsoft Web Platform Installer 4.5 では IIS7.0 及び IIS7.5 では URLScan3.1 がでてきませんね・・・   Web Platform Installerによる速攻Webアプリケーション・インストール術   http://www.atmarkit.co.jp/fwin2k/operation/wpi/wpi_01.html  ※ネットワーク負荷分散が原因なのか、共有構成を有効化しているのが原因なのか   32ビットアプリケーションを有効化しているのが原因なのか分かりませんが   その構成の IIS7.0 では、「Dynamic IP Restrictions 1.0 - Beta」は   インストールしてもアイコンが出てきませんでした。
ARR(Application Request Routing)  IIS7.x 以降で利用可能なリバースプロキシー。    Web Platform Installer を使ってセットアップ。  Application Request Routing 2.5 を選択した場合、以下の物も同時にインストールされる。    ・URL Rewrite 2.0  ・Web Farm Framework 1.1  ・修正パッチ KB2589179  URL Rewite を先にインストールしていたりすると、うまく動かなかったりする。*.config に正しく書き込まれてない?  その場合は、プログラムと機能から  ・IIS URL Rewite Module 2  ・Microsoft Web Farm Framework  ・Microsoft Application Request Routing 2.5  を削除して、再度 Web Platform Installer を使ってセットアップしなおすと、うまくいくみたい。
IIS7 以降には URLScan に変わるセキュリティツールが出るようです。 Announcing the availability of ModSecurity extension for IIS - Security Research & Defense - Site Home - TechNet Blogs http://blogs.technet.com/b/srd/archive/2012/07/26/announcing-the-availability-of-modsecurity-extension-for-iis.aspx ModSecurity - Browse /modsecurity-iis at SourceForge.net http://sourceforge.net/projects/mod-security/files/modsecurity-iis/ ModSecurity のセットアップ 検証中。確認は 2.7.2 ・IIS7.0 x64 にはインストールしても問題なく動作、、、してない。  インストールは出来たみたいだけど   ソース "ModSecurity" からのイベント ID 0 の説明が見つかりません。このイベントを発生させるコンポーネントがローカル コン   ピュータにインストールされていないか、インストールが壊れています。ローカル コンピュータにコンポーネントをインストールす   るか、コンポーネントを修復してください。   イベントが別のコンピュータから発生している場合、イベントと共に表示情報を保存する必要があります。   イベントには次の情報が含まれています:   ModSecurity: LIBXML compiled version="2.7.7"   ModSecurity: LUA compiled version="Lua 5.1"   ModSecurity: PCRE compiled version="8.30 "; loaded version="8.30 2012-02-04"   ModSecurity: APR compiled version="1.4.6"; loaded version="1.4.6"   ModSecurity for IIS (STABLE)/2.7.2 (http://www.modsecurity.org/) configured.  → Dependency Walker のツールで依存関係を調査。http://www.dependencywalker.com/  ※ディレクトリが日本語を含んでいると正しく処理されませんので注意。   IESHIMS.DLL    IE8から導入されたファイルで「ieshims.dll」がインストールされたフォルダを OS が見つけられない事が原因    環境変数pathに、「;%ProgramFiles%\Internet Explorer;」を付け加えることで解消。   LINKINFO.DLL   MF.DLL   MFPLAT.DLL    「サーバー マネージャ(servermanager.msc)」から「デスクトップ エクスペリエンス」の機能追加が必要。   WLANAPI.DLL    「サーバー マネージャ(servermanager.msc)」から「ワイヤレスLANサービス」の機能追加が必要。   標準セットアップでは、上記 DLL が見つからないので事前にセットアップしておいたほうがよい。   サーバーの再起動後に、、、    Application Error 1000    障害が発生しているアプリケーション w3wp.exe、    バージョン 7.0.6002.18005、    タイム スタンプ 0x49e023cf、    障害が発生しているモジュール libapr-1.dll、    バージョン 1.4.6.0、    タイム スタンプ 0x502f7152、    例外コード 0xc0000005、    障害オフセット 0x00008072、    プロセス ID 0x820、    アプリケーションの開始時刻 0x01ce156928ab81ba。   ModSecurity は遅延ロードに依存するモジュールでを利用しているようで   W3SVC(World Wide Web Publishing Service) を「自動」から「自動(遅延開始)」に変更。   エラーは無くなったが、「ソース "ModSecurity" からのイベント ID 0 の説明が見つかりません。」   は、相変わらず・・・   64 ビット版の Windows Server 2008 または Windows Vista で 32 ビット アプリケーションを実行すると、カスタム イベントが正しく記録されない   http://support.microsoft.com/kb/961270/ja   とりあえず、   C:\Windows\System32\inetsrv\config\applicationHost.config   <add name="ModSecurityIIS" image="C:\Windows\system32\inetsrv\ModSecurityIIS.dll" />   を   <add name="ModSecurityIIS" image="%SystemRoot%\system32\inetsrv\ModSecurityIIS.dll" /> ・IIS7.5 の場合、アプリケーションプールが停止する・・・  モジュール DLL C:\Windows\system32\inetsrv\modsecurityiis.dll を読み込めませんでした。このデータはエラーです。   IESHIMS.DLL   MSVCR100.DLL    Download: Microsoft Visual C++ 2010 再頒布可能パッケージ (x86) - Microsoft Download Center - Download Details http://www.microsoft.com/ja-jp/download/details.aspx?id=5555    Download: Microsoft Visual C++ 2010 再頒布可能パッケージ (x64) - Microsoft Download Center - Download Details http://www.microsoft.com/ja-jp/download/details.aspx?id=14632    ※x86版も入れること。入れないとアプリケーションプールが落ちます。   ※足りないモジュールの確認をする前に「ワイヤレスLANサービス」を入れてしまったので、WLANAPI.DLL は見つからなかったかは不明。 ・IIS8.0 は未検証 正しくインストールされると全てのサイトで有効になりますので、無効にする場合は web.config に <modules> <remove name="ModSecurityIIS" /> </modules> と記述する。 定義ファイルの指定は、 system.webServer に <ModSecurity enabled="true" configFile="c:inetpub\wwwroot\xss.conf" /> などと、指定する。 内容については、そのうち。 https://github.com/SpiderLabs/ModSecurity/wiki/Reference-Manual#wiki-Configuration デフォルトルール SecRuleEngine DetectionOnly SecRequestBodyAccess On SecRule REQUEST_HEADERS:Content-Type "text/xml" \ "id:'200000',phase:1,t:none,t:lowercase,pass,nolog,ctl:requestBodyProcessor=XML" SecRequestBodyLimit 13107200 SecRequestBodyNoFilesLimit 131072 SecRequestBodyInMemoryLimit 131072 SecRequestBodyLimitAction Reject SecRule REQBODY_ERROR "!@eq 0" "id:'200001', phase:2,t:none,log,deny, \ status:400,msg:'Failed to parse request body.',logdata:'%{reqbody_error_msg}',severity:2" SecRule MULTIPART_STRICT_ERROR "!@eq 0" \ "id:'200002',phase:2,t:none,log,deny,status:400, \ msg:'Multipart request body failed strict validation: \ PE %{REQBODY_PROCESSOR_ERROR}, \ BQ %{MULTIPART_BOUNDARY_QUOTED}, \ BW %{MULTIPART_BOUNDARY_WHITESPACE}, \ DB %{MULTIPART_DATA_BEFORE}, \ DA %{MULTIPART_DATA_AFTER}, \ HF %{MULTIPART_HEADER_FOLDING}, \ LF %{MULTIPART_LF_LINE}, \ SM %{MULTIPART_MISSING_SEMICOLON}, \ IQ %{MULTIPART_INVALID_QUOTING}, \ IP %{MULTIPART_INVALID_PART}, \ IH %{MULTIPART_INVALID_HEADER_FOLDING}, \ FL %{MULTIPART_FILE_LIMIT_EXCEEDED}'" SecRule MULTIPART_UNMATCHED_BOUNDARY "!@eq 0" "id:'200003',phase:2,t:none,log,deny, \ status:400,msg:'Multipart parser detected a possible unmatched boundary.'" SecPcreMatchLimit 1000 SecPcreMatchLimitRecursion 1000 SecRule TX:/^MSC_/ "!@streq 0" \ "id:'200004',phase:2,t:none,deny,msg:'ModSecurity internal error flagged: %{MATCHED_VAR_NAME}'" SecResponseBodyAccess On SecResponseBodyMimeType text/plain text/html text/xml SecResponseBodyLimit 524288 SecResponseBodyLimitAction ProcessPartial SecTmpDir /tmp/ SecDataDir /tmp/ SecAuditEngine RelevantOnly SecAuditLogRelevantStatus "^(?:5|4(?!04))" SecAuditLogParts ABIJDEFHZ SecAuditLogType Serial SecAuditLog /var/log/modsec_audit.log SecArgumentSeparator & SecCookieFormat 0 Windows 版 ModSecurity を Windows Server 2012 R2 (IIS 8.5) にインストールする | Webセキュリティの小部屋 http://www.websec-room.com/2014/09/27/1998
その他モジュール IIS7 の機能を拡張してみる-Hot Link (直リン) 禁止モジュール - monoe's blog - Site Home - MSDN Blogs http://blogs.msdn.com/b/osamum/archive/2010/04/02/iis7-hot-link.aspx
セキュリティで保護された Cookie を有効にする。 この例ではサイト 1 に対して有効にしています。 cd %windir%\system32\inetsrv\adminsamples adsutil set w3svc/1/AspKeepSessionIDSecure 1 詳しくは、 http://support.microsoft.com/default.aspx?scid=kb;ja;274149
FastCGI for IIS cgi 高速化ツール。 サポートされているバージョンは、IIS5.1、IIS6.0、IIS7.0 の 32bit 及び 64bit 版 速くなったかどうかは不明。。。IIS で PHP を利用する場合に有効。 解凍して以下コマンドでセットアップ完了。(フォルダの場所は任意) C:\x86>cscript fcgisetup.js /install Microsoft (R) Windows Script Host Version 5.6 Copyright (C) Microsoft Corporation 1996-2001. All rights reserved. IIS version 6 Stopping IIS... ...done Copying files ... Copying C:\x86\x86\fcgiext.dll to C:\WINDOWS\system32\inetsrv\fcgiext.dll Copying C:\x86\fcgiext.ini to C:\WINDOWS\system32\inetsrv\fcgiext.ini Copying C:\x86\x86\fcgiext.pdb to C:\WINDOWS\system32\inetsrv\fcgiext.pdb ... done! Starting IIS... ... done! Creating metabase backup: FastCGI Tech Preview Creating Web Service Extension Restriction List entry for 'C:\WINDOWS\system32\inetsrv\fcgiext.dll' ... ...done Installation completed successfully. C:\x86> ini ファイルの設定方法は、そのうち調査... このへん  Configure the FastCGI Extension for IIS 6.0  http://learn.iis.net/page.aspx/248/configure-the-fastcgi-extension-for-iis-60/ PHP on IIS7 : The Official Microsoft IIS Site http://php.iis.net/  一通り揃うパック(Web Platform Installer 2.0 Beta)あり  UrlScan や FastCGI が先に入っていると、PHP のマッピングがされない?  .php を fcgiext.dll で動くようにマッピングの追加と、Urlscan.ini に .php の許可すればOK. FastCGI - Technical preview http://blogs.msdn.com/dd_jpn/archive/2007/04/18/2168928.aspx [HOW TO] Windows XP IIS5.1でFastCGI+PHP5環境を作ってみる http://forums.microsoft.com/TechNet-JA/ShowPost.aspx?PostID=2119058&SiteID=36 [HOW TO] IIS7.0でFastCGI+PHP5環境を作ってみる http://forums.microsoft.com/TechNet-JA/ShowPost.aspx?PostID=2113684&SiteID=36 はじめてのPHP http://download.microsoft.com/download/7/B/0/7B04500F-CC89-4F98-9A8D-E4BC2FADE904/First_PHP_guide.pdf PHP on IIS あなたの可能性を広げる、Windows 環境へ http://www.microsoft.com/japan/opensource/php/default.mspx Apache to IIS 7.0 – Migration Guide http://download.microsoft.com/download/2/D/8/2D863347-3AFF-48A6-9FCF-EC6554C18DCF/Apache%20to%20IIS%207%200%20Migration%20Guide.doc Migrating Apache Web Sites to IIS 6.0 http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=80a1b6e6-829e-49b7-8c02-333d9c148e69 第2回 WindowsでもPHP http://www.atmarkit.co.jp/fwin2k/verification/web200802/web200802_01.html PHPプログラムを解析して何処が重いか?がブラウザ上で簡単に分かる「XHProf」 http://phpspot.org/blog/archives/2009/03/phpxhprof.html データベースの基礎を理解しよう!プログラミング未経験から始めるPHP入門 http://codezine.jp/article/detail/3685 ZendFrameworkで作る『イマドキ』のWebアプリケーション http://gihyo.jp/dev/serial/01/zf-ajax ECサイトソフトウェアはなぜ更新されないのか http://www.atmarkit.co.jp/fsecurity/column/kawaguchi/020.html PHP基礎文法最速マスター http://www.1x1.jp/blog/2010/01/php-basic-syntax.html PHPをC++に変換して高速化する「HipHop for PHP」をFacebookが公開 http://blog.candycane.jp/archives/275 PHPで行う動画変換(前編) http://codezine.jp/article/detail/5173 PHPUnitでできる単体テスト http://codezine.jp/article/detail/5369 フリーで使えるPHP+MySQLで構築されたショッピングカートシステム「Zeuscart」 http://phpspot.org/blog/archives/2010/07/phpmysqlzeuscar.html 文字コードに起因する脆弱性を防ぐ「やや安全な」php.ini設定 http://www.tokumaru.org/d/20100927.html PHPデベロッパがおかしがちな10のMySQL間違い http://journal.mycom.co.jp/articles/2010/11/24/mysql-mistakes-by-php-developers/index.html PHPerなら知っておいて損はない10の関数 http://blog.asial.co.jp/779 Perl入門 http://www.perlplus.jp/perl/ 日本の Perl ユーザのためのハブサイト http://perl-users.jp/ PHP入門 http://www.phpbook.jp/tutorial/ 日本の PHP ユーザのためのハブサイト http://php-users.jp/ PHP マニュアル http://www.php.net/manual/ja/ mod_jk最新版、Tomcat Connector JK 1.2.27登場 - IIS対応改善 http://journal.mycom.co.jp/news/2008/11/04/047/index.html asp -> php で参考にさせてもらったサイト http://pub.ne.jp/asp2php/?entry_id=1066131 http://www.7key.jp/program/php/php_abc.html ※ IIS と独立して動く CGI(PHPなど)物は、エラーを返さない場合があります。   クラシックASP や ASP.NET の場合 500 を返しても、PHP の場合は 200 を返したりしますので   IIS 上で PHP などを利用する場合は、どんなエラーを返すのか確認しておく必要があります。 POST経由でPHPスクリプト中の脆弱性を悪用するPHPインジェクションを確認(NRIセキュア) http://www.nri-secure.co.jp/ncsirt/2010/0914.html 狙われるphpMyAdmin、攻撃のきっかけは? http://www.atmarkit.co.jp/fsecurity/column/kawaguchi/019.html なぜPHPアプリにセキュリティホールが多いのか? http://gihyo.jp/dev/serial/01/php-security/0024?page=1 第12回■主要言語別:入力値検証の具体例 ~入力に関する対策(3) http://itpro.nikkeibp.co.jp/article/COLUMN/20090525/330611/?ST=security 何故かあたり前にならない文字エンコーディングバリデーション http://blog.ohgaki.net/char_encoding_must_be_validated セキュリティ専門家でも間違える!文字エンコーディング問題は難しいのか? http://blog.ohgaki.net/is-char-encoding-problem-difficult 既にあたり前になりつつある文字エンコーディングバリデーション http://www.tokumaru.org/d/20090914.html#p01 Webサーバから始めよう http://www.atmarkit.co.jp/fcoding/articles/server/01/server01a.html 第2回 もっとApacheを知ろう http://www.atmarkit.co.jp/fcoding/articles/server/02/server02a.html PHPで行う動画変換(前編) http://codezine.jp/article/detail/5173  PHPで行う動画変換(後編)  http://codezine.jp/article/detail/5289 php はワームに良く狙われるようで、下記のフォルダを作っているような場合はアクセス権に注意。 HTTP 400 を返す場合にバージョン情報等を吐き出してないかも確認した方が良いでしょう。 /~/ /"/ /admin/ /admin/config/ /scripts/ /config/ /webadmin/ /dbadmin/ /myadmin/ /temp/ /test/ /files/ /video/ /buckup/ /music/ /bb/ /pp/ /secret/ /private/ /videos/ /cpphpmyadmin/ /phpmyadmin/ /phpmyadmin2/ /sql/ /sqlweb/ /db/ /websql/ /webdb/ /pma/ /pma2005/ /p/m/a/ /mysql/ /mysqladmin/ /user/ /manager/ /phpmanager/ と、 php-my-admin など、ハイフンの組み合わせや数文字削っているフォルダ、大文字小文字の組み合わせ等。。。 複数の IP アドレスから 1回だけ接続を試みるようですので、アクセスログはマメにチェックした方が良いかも。 LogParser.dll を使えば Web 上からリアルタイムでログの確認が出来ます。 こんなかんじ http://www.kojikoji.net/log/useragent.aspx 公開していないサーバーを狙った動きもあります。 DNS を引いて HTTP1.1 で接続し、未設定の PHP ツールにアクセスしてきますのでご用心。 油断してるとやられます。 /mysqladmin/scripts/setup.php /phpMyAdmin2/scripts/setup.php /phpmyadmin2/scripts/setup.php /myadmin/scripts/setup.php /MyAdmin/scripts/setup.php /myAdmin/scripts/setup.php /phpMyAdmin/scripts/setup.php /phpadmin/scripts/setup.php /mysql/scripts/setup.php /pma/scripts/setup.php /phpmyadmin/scripts/setup.php /phpAdmin/scripts/setup.php setup.php を残していないか確認しましょう。main.php へのアクセスも多いです。 IIS サーバーの場合はファイルを PUT するワームが飛んできますね。 /iisstart.asp /main.aspx /main.html /default.asp /main.asp /default.php /index.php /home.php /localstart.asp /Entrada.asp /home.asp /default.htm /main.htm /welcome.html /index.html /welcome.htm /index.htm /home.htm /home.html /index.aspx /defaut.aspx /home.aspx /default.html /index.asp 最初に開くページの指定は、これ以外にしておくのが良いでしょう。 パールについては /cgi/hints.pl に POST してくるようです。 そのApacheのモジュールは本物ですか? http://blog.f-secure.jp/archives/50455216.html SQL Server Driver for PHP 1.1 - October 2009 http://www.microsoft.com/downloads/details.aspx?FamilyID=ccdf728b-1ea0-48a8-a84a-5052214caad9&DisplayLang=en 人気プログラミング言語ランキング ‐ PHP、C++を抜いて3位 http://journal.mycom.co.jp/news/2010/01/12/022/index.html  ASP や ASP.NET は人気なさそう・・・  Web Server 利用率統計  http://news.netcraft.com/   現状:オープンシステムが危ない http://itpro.nikkeibp.co.jp/article/COLUMN/20100701/349800/
AQTRONIX WebKnight - Application Firewall for Web Servers http://www.aqtronix.com/?PageID=99 IIS で使えるアプリケーションファイアウォール  IPAは、Webアプリケーションファイアウォールの特徴や導入方法などを紹介する「Web Application Firewall 読本」を公開した。  http://www.itmedia.co.jp/enterprise/articles/1002/16/news072.html  記事になりました。  WebKnight と Apache のジュール ModSecurity についての資料が公開されています。  設定方法など詳しく書かれていますので参考になります。 オープンソースの侵入検知エンジン「Suricata 1.0」がリリース http://sourceforge.jp/magazine/10/07/06/0233218 拡大するSQLインジェクションの被害 人手による防御、いつまで続けられますか? http://special.nikkeibp.co.jp/ts/article/a00i/106342/ つかね、正しい知識を持たせる事が先決でしょう・・・ じゃないと、いつまでたっても脆弱性を量産しまくるだけで、、、 アンチウイルスも、WAF も単なる「保険」程度に考えておくべき物かと。 インジェクション系は自力で学習が困難なら、勉強会にでも行って正しい知識を身につけるべし。 Web Application Firewall 読本 http://www.ipa.go.jp/security/vuln/waf.html
PowerShellASP http://www.powershelltoys.com/ ASP から Windows PowerShell を呼び出せるようになる、、、らしい。
その他 Microsoft Anti-Cross Site Scripting Library V3.0 http://www.microsoft.com/downloads/details.aspx?FamilyID=051ee83c-5ccf-48ed-8463-02f56a6bfc09&DisplayLang=en
◆Content-Location で内部 IP アドレスが表示されている場合の隠蔽(Windows 2000 Server)  確認   Cscript Adsutil.vbs GET W3SVC/UseHostName    'UseHostName' is not set at this node. と表示される場合は設定する   Cscript Adsutil.vbs SET W3SVC/UseHostName TRUE  その他 2000 Server に関する情報は   Web アプリケーション セキュリティ強化:脅威とその対策   http://www.microsoft.com/japan/msdn/security/guidance/secmod95.mspx    Apache + Tomcat なども、たまに ローカルIP が漏れているサーバーがありますのでご注意を。
◆IIS で未使用IPアドレスを開放する方法。  ◆ソケットプーリング機能を無効化   → IIS5.0 以降ソケットプーリング機能が導入され、Web サイトに割り当てられた IPアドレスだけでなく サーバ全ての IP アドレス にバインドされるようになっている。     これを無効化するには、、、     Windows 2000 はメタベースの変更で可能     【操作手順】      \InetPub\AdminScripts に移動し、以下のコマンドを実行 Cscript Adsutil.vbs SET W3SVC/DisableSocketPooling TRUE 詳しくは:マイクロソフト サポート技術情報 - JP259349 Windows Server 2003 の場合、複数のアプリケーションがそれぞれ異なる IP アドレスで、同じポートを使用できるようにするには、 新しいユーティリティの Httpcfg.exe を使用する必要があります。 Httpcfg.exe は、Windows Server 2003 CD の Support\Tools ディレクトリにある Support.cab ファイルに含まれています。  次のコマンドを入力します。xxx.xxx.x.x は追加する IP アドレス、y はポートです。   httpcfg set iplisten -i xxx.xxx.x.x:y  コマンドが正常に実行されると、Httpcfg から次のメッセージが表示されます。   HttpSetServiceConfiguration completed with 0  IP アドレスを追加した後、次のコマンドを使用して、追加された IP アドレスを確認します。   httpcfg query iplisten  Httpcfg の実行結果が以下のように表示されます。   IP :xxx.xxx.x.x:y [IIS 6.0] メタベース プロパティ DisableSocketPooling を設定しても有効にならない
1つのIPに複数のHTTPS サイトをバインドする  登録  appcmd set site /site.name:"サイト名" /+bingings.[protocol='https',bindingInformation='*:443:listenしたいホスト名']  解除  appcmd set site /site.name:"サイト名" /-bingings.[protocol='https',bindingInformation='*:443:listenしたいホスト名']   参考   IIS7.0でServer Name Indication(SNI)を使って1つのIPに複数のHTTPSサイトをバインドする方法   http://d.hatena.ne.jp/windowsserver/20090407/1239087995   IISで、ホストヘッダーによるバーチャルドメインでSSLを使用するには?   http://blogs.msdn.com/osamum/archive/2009/10/19/iis-ssl.aspx   IIS 7.0: 128 ビット Secure Sockets Layer を要求する   http://technet.microsoft.com/ja-jp/library/cc755203(WS.10).aspx   IIS 7.0: クライアント証明書を使用するかどうかを指定する   http://technet.microsoft.com/ja-jp/library/cc753983(WS.10).aspx   1 対 1 のクライアント証明書マッピングの構成   http://technet.microsoft.com/ja-jp/library/dd939057.aspx   ※IIS7.0 から、クライアント証明書のマッピングをする GUI は無くなりました。    Active Directory を利用した設定はここらを参考に。    http://www.iis.net/ConfigReference/system.webServer/security/authentication/clientCertificateMappingAuthentication    Windows Server 2008 以降の証明書 WEB 登録ではローカルコンピュータへのインストール処理は実行できません    http://support.microsoft.com/kb/2688969/ja    証明機関が発行する証明書の有効期限を延ばす方法    http://fate-it.blogspot.jp/2011/11/blog-post_8411.html    Windows Server 2003 または Windows 2000 Server 証明機関により発行される証明書の有効期限を変更する方法    https://support.microsoft.com/kb/254632/ja    IIS 証明書マッピングの規則はクライアント証明書を Windows Server 2008、Windows Vista、Windows Server 2008 R2、Windows 7 での Unicode のエンコーディング属性が機能しません    http://support.microsoft.com/kb/2597665/ja     証明期間の調整     HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CertSvc\Configuration\<CAName>     値の名前 : ValidityPeriod     データ型 : SZ     値    : Years(デフォルト)Days、Weeks、Months     値の名前 : ValidityPeriodUnits     データ型 : DWORD     値    : 1(デフォルト)        ※ 変更後、net stop certsvc & net start certsvc を実行。   IE で TLS のみ有効にして、HTTPS 接続したら・・・    ログの名前: System    ソース: Schannel    イベント ID: 36888    レベル: エラー    ユーザー: SYSTEM    説明:    次の致命的な警告が生成されました: 20。内部エラーの状態は 960 です。    ログの名前: System    ソース: Schannel    イベント ID: 36888    レベル: エラー    ユーザー: SYSTEM    説明:    次の致命的な警告が生成されました: 40。内部エラーの状態は 1205 です。    ログの名前: System    ソース: Schannel    イベント ID: 36874    レベル: エラー    ユーザー: SYSTEM    説明:    リモート クライアント アプリケーションから TLS 1.0 接続要求を受信しましたが、クライアントで    サポートされている暗号がサーバーでサポートされていません。SSL 接続要求は失敗しました。   よく判らないけど、認証局が作る証明が SSL3.0 で TLS1.0 をサポートしていない。   SSL3.0 が MD5 アルゴリズムを利用する為、ローカルポリシーで、FIPS準拠アルゴリズムのみを使用   を無効にしておかないと、エラーを吐き続ける、、、みたいな? KB811834 参照。   どうやら、HTTPS の構成をしてないサイトに対して接続するとエラーを吐くようです・・・   その後の調査により、、、   複数のIPアドレスを利用していて、HTTPS で IPの指定に * を指定していた場合に   HTTPS を設定していないサイトに HTTPS 接続すると、エラーを出す感じですね。   ところで、最近 google のクローラーが HTTPS アクセスしてきません?   そういえば、ドメインに参加してる IIS サーバーでマルチドメインにしている場合は   SPN 周りの見直しが必要なのかも、、、       MSDN Blogs > Japan Dynamics CRM Team Blog > サービス プリンシパル名の登録    http://blogs.msdn.com/b/crmjapan/archive/2010/01/28/9951375.aspx   イベントID 36874 は 128bitの暗号化をクライアントがサポートしていない場合に出るようです。   XP のデフォルトでは任意の AES 暗号をサポートしていないので、イベントID 36888 を吐き出すようです。   (端末認証をしている場合だけかな?)   certmgr.msc を実行して、個人から新しい証明書の要求を使って証明書要求を送信する。    128 ビット Secure Sockets Layer を要求する (IIS 7)    http://technet.microsoft.com/ja-jp/library/cc755203(WS.10).aspx    CertEnroll コントロールが Internet Explorer で Windows 7 または Windows Server 2008 R2 を実行しているコンピューターで動作しません。    http://support.microsoft.com/kb/2078942/ja    KB 931125 をインストールした後の SSL/TLS 通信の問題    http://support.microsoft.com/kb/2801679/ja?wa=wsignin1.0    Windows ルート証明書プログラムのメンバー    http://support.microsoft.com/kb/931125/ja    証明書のチェーン検証パスが複数ある場合は短いものが優先される    http://support.microsoft.com/kb/2570195/ja    いろいろ手を尽くしても消えない場合は、サーバーにインストールされている不要なルート証明を削除してみると良いかも。    2015 年 3 月のセキュリティ情報 (月例) - MS15-018 ~ MS15-031 - 日本のセキュリティチーム - Site Home - TechNet Blogs    http://blogs.technet.com/b/jpsecurity/archive/2015/03/11/201503-security-bulletin.aspx    32 ビット アプリケーションには、SChannel 認証が失敗します Windows 7 または Windows Server 2008 R2 での実装を呼び出すと、SEC_E_INTERNAL_ERROR エラー    http://support.microsoft.com/kb/2883492/ja    ソース:Schannel ID : 36888 エラーが出力される    http://support.microsoft.com/kb/2904855/ja    KB 931125 をインストールした後に、SSL や TLS 通信の問題    http://support.microsoft.com/kb/2801679/ja    インターネット インフォメーション サービスで PCT 1.0、SSL 2.0、SSL 3.0、または TLS 1.0 を無効にする方法    http://support.microsoft.com/kb/187498/ja    特定の暗号化アルゴリズムおよび Schannel.dll のプロトコルの使用を制限する方法    http://support.microsoft.com/kb/245030/ja    更新プログラムを Windows Server 2003 での SHA-TLS_RSA_WITH_AES_128_CBC_SHA AES128 および AES256 SHA AES の TLS_RSA_WITH_AES_256_CBC_SHA の暗号スイートのサポートを追加します。    http://support.microsoft.com/kb/948963/ja    ※IIS7.5 は TLS1.1 及び TLS1.2 はデフォルトでは無効になっているのでレジストリ操作で有効にする必要がある。     http://www.g-sec.lu/sslharden/SSL_comp_report2011.pdf     Nartac Software - IIS Crypto https://www.nartac.com/Products/IISCrypto/     SSL3.0 無効(Windows Server 2008 ~     HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client     値の名前 : DisabledByDefault     データ型 : DWORD     値    : 1     HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server     値の名前 : Enabled     データ型 : DWORD     値    : 0     TLS1.0 無効(Windows Server 2008 ~ RDP、Hypwe-V で接続出来なくなる可能性があるので設定する場合は リモートでレジストリ操作出来る事を確認してからすること)     HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client     値の名前 : DisabledByDefault     データ型 : DWORD     値    : 1     HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server     値の名前 : Enabled     データ型 : DWORD     値    : 0     TLS1.2 有効 ※設定後は再起動が必要     HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client     値の名前 : DisabledByDefault     データ型 : DWORD     値    : 0     HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server     値の名前 : DisabledByDefault     データ型 : DWORD     値    : 0     値の名前 : Enabled     データ型 : DWORD     値    : 0xFFFFFFFF レジストリに流し込む場合 ######################################################################################################### Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Client] "DisabledByDefault"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server] "Enabled"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client] "DisabledByDefault"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server] "Enabled"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client] "DisabledByDefault"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server] "Enabled"=dword:ffffffff "DisabledByDefault"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client] "DisabledByDefault"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server] "Enabled"=dword:ffffffff "DisabledByDefault"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "Enabled"=dword:ffffffff "DisabledByDefault"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\DES 56/56] "Enabled"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\NULL] "Enabled"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 40/128] "Enabled"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 56/128] "Enabled"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128] "Enabled"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128] "Enabled"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 64/128] "Enabled"=dword:00000000 ######################################################################################################### Google、TLS/SSLトラフィックのセキュリティテストツールを公開 - ITmedia エンタープライズ 既定の暗号スイートの優先度の設定の更新プログラム https://technet.microsoft.com/ja-jp/library/security/3042058?f=255&MSPPError=-2147217396 更新プログラムによって追加される暗号スイート TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 TLS_RSA_WITH_AES_256_GCM_SHA384 TLS_RSA_WITH_AES_128_GCM_SHA256 MSのサイトでも公開されたようですので、そちらも参考に。 [IT 管理者向け] TLS 1.2 への移行を推奨しています – 日本のセキュリティチーム Schannel.dll において特定の暗号化アルゴリズムおよびプロトコルの使用を制限する方法
◆リダイレクトの変数 リダイレクトの変数は、元の URL の一部をリダイレクト先の URL に渡すときに使用できます。 これらの変数を使用するには、IIS スナップインでディレクトリのプロパティ シートを開いて [ホーム ディレクトリ]→[仮想ディレクトリ]、または [ディレクトリ] タブをクリックします。
変数 説明
$S 要求された URL において一致するサフィックスを渡します。一致するサフィックスとは、リダイレクト先の URL に置き換わった後もそのまま残る部分です。 /scripts を /newscripts にリダイレクトしている場合、元の要求が /scripts/program.exe であれば、/program.exe がサフィックスになります。このサフィックスの置き換えはサーバーによって自動的に行われるので、$ 変数は、ほかの変数と組み合わせる場合にのみ使用します。
$P 元の URL のパラメータを渡します。 たとえば、元の URL が /scripts/myscript.asp?number=1 である場合は、"number=1" という文字列がリダイレクト先の URL の中で置き換えられます。
$Q 元の URL の疑問符 (?) とパラメータの両方を渡します。 たとえば、元の URL が /scripts/myscript.asp?number=1 である場合は、"?number=1" という文字列がリダイレクト先の URL の中で置き換えられます。
$V 要求された URL をサーバー名を除いて渡します。 たとえば、元の URL が //myserver/scripts/myscript.asp である場合は、"/scripts/myscript.asp" という文字列がリダイレクト先の URL の中で置き換えられます。
$0$9 要求された URL の中で、指定されたワイルドカードに一致する部分を渡します。  
! リダイレクトを行いません。 この変数は、リダイレクトされた仮想ディレクトリのサブディレクトリまたは個々のファイルをリダイレクトしない場合に使用します。
リダイレクトのワイルドカード 元のURLの中の任意の数の文字列を一致させるときに使用 ワイルドカード文字 (*) は、ディレクトリの [ホーム ディレクトリ]、[仮想ディレクトリ]、または [ディレクトリ] タブの [リダイレクト先] ボックスに直接入力します。 リダイレクト先の URL の先頭にはアスタリスク (*) とセミコロン (;) を入力する。 ワイルドカードとリダイレクト先の URL の組み合わせは、セミコロン (;) で区切る。 例) /scripts 内のすべての .stm ファイルへの要求を Default.stm という 1 つのファイルにリダイレクトし /scripts 内のすべての .htm ファイルへの要求を Default.htm という 1 つのファイルにリダイレクトするには /scripts 仮想ディレクトリの [リダイレクト先] ボックスに次のように入力する。 *;*.stm;/default.stm;*.htm;/default.htm ワイルドカードを使用するときは、[上で入力した URL] チェック ボックスを必ずオンに リダイレクト先のパスには、URLを入力する事。 リダイレクト リファレンス IIS7.0 や IIS7.5 の場合は、URL Rewrit モジュールを導入  Microsoft URL Rewrite Module 1.1 for IIS 7 (x86)  http://www.microsoft.com/downloads/details.aspx?familyid=DBA94A96-E513-4F87-9082-8CB04B743793&displaylang=ja  Microsoft URL Rewrite Module 1.1 for IIS 7 (x64)  http://www.microsoft.com/downloads/details.aspx?FamilyID=d05111c1-b4f7-45f3-8f60-a8f2b9d49ed1&DisplayLang=ja  使い方は   WordPress on Internet Information Service のステップ バイ ステップガイド   http://download.microsoft.com/download/3/9/0/390889AE-A308-4CE7-A369-D7D6EE3E2D51/WordPress_on_IIS.pdf   IIS 7.0 URL リライトモジュール (Rewrite Module) - Web/DB プログラミング徹底解説   http://keicode.com/iis/iis_url_rewrite_module.php   他のサイトに画像を使われることを防ぐ | Windows Maniax   http://www.windows-maniax.com/kuniteru/iis/iis-tips82.html  ASP.NET MVC の場合は   [ASP.NET MVC]ルート定義を追加するには?[3.5、4、C#、VB] - @IT   http://www.atmarkit.co.jp/fdotnet/dotnettips/1031aspmvcrouting1/aspmvcrouting1.html  を参考に。     リバースプロキシとしてWebサーバを設定する場合は  Microsoft Application Request Routing Version 1 for IIS 7 (x86)  http://www.microsoft.com/downloads/details.aspx?familyid=ECD52702-D850-4A18-B18E-D46128967462&displaylang=ja  Microsoft Application Request Routing Version 1 for IIS 7 (x64)  http://www.microsoft.com/downloads/details.aspx?FamilyID=497e9910-ca94-4771-af08-751420fab5f0&DisplayLang=ja
◆Http.sys レジストリ設定のチューニング   HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters   16 進数にエスケープされた要求 URL 内の文字が受け付け   値の名前 : AllowRestrictedChars   データ型 : REG_DWORD   値    : 0          ゼロ以外の場合、U+0000 ~ U+001F および U+007F ~ U+009F の範囲にデコードされる   UTF-8 でエンコードされた URL のみを受け付け   値の名前 : EnableNonUTF8   データ型 : REG_DWORD   値    : 1     0: UTF-8 でエンコードされた URL のみ  1: ANSI または DBCS にエンコードされた URL も受け付け 最初に UTF-8 としてデコード   値の名前 : FavorUTF8   データ型 : REG_DWORD   値    : 1          1: URL は最初に UTF-8 としてデコード  0: (かつ EnableNonUTF8 がゼロ以外) の場合、URL は ANSI または DBCS としてデコード 最大接続数(であってる?)   値の名前 : MaxConnections   データ型 : REG_DWORD   値    : MAX_ULONG 1024 (1 k) ~ 2031616 (2 MB) 接続          ドライバの MaxConnections 計算よりも優先される          ※ Http.sys のメモリ使用量が増加し、悪質な攻撃を受けやすくなる可能性がある   許可される現在のエンド ポイント オブジェクトの最大数(最大サイト数)   値の名前 : MaxEndpoints   データ型 : REG_DWORD   値    : 0 0 ~ 1024(1024 より大きい値を設定する事も可能)          0: 利用可能なメモリから最大値が計算される。メモリが64MBの時は16、256MBの時は64          ※ Http.sys のメモリ使用量が増加し、悪質な攻撃を受けやすくなる可能性がある   各ヘッダーの上限を設定   値の名前 : MaxFieldLength   データ型 : REG_DWORD   値    : 16384 64 ~ 65534 (64 k - 2) バイト          MaxRequestBytes を参照          ※ Http.sys のメモリ使用量が増加し、悪質な攻撃を受けやすくなる可能性がある   Request 行とヘッダーの合計サイズの上限を指定   値の名前 : MaxRequestBytes   データ型 : REG_DWORD   値    : 16384 256 ~ 16777216 (16 MB) バイト          デフォルト設定は 16 KB          この値が MaxFieldLength よりも小さい場合、MaxFieldLength 値が調整される          ※ Http.sys のメモリ使用量が増加し、悪質な攻撃を受けやすくなる可能性がある   %uNNNN 表記の受け付け   値の名前 : PercentUAllowed   データ型 : REG_DWORD   値    : 1          1: 要求 URL 内で %uNNNN 表記が受け付けられます。          0: 禁止   URL パス セグメントの最大数   値の名前 : UrlSegmentMaxCount   データ型 : REG_DWORD   値    : 255 0 ~ 16,383 セグメント          ゼロの場合、数は ULONG の最大値に制限されます。          ※ Http.sys のメモリ使用量が増加し、悪質な攻撃を受けやすくなる可能性がある   Http.sys の応答とフラグメント キャッシュ   値の名前 : UriEnableCache   データ型 : REG_DWORD   値    : 1          1: 有効          0: 無効   カーネル応答キャッシュ内へのキャッシュ   値の名前 : UriMaxUriBytes   データ型 : REG_DWORD   値    : 262144 (バイト) 4096 (4 k) ~ 16777216 (16 MB) バイト          この値を超える応答はキャッシュされません。          ※ Http.sys のメモリ使用量が増加し、悪質な攻撃を受けやすくなる可能性がある          ※ 低い値を設定すると、静的なコンテンツのパフォーマンスに影響を与える可能性がある   キャッシュ スカベンジャの頻度   値の名前 : UriScavengerPeriod   データ型 : REG_DWORD   値    : 120 (秒) 10 ~ 0xFFFFFFFF 秒          UriScavengerPeriod に設定された秒数内にアクセスされない応答またはフラグメントはフラッシュされる。          ※ Http.sys のメモリ使用量が増加し、悪質な攻撃を受けやすくなる可能性がある          ※ 低い値を設定すると、キャッシュがフラッシュされる頻度が増加する場合がある   URL パス セグメント (URL 内のスラッシュ間の領域) 内の最大文字数   値の名前 : UrlSegmentMaxLength   データ型 : REG_DWORD   値    : 260 0 ~ 32,766 文字          0: 長さは ULONG の最大値に制限されます。          ※ Http.sys のメモリ使用量が増加し、悪質な攻撃を受けやすくなる可能性がある   1 つ以上の User-Agent ヘッダーの受信を許可   値の名前 : AllowMultipleUseragentHeaders   データ型 : REG_DWORD   値    : 1          ※ Request for Comments ( RFC ) 2616 では 1つしか許されていない。          http://support.microsoft.com/kb/944195   区別できない小文字の HTTP 動詞(get, postなど)を許可   値の名前 : AllowCaseInsensitiveVerbs   データ型 : REG_DWORD   値    : 0          1: 有効          0: 無効   HTTP ヘッダーの区切り文字を許可   値の名前 : AllowWeakHeaderNameSyntax   データ型 : REG_DWORD   値    : 0          1: 有効          0: 無効 参考  [INF] IIS 用の Http.sys レジストリ設定  IS 6.0 Monitor—データ収集の詳細  Windows Server 2003 セキュリティ ガイド  [FIX] Http.sys を区切り文字を含む要求を拒否します。  HTTP プロトコル スタック (http.sys) で認証に対する保護の強化を実装する更新プログラムについて  IIS serves stale content when the content is stored on a VHD  HttpCfg.exe HTTP.SYS 名前空間予約などができるサポートツール   HTTPCFG.EXE   http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/TechRef/99a5b6e9-8654-4802-8c9a-89f1c645faba.mspx   ※ Windows Server 2003は標準インストール  IIS には入力された UTF-7 エンコーディングの文字列を、そのままエラー画面で表示してしまう問題がある(あった?)ようで…   Microsoft Internet Information Services UTF-7 XSS Vulnerability   http://www.geocities.jp/ptrs_sec/advisory09.html   500-100.asp から ASP エラー メッセージではなく HTTP 500 エラー メッセージが表示される   http://support.microsoft.com/kb/261200/ja       いまさらだけど、Windows 2000 Server の IIS をデフォルトのフォルダのまま使わないように…  パフォーマンス チューニング  http://technet.microsoft.com/ja-jp/library/cc787182(WS.10).aspx  IIS 7.0: IIS のパフォーマンスを最適化する  http://technet.microsoft.com/ja-jp/library/cc770381(WS.10).aspx  Web サーバーのパフォーマンスを調整する (Office SharePoint Server)  http://technet.microsoft.com/ja-jp/library/cc298550.aspx  インターネット インフォメーション サービス (IIS) で認証用の拡張保護を実装する更新プログラムについて  http://support.microsoft.com/kb/973917  KB970430 または KB973917 を更新後に strmfilt.dll でメモリ リークが発生する。  http://support.microsoft.com/kb/979730/ja
◆IIS で逆引き DNS を有効にする フォルダを C:\Inetpub\Adminscripts に変更します。 adsutil set w3svc/EnableReverseDNS TRUE と入力し、Enter キーを押します。 (個別指定する場合は w3svc/1/root/EnableReverseDNS など) [IIS] HOWTO: IIS で逆引き DNS を有効にする方法 IIS7.0 で有効にするには、サーバーマネージャ - 役割 - セキュリティ から「IP およびドメインの制限」をインストールする必要があります。 (デフォルトではインストールされません) http://www.iis.net/ConfigReference/system.webServer/security/ipSecurity http://msdn.microsoft.com/en-us/library/ms691353.aspx 逆引きDNS名を偽って設定している場合に、この設定を有効にしてあると ログから本来の IP アドレスが判らなくなる欠陥が・・・
◆PUT および DELETE 要求を含め WebDAV を完全に無効にするには   KEY HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters   値の名前 : DisableWebDAV   データ型 : DWORD   値    : 1 WebDAV システムのセキュアな設定・運用に関する調査 (情報処理振興事業協会セキュリティセンター) Web フォルダ用のソフトウェア更新プログラム (2005 年 1 月 25 日) について WebDAV時代のセキュリティ対策[前編]
◆IIS6.0 の WebDAV で 48KB 以上のファイルが PUT 出来ない場合の対処方法 クライアント証明書を必要としている Webフォルダへ書き込みを行う場合は SSLAlwaysNegoClientCert を True にする必要があります。 UploadReadAheadSize のデフォルトキャッシュ値が 49152バイトの為、これ以上のファイルが書き込めません。  クライアントが要求を再ネゴシエートできず、HTTP 413 エラーが返される  http://technet2.microsoft.com/WindowsServer/ja/Library/0ef55842-24d2-4060-bb98-d69e2877a6671041.mspx?mfr=true  この説明では、大きなファイルを PUT 出来ないかと。  設定方法は   cscript adsutil.vbs set w3svc/1/SSLAlwaysNegoClientCert True UploadReadAheadSize については、デフォルトのままで OK です。PUT するファイルサイズで臨機応変に...  下手に設定値を大きくすると、ファイルのアップロードやダウンロード時にプログレスバーが変化しなかったり  サーバーのリソース問題、クライアントPCへの負荷など、いい事は在りませんのでご注意。 注意!!  ・URLScan 2.5 にはバグがあるらしい。(30MB 付近で書き込み出来ない場合は、URLScan が原因)  ・クライアント証明書を要求する、しないに関わらず WebDAV のバグにより 2GB 以上のファイルは正しく書き込まれません。   (2147483648 バイト以上のデータを PUT した場合、PUT 完了後に 0 バイトにされます。)    FIX: IIS 6.0 を実行しているサーバーにホストされた Web サイトでファイルをアップロードするために、 WebDAV を使用しようとすると、サーバー上のファイルのサイズは、 0 です。    http://support.microsoft.com/kb/910898    SP2 には含まれていませんので修正パッチをもらう必要があります。    が、SP2 が適用されている 2003 Server には修正パッチが適用出来ません。     Windows Server 2003 Service Pack 2 の更新の一覧     http://support.microsoft.com/kb/914962     KB910898 セットアップエラー     このシステムの Service Pack が、適用しようとしている更新より新しいバージョンで     あることが検出されました。     この更新をインストールする必要はありません。     ・・・させてくれよ。 修正パッチ  Web フォルダ用のソフトウェア更新プログラム (2007 年 5 月 18 日) について  http://support.microsoft.com/kb/907306  ↓から置き換わる が、どうやら地雷っぽい(VISTAで接続出来なくなるとの情報が...)  Web フォルダ用のソフトウェア更新プログラム (2005 年 1 月 25 日) について  http://support.microsoft.com/kb/892211  WebDAV クライアント コンピューターで Windows 7 または Windows Server 2008 R2 が実行されているキャッシュ ファイルは削除されません。  http://support.microsoft.com/kb/2790804  Internet Explorer で Windows 7 ベースまたは Windows Server 2008 R2 ベースのコンピューターで、エクスプ ローラー ビュー機能を使用して、WebDAV 共有にアクセスできません。  http://support.microsoft.com/kb/2615128  実行している Windows 7 または Windows Server 2008 R2 の WebDav リソースに接続するときに、コンピューター上の WebClient サービスがクラッシュします。  http://support.microsoft.com/kb/2548470  Windows 7 または Windows Server 2008 R2 を実行しているコンピューターから、WebDAV 共有フォルダー内のファイルにアクセスしようとすると、「アクセス拒否」エラー メッセージ  http://support.microsoft.com/kb/2563214 参考  IISのWebDAVサービスでサイズの大きなファイル(48K)が413エラーになる  http://naka.wankuma.com/site/column/windows2003/00003.htm  巨大なサイズのファイルを簡単に作る方法  http://www.atmarkit.co.jp/fwin2k/win2ktips/243largefile/largefile.html   ドライブにマウントする方法については   WebDAV と Windows クライアント   http://plan9.aichi-u.ac.jp/webdav/win.html で解説されていますのでご参考に。 マウントされたドライブを削除するには コマンドから NET USE /PERSISTENT:NO を行った後、切断を選ぶと削除されます。 Windows 2003 Server に Windows Update の 2007年1月のルート証明書更新を行うと クライアント証明が表示されなくなる現象が発生しています。  [WindowsUpdate]2007年1月のルート証明書更新について  http://forums.microsoft.com/TechNet-JA/ShowPost.aspx?PostID=1175865&SiteID=36 MMC を起動して、スナップインの追加と削除から証明書を選択して サードパーティ ルート証明機関は全部消しちゃいましょ。(コマンドから certmgr.msc です) *Windows Server World 2007.6 に WebDAV で安全ファイル共有って記事がありました。(たいした事はかかれてませんが・・・) 調査中  証明書を使った WebDAV フォルダに VISTA からアクセス出来ない。  net use * "https://domain" とすると  システムエラー 1397 が発生しました。  相互認証が失敗しました。ドメイン コントローラ サーバーのパスワードの有効期限がきれています。  なんでーーー?  ・Windows Vistaベースのコンピュータで証明書を正常にインポートした後、Windows Internet Explorer 7または証明書マネージャで証明書情報を表示できない  ・VISTA は Web サーバの root に読み書きのアクセス権が必要(仕様っぽい)  ・VISTA は 信頼済みサイトに URL を登録してないと使えない  ・https をサポートしているのは VISTA だけ  ・net use コマンドは不安定。(スタート>コンピュータ を右クリックで、「ネットワークドライブの割り当て」からだとマウントできる)  ・VISTA の場合サーバ側で「クライアントの証明書を無視する」にチェックを入れて「クライアント証明書のマッピングを有効にする」を外して   一度パスワード認証しないとマッピングでの接続が出来ないっぽい。   まずは、ブラウザからアクセスしてページが表示されるか確認で、、、  ・Office 2003 を入れると安定するらしい。  ・WebClient の再起動。    Windows Vista ベースのコンピューターから WebDav 共有ファイルにアクセスしようとすると、エラー メッセージ: システム エラー 1397年が発生しました。 相互認証に失敗しました"    http://support.microsoft.com/kb/941298/ja    パッチあり   IIS がクライアント証明書を使用するように構成されている場合で証明書が予期せず拒否される場合は     KEY HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters     値の名前 : CertChainCacheOnlyUrlRetrieval     データ型 : DWORD     値    : 0 (デフォルト:1)   を試してみる。http://support.microsoft.com/kb/820129/ja     基本認証を有効にする     Windows XP および Windows Server 2003     HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WebClient\Parameters     値の名前 : UseBasicAuth     データ型 : REG_DWORD     値    : 1     Windows Vista     HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WebClient\Parameters     値の名前 : BasicAuthLevel     データ型 : REG_DWORD     値    : 2      0 - 無効      1 - SSL 共有のみ有効      2 - SSL 共有および SSL 以外の共有を有効    Windows シェル コマンドを使用してか [エクスプローラー ビュー、または Windows SharePoint Services 3. 0 または Windows SharePoint Services 2. 0 でドキュメント ライブラリに接続できません。    http://support.microsoft.com/kb/841215    実行している Windows Vista または Windows XP Service Pack 2 と Service Pack 1 で実行するコンピューター上の Web フォルダーから 50000000 バイトを超えるファイルをダウンロードしようとすると、エラー メッセージが表示される場合があります。    http://support.microsoft.com/kb/900900/ja     HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WebClient\Parameters     値の名前 : FileSizeLimitInBytes     データ型 : REG_DWORD     値    : 50000000(既定値:50MB)     ※50MBのダウンロードが出来ない場合はここの値を増やす。    WebDAV Web フォルダーを Windows XP ベースのクライアント コンピューターからアクセスすることはできません。    http://support.microsoft.com/kb/912152/ja     HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WebClient\Parameters\     値の名前 : FileAttributesLimitInBytes     データ型 : REG_DWORD     値    : 1000000(既定値:1MB)    その他はこのあたり    http://technet.microsoft.com/ja-jp/library/ee155455.aspx    Using the WebDAV Redirector    http://learn.iis.net/page.aspx/386/using-the-webdav-redirector/  似たようなサービス   複数PCから”フォルダ”としてセキュアに利用   HDD以上に便利なオンラインストレージ”Dropbox”   http://www.atmarkit.co.jp/news/200704/09/dropbox.html  その他   安全な WebDAV 公開ディレクトリを作成する方法  http://support.microsoft.com/kb/323470/   WebDAV を使用して Visual Basic からメッセージを送信する方法   http://support.microsoft.com/kb/q296713/   次世代プロトコルWebDAVの可能性 - 技術仕様徹底解説 -   http://www.atmarkit.co.jp/flinux/special/webdav/webdav01a.html   個人用ネットストレージサービスは著作権侵害との判決   http://slashdot.jp/mobile/article.pl?sid=07/05/26/1120250 ・ファイルのアップで 200MB 程度のファイルがよく失敗する場合は  .NET Framework を 3.0 に上げてみましょう。  .NET Framework 1.1 だった XP からアップデートして改善されました。  あと、サーバー側でインデックスサービスが動いている場合は止めてみる。  その他の情報は  http://www.google.co.jp/search?hl=ja&q=vista+webdav+site%3Asupport.microsoft.com&lr=  WebDav DELETE コマンドは、IIS 6.0 の仮想ディレクトリのパスの長さの合計が 4096 バイトを超えた場合を実行しているサーバー上のすべての Web サイト コンテンツを削除します。  http://support.microsoft.com/kb/956335/  IIS 6.0 の WebDAV に Unicode バグがあり認証を回避され読み書きされるとの事。  2000 Server の時に流行ったやつですね。  /..%c0%af../ → /../../  パッチはまだ出てないようですが、URLScan で回避出来るでしょう(たぶん)…  記事になりました。   WebDAVに存在:MicrosoftがIISの脆弱性を確認、権限昇格の恐れ   http://www.itmedia.co.jp/enterprise/articles/0905/20/news020.html   マイクロソフト セキュリティ アドバイザリ (971492)   インターネット インフォメーション サービスの脆弱性により、特権が昇格される   http://www.microsoft.com/japan/technet/security/advisory/971492.mspx  IIS7.5 になってもうまく接続できないもんですねぇ・・・   Windows Vista でのユーザー アカウント制御を有効にするプログラムができなくによってネットワークの場所にアクセス   http://support.microsoft.com/default.aspx/kb/937624/   UAC を実装してる OS に対応してるのかな?   Windows 7 では、WebDAV フォルダーの下のいくつかのファイルは表示されません。   http://support.microsoft.com/kb/2555258/   WebDav を利用したフォルダを Internet Explorer 経由で開くことが出来ない   http://support.microsoft.com/kb/2592449/   ドラッグして、WebDAV 共有フォルダーには、Windows 7 または Windows Server 2008 R2 フォルダーにドロップすると、0x80070091 エラー   http://support.microsoft.com/kb/2732597/
◆IISPassword IIS で、テキストファイル上に指定したユーザー名とパスワードでフォルダやファイルへの基本認証を行えるようにするソフト アクセス制御するファイルも、.htaccess 形式で指定することが可能。IIS5, IIS5.1, IIS6 に対応。 ファイル形式は、Apache の .htaccess, .htpassword 互換で IIS の管理ツールにアドオンする形の GUI 編集ツールも提供されてる。 IIS で動作する Perlは、http://www.perl.com/download.csp からダウンロードできます。  Perl をインストールしたい場合は   Movable Type on Internet Information Service のステップ バイ ステップガイド   http://download.microsoft.com/download/3/9/0/390889AE-A308-4CE7-A369-D7D6EE3E2D51/MovableType_on_IIS.pdf  を参考に。 .htaccessに関する覚え書き http://www.ideaxidea.com/archives/2008/11/htaccess.html DBを利用してBASIC認証させるツールに IIS Authentication Filter for IIS というものも在ります。 そのた  IISADMPWD 仮想ディレクトリは、既定の IIS 6.0 のインストール中に、作成されていません。  http://support.microsoft.com/kb/555071/ja  IIS 5.0 での管理作業の自動化  http://www.microsoft.com/japan/technet/prodtechnol/windows2000serv/technologies/iis/maintain/optimize/autoadm2.mspx
Windows Server 2003 + IIS6.0 でファイルのアップロードで  Request オブジェクト エラー 'ASP 0104 : 80004005'  操作は許可されません が表示される時の対策。 原因  デフォルト設定では、アップロードの最大値は 200KB に制限されている為、変更する必要がある。 変更場所  %windir%system32\inetsrv\MetaBase.xml の AspMaxRequestEntityAllowed コマンドラインから変更するには  1M を許可するときの設定  C:\>c:\Inetpub\AdminScripts\adsutil.vbs SET W3SVC/1/AspMaxRequestEntityAllowed 1024000 参考 メタベース プロパティ リファレンス CIM_Setting (WMI) [IIS] IIS (Internet Information Server) にファイルをアップロードする方法 ASP 要求を使用してインターネット インフォメーション サービスに大きいファイルをアップロードすると 403 エラーが表示される IIS7.0 の場合は system32\inetsrv に移動してから appcmd.exe set config -section:asp -limits.maxRequestEntityAllowed:1024000   IIS 7.0: IIS 7.0 で要求フィルタを構成する   http://technet.microsoft.com/ja-jp/library/cc754791(WS.10).aspx  要求フィルタで『一覧にないファイル名拡張子を許可する』をオフにして、規定のドキュメントが表示されなくなった場合は  「.」をを明示的に許可すれば、表示されるようになります。(URLの末尾が / で終わる場合)
IIS6.0で 4MB 以上のデータを Response.BinaryWrite する場合の対策。 変更場所  %windir%system32\inetsrv\MetaBase.xml の AspBufferingLimit デフォルトが 4194304 となっているのでこの数値の上限を上げる必要がある。 ただし、20MB 以上は ASP.DLL にバグがあるので個別でパッチをマイクロソフトから提供してもらう必要がある。(有償) 826756: FIX: The Response.BinaryWrite method fails when you use it to send files that are larger than 20 MB 826756: FIX: 20 MB より大きいファイルを送信するために、使って、送信するとき、 Response.BinaryWrite メソッドが失敗します。 7.0 以降は、IISマネージャを開いて ASP から 応答バッファ処理の制限項目の 4194304 を大きい値に変更する。 ※本来はサイズ内で Response.Flush と Response.IsClientConnected を組み合わせるのが理想。
IIS でネットワークドライブを利用するには。。。 Windows Server 2000 の場合は、IIS用のユーザアカウント ・IUSR_XXX ・IWAM_XXX の2つを共有しているPCにアカウントを追加。 Windows 2003 Server の場合は、専用のアカウントを アプリケーションプールに設定 共有している PC にも同じアカウントを追加。(Administrator 権限を与える簡単だけど、良くないよなぁ...) Windows Server 2008(デフォルトの場合は)共有に NETWORK を追加する。 インターネット インフォメーション サービス 7. 0 でパススルー認証を使用する Web サイトから Web ページを表示するときに、エラー メッセージが表示されます。 UNC 共有をサイトに割り当てるとエラー メッセージ "ログオン失敗 : ユーザー名を認識できないか、またはパスワードが間違っています" が表示される [IIS 6.0] IIS マネージャを使用して UNC 仮想ディレクトリへのパススルー認証を有効にする ネットワーク アドレス変換 (NAT) の後方にあるサービスへのアクセスの設定 Windows 2008 Server で UNCパス を使うと CPU 負荷率 100% になる? ↑単純にサーバーインストールが中途半端に失敗していたっぽい。  初期導入でハングしたり不安定な場合は、OSの再インストールを試してみると良いかも。 ネットワーク上のフォルダを指定する場合は、現在のユーザとアプリケーションプールのアカウントが含まれていること。 .NET のフォルダ C:\Windows\Microsoft.NET\Framework\v2.0.50727\Temporary ASP.NET Files にも書き込みアクセス権が必要なので注意。  Windows Server 2008 または Windows Vista でファイルを共有にアクセスするとエラー メッセージ停止: 0x00000044 または 0x000000CC  http://support.microsoft.com/kb/977694
IIS で 「HTTP/1.1 新しい Application の作成に失敗しました」と出た場合の対処 インターネット インフォメーション サービス マネージャ から Web サイトのプロパティを開き 「ホームディレクトリ」タブをクリックし、アプリケーションの設定項目を再構築する。 「削除」>「作成」 アプリケーションプールを新たに作り、そこを指定すれば回復するようです。(IIS7.0 で確認) 余談 アプリケーションの構成を開き 「オプション」タブから  親のパスを有効にする > チェックが外れている事を確認。 ( ../ (ディレクトリトラバーサル)によるアクセス禁止処理) 「デバッグ」タブから  スプリクト エラー用メッセージ > 以下の ASP エラーメッセージをクライアントに送信する にチェック(CGI の欠陥をついた攻撃を受ける可能性を軽減) エラー メッセージ : ASP0201: 無効なスクリプト言語です
ブルースクリーン Stop 0x05(INVALID_PROCESS_ATTACH_ATTEMPT) が表示される場合の対応 IIS のカーネルモードドライバ「http.sys」が原因。 下記からパッチをダウンロード可能。 Microsoft:Update for Windows XP (KB887742) ※Windows Server 2003 用のパッチはまだ提供されていない。 http://support.microsoft.com/kb/887742 # 世の中のブルースクリーンの半分は アンチウイルスが原因なんだとか… 逆にブルースクリーンの出し方は  KB: 244139 Windows の機能により、キーボード操作で Memory.dmp ファイルを作成できる  http://support.microsoft.com/kb/244139/ja
InProc サーバー コンポーネントのみを使用してください。 LocalServer コンポーネントを使用する場合は、AspAllowOutOfProcComponents メタベースを設定する必要があります。 重要点についてはヘルプ ファイルを参照してください。 と言われる場合の対策。 IIS4.0 の場合は以下コードで 値を TRUE に設定する。 Set WebServObj = GetObject(“IIS://LocalHost/W3svc”) WebServObj.Put “AspAllowOutOfProcComponents”, True WebServObj.SetInfo または、 Set VDirObj = GetObject(“IIS://LocalHost/W3svc/1/Root/vdir_name”) VDirObj.Put “AspAllowOutOfProcComponents”, True VDirObj.SetInfo 書き方はここを参照 メタベース プロパティを構成するためのコード例 IIS5.0 の場合は 多分出ない。 [IIS]IIS 5.0 では AspAllowOutOfProcComponents が使用されない IIS6.0 の場合は、 IIS5.0の分離モードで動かすのが楽?(未調査) 以下、妄想 書くならメタファイルに AspAllowOutOfProcComponents="TRUE" と <Custom Name="AspAllowOutOfProcComponents" ID="7014" Value="TRUE" Type="BOOLEAN" UserType="IIS_MD_UT_WAM" Attributes="INHERIT" /> を、書き込むんじゃないかなぁ。。。と。 IIS6.0 の HELP に乗っていました。 削除された ASP メタベース プロパティ 次のメタベース設定は、既存の管理スクリプトとの互換性維持のためにメタベースに残っていますが、ASP では使用できなくなりました。  メタベース プロパティ名  AspAllowOutOfProcComponents  AspTrackThreadingModel  AspExceptionCatchEnable 5.0互換で動かすしかない?かな。
IISのFTPでパッシブモード時にデータ転送ポート番号の範囲を指定する方法 555022 - How To Configure PassivePortRange In IIS [IIS] IIS FTP (ファイル転送プロトコル) サービスに関する情報 Windows Server 2003の場合 は ADSUTILスクリプトを使う方法 かメタベースに追加する方法がある。 5500から5700を使用する場合は C:\Inetpub\AdminScripts> CScript.exe adsutil.vbs set /MSFTPSVC/PassivePortRange "5500-5700" Windows 2000 Server の場合は、レジストリの操作で。     HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Msftpsvc\Parameters     値の名前 : PassivePortRange     データ型 : REG_SZ     値    : 5001-65535 810639 - FIX: FTP Passive Mode Support for Firewall Scenarios FIX: Passive mode FTP client connections never time out when they are connected to IIS 6.0 on a computer that is running Windows Server 2003 [550 へのアクセスが拒否されました"エラー メッセージ Windows 7 または Windows サーバー 2008 R2 では、仮想ディレクトリにファイルをアップロードすると
◆FTP の接続について。 FTP(PORT接続) 制御用 クライアント 接続 TCP:21 → サーバ           応答 TCP:*  → クライアント データ用 サーバ TCP:20 → クライアント           応答 TCP:* → サーバ             (PORT コマンドによりポート番号が決定される)          FTP(PASV接続) 制御用 クライアント 接続 TCP:21 → サーバ           応答 TCP:*  → クライアント データ用 クライアント 接続 TCP:* → サーバ(PASVコマンドによりポート番号が決定される)          応答 TCP:*  → クライアント [INFO] IIS 6.0 の FTP サイト管理マニュアル Windows Server 2003 で FTP サーバーをセットアップする方法 http://support.microsoft.com/kb/323384/ja FTP サイトのホーム ディレクトリを変更する http://www.microsoft.com/japan/technet/prodtechnol/windowsserver2003/proddocs/entserver/wsa_ftp_ftphomedirectory.asp FTP サイトに名前を付ける http://www.microsoft.com/japan/technet/prodtechnol/windowsserver2003/proddocs/entserver/wsa_ftp_ftpnamingsites.asp FTP メッセージとディレクトリ表示スタイルを設定する http://www.microsoft.com/japan/technet/prodtechnol/windowsserver2003/proddocs/entserver/server/wsa_ftp_messages.asp FTP サイトで仮想ディレクトリを使用する http://www.microsoft.com/japan/technet/prodtechnol/windowsserver2003/proddocs/entserver/wsa_ftp_ftpvirtdirectories.asp FTP サイトを停止および開始する http://www.microsoft.com/japan/technet/prodtechnol/windowsserver2003/proddocs/entserver/wsa_ftp_startstop.asp FTP サイトの既定の設定を変更する http://www.microsoft.com/japan/technet/prodtechnol/windowsserver2003/proddocs/entserver/wsa_ftp_changeinherited.asp 複数の FTP サイトを作成する http://www.microsoft.com/japan/technet/prodtechnol/windowsserver2003/proddocs/entserver/wsa_ftp_createmultsite.asp サーバーに FTP サイトを追加する http://www.microsoft.com/japan/technet/prodtechnol/windowsserver2003/proddocs/entserver/wsa_ftp_addsites.asp FTP 要求をディレクトリまたはネットワーク共有にリダイレクトする http://www.microsoft.com/japan/technet/prodtechnol/windowsserver2003/proddocs/entserver/wsa_ftp_ftpredirectingrequests.asp モードとデータ伝送 http://www.microsoft.com/japan/technet/prodtechnol/windowsserver2003/proddocs/entserver/wsa_ftp_modes.asp サーバーからサーバーへの FTP 転送 http://www.microsoft.com/japan/technet/prodtechnol/windowsserver2003/proddocs/entserver/wsa_ftp_server2server.asp FTP のアップロードおよびダウンロードを再開する http://www.microsoft.com/japan/technet/prodtechnol/windowsserver2003/proddocs/entserver/wsa_ftp_ftprestart.asp FTP サイトをセキュリティで保護する http://www.microsoft.com/japan/technet/prodtechnol/windowsserver2003/proddocs/entserver/wsa_ftp_secure.asp FTP ユーザーを分離する http://www.microsoft.com/japan/technet/prodtechnol/windowsserver2003/proddocs/entserver/wsa_ftp_isolate.asp   関連 Internet Explorer の FTP クライアント モードを変更する方法  [ツール]>[インターネット オプション]>[詳細設定] から    [ブラウズ]     ・FTP サイト用のフォルダ ビューを使用する: オフ    ・パッシブ FTP (ファイアウォールおよび DSL モデム互換用) を使用する: オン  ※[FTP サイト用のフォルダ ビューを使用する] チェック ボックスをオンにしていると、Internet Explorer は標準モードの FTP クライアントとして動作します。 Windows Server 2003 ファミリで FTP PORT モードと FTP PASV モードを使用するように Internet Explorer を構成する方法 ※IIS は SFTP をサポートしてないようで…  IIS の FTP (File Transfer Protocol) サービスに関する情報  http://support.microsoft.com/default.aspx?scid=kb;ja;jp283679  > IIS の FTP サービスでは、SSL (Secure Sockets Layer) 経由の FTP はサポートされていません。  # IPSec を利用して FTP を使用しましょう。 ブルートフォースアタック対策は  コントロールパネル  >管理ツール   >ローカルセキュリティポリシー    >アカウントポリシー     >アカウントロックアウト  を開いて、アカウントロックアウトの設定をしておく。  だたし、Administrator にはロックアウトかけれませんので  Administator は無効化するか、名前を変えておきましょう。 IIS7.0 の場合は、Microsoft FTP Publishing Service 7.5 for IIS 7.0 をインストールすれば SSL 使えるようで。 マイクロソフト セキュリティ アドバイザリ (975191) インターネット インフォメーション サービスの FTP サービスの脆弱性により、リモートでコードが実行される http://www.microsoft.com/japan/technet/security/advisory/975191.mspx IIS5.0, 5.1, 6.0 に脆弱性。パッチが出るまでは、サービスをとめておいた方が無難。 副作用で接続できなくなるとか・・・  [FIX FTP クライアントが IIS 5. 0 または IIS 5. 1 でセキュリティ更新の 975254 がインストールされているコンピューターでホストされている FTP サイトに接続できません。  http://support.microsoft.com/kb/981073 これだけは押さえておきたいIIS FTPサーバ・セキュリティ(前編) http://www.atmarkit.co.jp/fwin2k/operation/iisftpsec01/iisftpsec01_01.html これだけは押さえておきたいIIS FTPサーバ・セキュリティ(後編) http://www.atmarkit.co.jp/fwin2k/operation/iisftpsec02/iisftpsec02_01.html Windows エクスプローラーの FTP 機能を利用して日本語が含まれたファイルを FTP サイトへアップロードすると、ファイル名が文字化けする、もしくは FTP フォルダー エラー が発生する場合がある http://support.microsoft.com/kb/2416991 Windowsで軽快に動作するフリーのFTPSサーバ「Cerberus FTP Server」 http://gigazine.net/index.php?/news/comments/20101008_cerberus_ftp_server/
ハッカー対策(IIS) IPアドレスでアクセスがあった場合や、www.netdive.jp 以外 (www2.netdive.jpとか)を別サイトへ誘導 IIS のプロパティの「Web サイト」タブから IP アドレスの詳細を開く。 IPアドレス、ポート、ホストヘッダを設定。 61.194.16.4 80 www.netdive.jp ハッカー誘導サイトを作成(フォルダだけ作成) IPアドレスは、「未使用の IP アドレスすべて」とし、ホストヘッダは書かない。 匿名接続を禁止。としとく。 すると、、、 2005-05-25 15:54:18 61.194.16.4 GET / - 80 - cm222-166-160-179.hkcable.com.hk Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98) - 401 2 2148074254 さっそっくきた。 もう少し細かな説明はそのうち・・・ とりあえず、こなへん コンピュータセキュリティ研究所レポート「ホームページからの情報漏洩に対する脅威の現状」 http://www.lac.co.jp/news/pdf/20050524.pdf Webアプリの脆弱性はほぼすべてのWebサイトに存在、ラックがレポート公開 http://www.itmedia.co.jp/enterprise/articles/0505/25/news038.html ザ デイ アフター : セキュリティ違反への初期対応 http://www.microsoft.com/japan/technet/technetmag/issues/2005/01/IncidentResponse/default.mspx ハッカー撃退 (Hackerbasher) サイトでハッカー流に反撃を http://www.microsoft.com/japan/technet/technetmag/issues/2005/01/hackerbasher/default.mspx 2005 Operation Spam Zombies http://www.ftc.gov/bcp/conline/edcams/spam/zombie/translations/japanese.pdf 余談 ユーザ登録等が必要なサイトにおいて、確認ページが次に表示される場合は簡単に脆弱性をチェックする事が出来ます。 名前の入力でタグ <b>ここになまえ</b> と書いてみて、確認ページでタグが反映されている(名前が濃く表示される)ようであれば そのサイトは利用しない方がいいでしょう(100%脆弱性が在るとは限りませんが…)。 上記のサイト記事を読めば、なぜだか判りますよね? またログインしないと入れないようなサイトで、クッキーにIDとパスワードをそのまま保存している(SSL使っているページで)も見かけます。 ログインした後に URL に javascript:document.cookie; と打ち込めば保存されているクッキーの確認が出来ます。いいんですかねぇ・・・ セッションキーをURLの後ろに付けているような場合では、第三者のサイトのリンクを不用意にクリックするとリファラー情報からアクセスされちゃう可能性もありますね。 そのページへはIDとパスワードでログインしないと入れないように作っていても、リファラー情報からアクセス出来ちゃった場合って、不正アクセス禁止法に引っかかるんだろうか・・・ もう少しだけ サーチエンジンでこのメモを見つけて読んでいる方々は、開発者が多いと思いますので今年の流行 SQL インジェクション について軽く。(こんな事当然の事だろ!と怒られそうですが…) 既に「知らない」では済まされない状況になっていますので、開発者のセキュリティ対策はしっかりチェックしておきましょ。  ・ユーザ登録が必要なページがあったとして、次に入力したデータを表示する場合において。   入力チェックをせず、オオム返しにデータを表示していると、、、<b>なまえ<b> を入力欄に入れられたらタグが実行されてしまいます。(XSS)   当然 JAVAScript を埋め込んだりしたら、実行されちゃいますよね。(ページの情報を書き換えられたり、クッキーの情報を抜かれたり、セッションハイジャックされたりします)   ※ クッキーの情報は、適当なサイトを開いた後に、URL 欄に javascript:document.cookie; と打ち込むと表示されます。     特定の文字は innerHTML を利用して書き換える事ができます。「キター」や「クマー」 が有名? ・HIDEEN タグに ID が入っていてその ID を削除するような場合   <input type"hidden" name="id" value="1">   strSQL = "DELETE * FROM USERS WHERE UserID=" & ID  適切にチェックしてない場合、 hideen の値を改ざん 例えば 「0 Or True」 に書き換えられた場合   DELETE * FROM USERS WHERE UserID=0 OR TRUE が実行されてしまいます。(SQL インジェクション) 当然文字列の場合も同様で   <input type"hidden" name="id" value="1">   strSQL = "DELETE * FROM USERS UserID='" & ID & "'" 「' OR 'A'='A」 に書き換えられた場合 DELETE * FROM USERS UserID='' OR 'A'='A' が実行されてしまいます。 よって、ユーザが入力するデータ(HIDDENタグを含む)は全て信用できないデータとして取り扱いましょう。 ASP なら、IsNumeric や Replace(ID, "'","''") 等でチェックしたのち、データベースへ書き込みましょう。   掲示板を作成したりする場合で、タグが利用できる場合も同様にチェックが必要です。   iframe が利用出来る場合は、ウイルスを埋め込まれたり、JavaScript を埋め込まれたりします。   文字コードについても、チェックが必要かも。   ↓こんなの。   < &lt;   > &gt;   " &quot;   & &amp;   ' &#39;   < &#60;   > &#62;   ここらを参考に   あなたのソースコードは安全ですか?   ウェブアプリの脆弱性にどう対応してますか?   Microsoft Security Developer Center   特別講座<SQLハッキング編> もし、やられた場合は? カカクメソッドを発動(冗談ですので本気にしないで下さいね) ケーブルを引っこ抜く前に、IPCONFIG でメディアステータスを取得しておく DOS プロンプト で netstat コマンドを利用して確認  netstat については、下記サイトに詳しく説明されています。  http://www.atmarkit.co.jp/fnetwork/netcom/netstat/netstat.html  Windows Server 2003 で特定の TCP ポートを使用またはブロックしているプログラムを判別する方法  http://support.microsoft.com/kb/323352/ja 1.パケットの送受信量を確認し、大量のデータが流れてないかチェックする。   ipconfig /all   arp -a   netstat -s   同時に「ネットワーク接続の設定」の「動作状況」をリアルタイムでチェック   (TCPView や プロセスエクスプローラとか入れて置くと便利です) 2.ネットワーク接続の状態(State)を調べ SYN_SENT パケットを送信している   アドレスをチェック   netstat -a 3.何のアプリケーションがネットワークにアクセスしているのか確認   netstat -bv        ↑このオプションが XP/2003 しかない。 4.悪さをしているプログラムが解れば、Google 等で調べる。  外部を勝手に攻撃しているのは誰? http://www.atmarkit.co.jp/fnetwork/rensai/troutol09/01.html 細かく調べる場合は、失われやすい情報から確実に保存します。 ・Winmsd を実行してシステム情報を保存( Winmsd /report ファイル名.txt ) ・プロセスのメモリイメージの保存(PMdump 等を利用する) ・開いているファイルやレジストリを確認(Handle.exe、レジストリのアクセスは RegMon 等を利用) ・ローカルネットワークの盗聴確認(NIC がプロミスキャストモードになってないか確認。PromiscDetect 等利用) ※実行すると消える情報もある事に注意。  消えたファイルの復元が最優先の場合は HDD のイメージを作成をして、別マシンからその HDD へアクセスするようにする。 不審なアクセスがあった場合に、そのアクセス元に連絡を取ることでインシデントへの対応が円滑に進む場合があります。 発信元 IP アドレスが割り当てられている組織に連絡する際には、以下の手順で行う方法があります。 (1) 以下の URL で示される IANA の情報を使って該当する IP アドレスを割り当てているレジストリを調べる IANA http://ftp.apnic.net/stats/iana/delegated-iana-latest (2) 以下の各レジストリの情報から該当する IP アドレスを割り当てている国名を調べる APNIC ftp://ftp.apnic.net/pub/stats/apnic/delegated-apnic-latest RIPE ftp://ftp.ripe.net/pub/stats/ripencc/delegated-ripencc-latest LACNIC ftp://ftp.lacnic.net/pub/stats/lacnic/delegated-lacnic-latest ARIN ftp://ftp.arin.net/pub/stats/arin/delegated-arin-latest (3) 各国を代表するセキュリティチーム (National CSIRT) に対し、該当 IP アドレスが割り当てられている組織への連絡を依頼する 参考文献 (日本語) 技術メモ - 関係サイトとの情報交換 http://www.jpcert.or.jp/ed/2002/ed020001.txt 参考文献 (英語) APNIC http://www.apnic.net/ RIPE http://www.ripe.net/ LACNIC http://lacnic.net/ ARIN http://www.arin.net/ FIRST Member Teams https://www.first.org/about/organization/teams/ APCERT Members http://www.apcert.org/member.html Computer Security Incident Response Team (CSIRT) Frequently Asked Questions (FAQ) http://www.cert.org/csirts/csirt_faq.html その他の記事  企業ネットワークセキュリティのためのノウハウ&情報フォーラム  http://www.atmarkit.co.jp/fsecurity/index.html  言葉は知られていても危険性までは認識されていない「SQLインジェクション」  http://www.itmedia.co.jp/enterprise/articles/0506/07/news022.html  Webアプリケーションにセキュリティホールを作らないための  クロスサイトスクリプティング対策の基本(後編)  ~XSSを防ぐために不可欠なサニタイジング(無害化)~  http://www.atmarkit.co.jp/fsecurity/special/34xss/xss01.html  セキュア・プログラミングのすすめ  http://itpro.nikkeibp.co.jp/members/ITPro/SEC_CHECK/20050701/163753/ セキュアなWebアプリ実現のために本来やるべきことは? - 高木浩光氏 http://pcweb.mycom.co.jp/articles/2005/07/12/wasf/ SQL Injection対策 http://vsug.jp/tabid/63/forumid/56/postid/537/view/topic/Default.aspx ハッキングの解体白書 : ハッカーがネットワークに侵入する方法 Web 上での盗用 : セッション ハイジャックの防止 IPAがWebサイトのセキュリティ・ホールを塞ぐための緊急チェック・ポイントを発表 SQLインジェクション攻撃が昨年後半から急増,ラックが緊急レポート セキュリティの脅威を知る レベル 100 シリーズ http://www.microsoft.com/japan/msdn/security/seminars/basic/default.aspx patterns & practices アプリケーションのセキュリティ ガイダンス インデックス http://www.microsoft.com/japan/msdn/enterprise/pag/securityguidance/SecurityGuidanceIndex.aspx#securityguidanceindex_guides Webアプリケーションをセキュアに(第1回) http://nikkeibp.jp/netbiz/security/050708_secure/ Webアプリケーションをセキュアに(第2回) http://nikkeibp.jp/netbiz/security/050711_secure2/ Security Experts Issue Update (Quarter 2, 2005 ) Of SANS Top 20 Most Critical Internet Vulnerabilities List (SANS) http://www.sans.org/press/q2-2005update_release.php SANS 脆弱性 TOP20 リスト http://sans-japan.jp/SJ/top20/top20.html http://sans-japan.jp/SJ/index.html Web Security Threat Classification (Web Application Security Consortium) http://www.webappsec.org/projects/threat/ http://www.spidynamics.com/whitepapers/Blind_SQLInjection.pdf # ここにある日本語の PDF の資料を読むのが良いかも。 日経 IT プロフェッショナル 2005/8月号 に「できるエンジニアのセキュリティチェックポイント」という記事が載っています。 Virtual Criminology Report ~北米の組織犯罪とインターネットに関する調査~ https://secure.nai.com/forms/japan/contact/VirtualCrimonologyReport_form.asp アンケートに回答後にダウンロードできます。 Windows XP 知らないと怖い「プロの常識」(第1回) http://itpro.nikkeibp.co.jp/article/Windows/20051101/223877/ セキュリティ情報,あなたはどこから入手していますか? http://itpro.nikkeibp.co.jp/article/OPINION/20050915/221248/ ネットワーク技術を悪用した個人情報の漏えいに注意 http://www.cyberpolice.go.jp/detect/pdf/H170902_leak.pdf # フィッシング、ファーミングについて書かれています。 まこと先輩と星野君とCSRFの微妙な関係 http://www.atmarkit.co.jp/fsecurity/rensai/hoshino04/hoshino01.html 「ぼくはまちちゃん」 ――知られざるCSRF攻撃 http://www.atmarkit.co.jp/fsecurity/column/ueno/33.html 開発者のための正しいCSRF対策 http://www.jumperz.net/texts/csrf.htm 簡単!やさしいセキュリティ教室 (三井住友銀行) http://www.smbc.co.jp/kojin/security/index.html 第1回 セミナー申し込みフォームがスパムの踏み台? http://www.atmarkit.co.jp/fsecurity/rensai/hoshino01/hoshino01.html 第2回 誰でもWeb管理画面に入れる気前のいい会社 http://www.atmarkit.co.jp/fsecurity/rensai/hoshino02/hoshino01.html 第3回 Webアプリ、入力チェックで万事OK? http://www.atmarkit.co.jp/fsecurity/rensai/hoshino03/hoshino01.html 第1回 機密情報に合法的に近づけるWebアプリケーションを守れ http://www.atmarkit.co.jp/fsecurity/rensai/waf01/waf01.html 第2回 多様化するWebアプリケーションへの攻撃 http://www.atmarkit.co.jp/fsecurity/rensai/waf02/waf01.html あなたのクリップボードが盗まれる http://private.ceek.jp/archives/001639.html Google ハイジャックにご用心 http://japan.internet.com/busnews/20051202/6.html セキュリティレベルの高いサイトを構築する 22 カ条 http://www.drk7.jp/MT/archives/000966.html 情報セキュリティの現場で起きている「教育不足」(前編) http://nikkeibp.jp/wcs/leaf/CID/onair/jp/it/417347 セッション管理の脆弱性 (1/3) http://www.softek.co.jp/Sec/WebProbe/words/session-vulnerabilities.html 提案依頼書に盛り込むべきWebセキュリティ項目,JNSAがサンプル提供 http://itpro.nikkeibp.co.jp/article/NEWS/20051207/225830/ JNSAセキュアシステム開発ガイドライン 「Webシステム セキュリティ要求仕様(RFP)」編 β版 http://www.jnsa.org/active/2005/active2005_1_4a.html Webシステム開発でセキュリティが軽視される理由 http://www.atmarkit.co.jp/fbiz/cbuild/serial/securerfp/01/01.html 「IT管理者には強力な権限を与えるべき」-マイクロソフト奥天氏 http://enterprise.watch.impress.co.jp/cda/topic/2005/12/14/6844.html 読者が選ぶ 2005年セキュリティ重大ニュース TOP10 http://fbeye.isskk.co.jp/u/No/61463/7394EAB9_17064/1221question1.html 読者が選ぶ 『セキュリティに関する「専門家」「有名人」』 http://fbeye.isskk.co.jp/u/No/61463/7394EABA_17064/1221question2.html [NETWORK調査隊]「ボットネット」の正体を探る -- No.1 http://itpro.nikkeibp.co.jp/article/COLUMN/20051214/226221/ Windows XPで「最低限のユーザー権限」しか使わないようにするには? http://itpro.nikkeibp.co.jp/article/NEWS/20060123/227723/ 共有コンピュータが誰でも簡単に保護、管理できる http://www.microsoft.com/downloads/details.aspx?FamilyID=7256d456-e3da-42ea-857d-92b716077a84&DisplayLang=ja Microsoft Shared Computer Toolkit for Windows XP http://go.microsoft.com/?linkid=4345011 WinFX Runtime 日本語 Language Pack - December CTP (Community Technology Preview) http://go.microsoft.com/?linkid=4345029 # エラー メッセージなどを含む翻訳テキスト セキュリティに関する開発者のための基本知識 http://www.microsoft.com/japan/msdn/security/basics/ patterns & practices アプリケーションのセキュリティ ガイダンス インデックス http://www.microsoft.com/japan/msdn/enterprise/pag/securityguidance/SecurityGuidanceIndex.asp Microsoft(R) E-Learning セキュリティ カタログ https://www.microsoftelearning.com/japan/default.aspx#security ITmedia エンタープライズ:脆弱なWebアプリケーションから脱却する5つのコツ http://www.itmedia.co.jp/enterprise/articles/0602/02/news001.html 情報処理推進機構:セキュリティセンター:情報セキュリティ読本 教育用プレゼン資料 http://www.ipa.go.jp/security/publications/dokuhon/ppt.html 政府の「第1次情報セキュリティ基本計画」などが正式決定 http://itpro.nikkeibp.co.jp/article/NEWS/20060203/228572/ 侵入傾向分析レポート Vol.5 http://www.lac.co.jp/business/sns/intelligence/jsoc_report.html 「企業名がフィッシングに悪用されたらどうします?」,Websenseが対処法を紹介 http://itpro.nikkeibp.co.jp/article/NEWS/20060207/228770/ すべてはここから始まった~SHA-1の脆弱化 http://www.atmarkit.co.jp/fsecurity/rensai/crypt01/crypt01.html サイバー攻撃は小さく、隠密に http://www.itmedia.co.jp/enterprise/articles/0603/07/news089.html コンピュータ・ウイルスの作成や所持などが新たに処罰対象に http://itpro.nikkeibp.co.jp/article/Watcher/20060306/231817/ 侵入者や攻撃者ってどんな人たち? http://itpro.nikkeibp.co.jp/article/COLUMN/20060302/231553/ スパイウェアの正しい数え方 http://techtarget.itmedia.co.jp/tt/news/0603/02/news02.html スパイウェア対策ソフトの選び方 (1/2) http://plusd.itmedia.co.jp/pcupdate/articles/0603/07/news001.html 「相次ぐ『ワンクリック詐欺』の相談,9割にはスパイウエアが」,IPA http://itpro.nikkeibp.co.jp/article/NEWS/20060303/231700/ 情報セキュリティは何のため? http://itpro.nikkeibp.co.jp/article/COLUMN/20060307/231911/ 情報セキュリティはCSRである 連載:情報セキュリティガバナンスを確立せよ(1) http://www.atmarkit.co.jp/im/cop/serial/secgov/01/01.html 「Ophcrack 2.1」というツールでパスワードが解析出来るらしい。 http://internet.watch.impress.co.jp/static/yajiuma/ Excel UnPassword エクセルのパスワードを解析。 http://www.acchi.cc/ パスみえ2000 パスワードの「*」を実際の文字列で表示 http://quickware.a-quest.com/ PasswordEye Web サイトのパスワード部分を実際の文字列で表示 http://bunei.com/ 情報セキュリティ白書 2006 年版 - 10 大脅威「加速する経済事件化」と今後の対策 http://www.ipa.go.jp/security/vuln/20060322_ISwhitepaper.html Windows標準無線LAN機能のあしき振る舞い http://itpro.nikkeibp.co.jp/article/COLUMN/20060317/232809/?ST=tech_win   セコムトラストネット:悪魔の双子攻撃(Evil Twins)   http://www.secomtrust.net/secword/eviltwins.html  の話。 ボットの脅威を防ぐには http://japan.zdnet.com/column/malware1/story/0,2000055120,20098796,00.htm 猛威を振るう新種のDoS攻撃--ダメージは従来よりはるかに深刻 http://japan.cnet.com/news/sec/story/0,2000050480,20098827,00.htm 敵を知る――最新のフィッシング詐欺の手口とは http://www.itmedia.co.jp/enterprise/articles/0603/16/news003.html 自社サーバがフィッシングサイトに「踏み台化」されたら? (1/3) http://www.itmedia.co.jp/enterprise/articles/0603/17/news004_3.html 監視と検知が可能にする迅速なインシデント対応 (1/4) http://www.itmedia.co.jp/enterprise/articles/0603/17/news010.html なぜ運用管理ツールが必要なのか http://www.itmedia.co.jp/enterprise/articles/0603/18/news001.html ボットは「改造」で観測の目を欺く――警察庁レポート http://www.itmedia.co.jp/enterprise/articles/0603/20/news036.html ボットネットの根絶は無理? (1/3) http://www.itmedia.co.jp/enterprise/articles/0603/20/news026.html 「マルウエア」総まとめ~その特徴と分類方法~ http://itpro.nikkeibp.co.jp/article/COLUMN/20060421/235970/ 簡単にだまされない、これだけの鉄則 (1/2) http://www.itmedia.co.jp/enterprise/articles/0604/24/news031.html セキュリティ対策はどこまで行えばいいのか http://www.atmarkit.co.jp/im/cop/serial/kanrisha/03/01.html
IIS6.0 トルカ対応にしてみる。( .trc ファイルのマッピング ) MetaBase.xml を開いて IIsMimeMap を探して下記 1 行を追加。 .trc,application/x-toruca  ※IIS マネージャからはローカルコンピュータのプロパティから操作できます。   *(ワイルドカード)の拡張子を登録すると、拡張子の種類に関係なく HTTP リクエストを処理できます。   ただしセキュリティレベルは低下します。 http://www.nttdocomo.co.jp/p_s/imode/make/toruca/index.html > i モード向け WEB サイトにおいてトルカデータへのリンクは A タグや FROM タグ > を用いて設定します。トルカデータのファイル拡張子は「trc」、ContentType は > 「application/x-toruca」とします。 出力時に、ContentType を指定しないと動かないっぽい。 詳しくは PDF の 9ページ目 ついでにマッピングされてない場合の出力方法。(ASP) <% Dim BASP, Data Set BASP = Server.CreateObject("basp21") Data = BASP.BinaryRead(Server.MapPath(".") & "\detail.trc") Response.ContentType = "application/x-toruca; filename=""detail.trc""" Response.AddHeader "Content-Transfer-Encoding","base64" 'この行は不要。 Response.BinaryWrite Data Set BASP = Nothing %> ファイルの読み込みは手軽なので BASP を利用。 ちなみに "Content-disposition=attachment;" ヘッダを使用すると ファイルを開いたり保存したりする確認は入りません。(たぶん…)  Response.ContentType = "application/x-toruca;"  Response.ContentType = "application/octet-stream;" 'CSVとかダウンロードさせる場合など。  Response.AddHeader "Content-disposition", "attachment; filename=detail.trc"  クライアント側でダウンロード後にファイルの保存場所を聞かれずにいきなり実行してしまう場合は  ダウンロード先のフォルダを指定できない  http://pasofaq.jp/program/internetexplorer/download.htm  を参考。{0002DF01-0000-0000-C000-000000000046}を削除すれば戻せます。  CAPICOM を利用するとトルカの自動生成も可能かも。   Base64 の処理   http://winofsql.jp/VA003334/asp051105201655.htm Windows Server 2008 R2 で認証を有効にした場合に Response.AddHeader で複数のヘッダーを追加すると IIS7.5 と Windows7 の組み合わせのみ、へんな挙動になる用で・・・ (具体的には、毎回認証画面が出てくる) 最小限のヘッダーのみにしたら、毎回出てきた認証画面が消えました。  アプリケーション開発者向け Microsoft® Windows 7 対応アプリケーションの互換性  http://msdn.microsoft.com/ja-jp/windows/dd871147.aspx  [FIX] 正常に IIS 7. 0 で、応答ヘッダーの複数のインスタンスを設定する CGI アプリケーションは動作しません。  http://support.microsoft.com/kb/932385/ja
Windows Media コンテンツをストリーム配信する時の MIME タイプの設定 File extension MIME type .asf video/x-ms-asf Windows Media File .asx video/x-ms-asf Windows Media File .wma audio/x-ms-wma Windows Media File .wax audio/x-ms-wax Windows Media File .wap audio/x-ms-wap Windows Media File .wm video/x-ms-wm Windows Media File .wmv video/x-ms-wmv Windows Media File .wmx video/x-ms-wmx Windows Media File .wmz application/x-ms-wmz Windows Media File .wmd application/x-ms-wmd Windows Media File .qt video/quicktime QuickTime Video .mov video/quicktime QuickTime Video .qtvr video/quicktime QuickTime Video .mpg video/mpeg MPEG Video .mpeg video/mpeg MPEG Video .mpe video/mpeg MPEG Video .avi video/avi, ms/video Microsoft Video .vfw video/avi, ms/video Microsoft Video .dv video/x-dv, video/octet-stream DV .swf application/x-shockwave-flash Shockwave Flash .dcr application/x-director Shockwave Movie .dir application/x-director Shockwave Movie .dxr application/x-director Shockwave Movie .aam application/x-authorware-map Authorware Movie .aas application/x-authorware-seg Authorware Movie .aab application/x-authorware-bin Authorware Movie .pdf application/vnd.pdf PDF Document .svg image/vnd.adobe.svg+xml SVG Document .svgz image/vnd.adobe.svg+xml SVG Document .wav audio/x-wav WAV audio .mp3 audio/x-mpeg3 MPEG audio mp3 .m4a audio/mp4 MPEG audio mp4 .mp4 video/mp4 MPEG video mp4 .3gp, .3gpp video/3gpp 3GP Audio/Video/Text .divx video/divx AVI video divx .* application/octet-stream Web サーバーからのストリーム配信 http://www.microsoft.com/japan/msdn/windowsmedia/deployment/webserver.asp Windows Media メタファイルの活用 http://www.microsoft.com/japan/msdn/windowsmedia/production/asx.asp http://www.w3schools.com/media/media_mimeref.asp IIS7.0 の場合は、IIS Media Pack 1.0 があります。  IIS Media Pack 1.0 を使ってみよう!(1)  http://blogs.msdn.com/windows_multimedia_jp/archive/2009/02/16/iis-media-pack-1-0-1.aspx
うは、、、なに? ---------------------------------------------------- イベントの種類: エラー イベント ソース: Application Error イベント カテゴリ: なし イベント ID: 1001 エラー発生バケット 274019436. ---------------------------------------------------- イベントの種類: エラー イベント ソース: Application Error イベント カテゴリ: (100) イベント ID: 1000 説明: エラー発生アプリケーション w3wp.exe、 バージョン 6.0.3790.1830、 エラー発生モジュール unknown、 バージョン 0.0.0.0、エラー発生アドレス 0x0bc66758 ---------------------------------------------------- イベントの種類: 警告 イベント ソース: Win32k イベント カテゴリ: なし イベント ID: 243 説明: デスクトップ ヒープの割り当てに失敗しました。 ---------------------------------------------------- イベントの種類: 警告 イベント ソース: W3SVC イベント カテゴリ: なし イベント ID: 1011 説明: アプリケーション プール 'DefaultAppPool' を提供しているプロセスは、 World Wide Web 発行サービスで致命的な通信エラーを検出しました。 プロセス id は '7256' でした。データ フィールドにはエラー番号が含まれています。 ---------------------------------------------------- 要調査って事で… これかな。  ユーザーが IIS 6.0 でホストされた Web サイトを参照すると、ユーザーが「サービスが利用できない」エラー メッセージを表示します。  http://support.microsoft.com/kb/885654/ja  IIS 上で動作する Web アプリケーションの応答が停止する場合やエラーになる場合のトラブルシューティング  http://support.microsoft.com/kb/929117/ja  原因不明のメモリ不足エラーに対処する方法(デスクトップ・アプリケーション・ヒープ不足エラーに対処する方法)  http://www.atmarkit.co.jp/fwin2k/win2ktips/071desktopheap/desktopheap.html ワーカー・プロセスの話はこの辺りがわかり易い。  [ASP.NET]IIS 6.0でワーカー・プロセスの挙動をカスタマイズするには?  http://www.atmarkit.co.jp/fdotnet/dotnettips/247aspworkerproc/aspworkerproc.html  デバッグ診断 ツールの突然停止する IIS プロセスのトラブルシューティングを行うための使用方法  http://support.microsoft.com/kb/919789 Events and Errors Message Center http://www.microsoft.com/technet/support/ee/ee_advanced.aspx ターミナル サービス情報が破損している場合にアクセス違反エラーが発生する http://support.microsoft.com/kb/810807 パフォーマンス モニタ拡張機能のイベント http://support.microsoft.com/kb/226494/ja ユーザーが IIS 6.0 でホストされた Web サイトを参照すると、ユーザーが「 サービス無効」エラー メッセージを表示します。 http://support.microsoft.com/kb/885654 ターミナル サービス情報が破損している場合にアクセス違反エラーが発生する http://support.microsoft.com/kb/828664 Windows Server 2003 ベースのシステムで CDOEX と ADSI を同時に使用すると IIS 6.0 のワーカー プロセスが異常終了する http://support.microsoft.com/kb/919744 リモートデスクトップ絡みのエラーって事にしとこう。。。 OS 再起動で解決?(笑) IIS 6.0 Monitor—データ収集の詳細 http://www.microsoft.com/japan/windowsserver2003/dcpolicy/dcdetails.mspx どうやら、これらしい。  916984 - FIX: You experience high memory usage in the W3wp.exe process on a Windows Server 2003-based computer that has Internet Information Services (IIS) 6.0 installed  http://support.microsoft.com/kb/916984 Response.BinaryWrite でデカイサイズのファイルを送信する場合に 相手の通信速度が遅いと、ハングする場合があるっぽい。 MS からパッチを入手(このパッチは無償で手に入るが改善される保障は無い。) パッチ適用後以下レジストリを操作。   この修正パッチの適用で、キューデータとして置かれるメモリの制限値を設定できるようになる。     HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ASP\Parameters     値の名前 : VectorSendThrottleLimit     データ型 : REG_DWORD     値    : 0(デフォルトは 0:無効)     入力する値は、メモリやトラフィック、メタベースの AspBufferingLimit を見て     適当に・・・。 Windows Server 2003 で Service Pack 1 と共に修正プログラム 908521 をインストールした後に、アクセス違反エラーが W3wp.exe プロセスで発生することがあります。 http://support.microsoft.com/kb/917781 [FIX] POST 要求を送信すると、IIS 6.0 が応答ストリームの途中で "HTTP 100 Continue" 応答を送信する http://support.microsoft.com/kb/898708 そーいや IE7 入れてから発生してたような・・・  FIX: Inetinfo.exe プロセスが Internet Explorer 7 をインストールした後に、  Windows Server 2003 Service Pack 1 と IIS 6.0 を実行しているコンピュータで  応答を停止することがあります。  http://support.microsoft.com/kb/934819/ MS07-027 適用で解決?
う~ん、悪意を感じるなぁ。。。 #Software: Microsoft Internet Information Services 6.0 #Version: 1.0 #Date: 2005-05-20 19:42:57 #Fields: date time s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) cs(Referer) sc-status sc-substatus sc-win32-status 2005-05-20 19:42:57 61.194.16.4 GET /cgi-bin/awstats/awstats.pl - 80 - 195.200.183.229 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+98) - 404 0 3 2005-05-20 19:42:57 61.194.16.4 GET /cgi/awstats.pl - 80 - 195.200.183.229 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+98) - 404 0 3 2005-05-20 19:42:57 61.194.16.4 GET /awstats/awstats.pl - 80 - 195.200.183.229 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+98) - 404 0 3 2005-05-20 19:42:57 61.194.16.4 GET /cgi-bin/awstats.pl - 80 - 195.200.183.229 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+98) - 404 0 3 2005-05-20 19:42:57 61.194.16.4 GET /cgi-bin/stats/awstats.pl - 80 - 195.200.183.229 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+98) - 404 0 3 2005-05-20 19:42:57 61.194.16.4 GET /stats/awstats.pl - 80 - 195.200.183.229 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+98) - 404 0 3 2005-05-20 19:42:57 61.194.16.4 GET /cgi/stats/awstats.pl - 80 - 195.200.183.229 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+98) - 404 0 3 2005-05-20 19:42:57 61.194.16.4 GET /awstats.pl - 80 - 195.200.183.229 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+98) - 404 0 2 2005-05-20 19:47:39 61.194.16.4 GET /memo.asp&prev=/search?q=burka++mailto&start=200&num=100&hl=en&lr=&sa=N - 80 - a33177.upc-a.chello.nl Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.0) - 404 0 3 ※2007-02 にここのサイトの IPアドレス変わりました。なぜ変えたか知りたい人は下の方までチェックして下さい… プロパティ          フィールド    説明 クライアントの IP アドレス  c-ip       FTP サーバーにアクセスした IP アドレス ユーザー名          cs-username    FTP サーバーにアクセスしたユーザー名 サービス名          s-sitename    リクエストをサービスしているサイト名 (例: MSFTPSVC1) サーバー名          s-computername  FTP サーバー名 サーバーの IP アドレス    s-ip       リクエストをサービスしている FTP サーバーの IP アドレス サーバーのポート       s-port      リクエストをサービスする FTP サーバーのポート番号 方法             cs-method     クライアントの動作のリクエスト (例: USER、PASS) URI ステム          cs-uri-stem    リクエストのコンテント名 (例: ディレクトリ、ファイル名) プロトコルの状況       sc-status     リクエストの状態コード Win32 の状況         sc-win32-status  Windows 用語の状態コード 送信されるバイト       sc-bytes     サーバーにより送信されるバイト数 受信されるバイト       cs-bytes     サーバーにより受信されるバイト数 要する時間          time-taken    リクエストを処理するための時間 IIS ログ ファイル エントリを理解する http://www.microsoft.com/japan/technet/community/columns/insider/iisi1205.mspx アクセス解析ツール AWStats http://www.mediaweb.biz/database/others/AWStats.html AWStats Ver.5.0完全日本語版 http://awstats.sourceforge.net
IIS のログって… IIS5.0、IIS6.0 でアクセスされた URI にサーバ名が含まれていた場合に消滅してるんだけど、、、 IIS のログ 2006-12-01 00:24:37 222.185.87.31 - ServerName 80 GET /~frowa/cch.php p=7334993 400 でも、実際のアクセスは Guard3 のログより *[233]request GET http://72.29.75.195/~frowa/cch.php?p=7334993 *[233] 2006/12/1_09:24:37, client=222.185.87.31, server=ServerName *[233]REJECTED reason=5, zone=general これって、問題にならないのかなぁ… 多分、telnetで同じ実験は出来ると思う。 1. telnet www.netdive.jp http 2. GET http://www.kojikoji.net/?p=1 HTTP/1.1 3. Host: www.netdive.jp 4. 5. こんなかんじかな。 、、、、、マルチホストで動かしている場合、上記で接続すると www.kojikoji.net の情報が表示された。 これって、だめなんじゃないかと思うのが、どうなんだろうか。。。 纏め サーバA に 複数の IP を付け、複数のドメインを設定した サイトを立ち開けている場合 [Server A]192.168.0.1, 192.168.0.2, 192.168.0.3 IIS5.0, IIS6.0 ├SITE-A 192.168.0.1 ├SITE-B 192.168.0.2 └SITE-C 192.168.0.3 ------------------------------------------------- 1. telnet 192.168.0.1 http 2. GET http://192.168.0.2/?P=1 HTTP/1.1 3. Host: 192.168.0.1 4. 5. ------------------------------------------------- とアクセスした場合 192.168.0.2 のアクセスログに記録が残り普通にアクセス出来る。 またアクセスログには、http://192.168.0.2/? 部分は記録されていない。 どんな攻撃をされるか予想はつかないけど、放置出来る問題でもない様な… RFC 2068 みてもよくわかりません。orz 絶対パスで問合せも在りなんだろうか。。。  脆弱性関連情報の届出関連 FAQ  http://www.ipa.go.jp/security/vuln/faq.html  ※セキュリティ上の脅威が想定出来ないので報告してません。。。 FIX: IP アドレスは、 IIS 6.0 での TCP ヘッダーの content-location フィールドに表示されます。 http://support.microsoft.com/kb/834141 c:\>cd c:\Inetpub\AdminScripts c:\>cscript adsutil.vbs set w3svc/1/UseHostName true c:\>cscript adsutil.vbs set w3svc/1/SetHostName www.netdive.jp で、OK かな。 ※単純に hosts ファイルに書いておけば OK かも。。。
STA(シングルスレッドアパートメント)ではなく MTA(マルチスレッドアパートメント)で ASP ページを実行 AspExecuteInMTA メタベースを 0 から 1 に変更する。 コマンドからは adsutil set w3svc/AspExecuteInMTA 1
Kerberos [HOWTO] IIS の Kerberos に関する問題のトラブルシューティング http://support.microsoft.com/kb/326985 IIS 6.0 でホストされた Web アプリケーションを構成する場合、 SPN を使用する方法 http://support.microsoft.com/kb/929650/ja 多数のグループに属する場合は、Kerberos 認証の問題 http://support.microsoft.com/kb/327825/ja Windows でパスワードを変更するときに、キャッシュされた資格情報が更新されません。 http://support.microsoft.com/kb/2845626/ja
IIS7 とりえず本でも。 IIS 7.0 Webサーバー管理ガイド [マイクロソフトITプロフェッショナルシリーズ] (マイクロソフトITプロフェッショナルシリーズ) (単行本) (アマゾン) IIS 7.0 の概要 http://technet.microsoft.com/ja-jp/magazine/2008.03.iis7.aspx 更新プログラムが入手可能と強化された機能 IIS 7.0 で要求フィルタ モジュールの提供 http://support.microsoft.com/kb/957508/ja んー、IIS を動かすとハングするんですけど… http://support.microsoft.com/kb/960723/ja このへん? ネットワークの共有フォルダをrootに利用すると安定しないような… リソースも食いまくりのような… 原因判明。 ネットワークカードが悪さしていた模様。 交換したら、メモリもちゃんと開放されるようになったし、ハングもしなくなりました。 NICのドライバーの更新も忘れずに、、、 と、思ったけど一緒でした… アプリケーションプールのワーカープロセスの最大数を1に戻したら安定。 これが原因のようでした。 [FIX] AppPoolCredentials 属性に設定、ブルー スクリーンに STOP 0x0000007e エラー メッセージが表示される True と IIS 7.0 でアプリケーション プール ID として、ドメイン アカウントを使う http://support.microsoft.com/kb/962943
IIS7 のテンポラリファイルの場所を変える  デフォルトは %systemdrive%\inetpub\temp\appPools     HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WAS     値の名前 : ConfigIsolationPath     データ型 : REG_SZ     値    : d:\inetpub\temp\appPools   インターネット インフォメーション サービス 7. 0 で、独立した構成ファイルのカスタム場所の指定方法   http://support.microsoft.com/kb/949348   その他の移動方法は   IIS7: Moving the INETPUB directory to a different drive   http://blogs.iis.net/thomad/archive/2008/02/10/moving-the-iis7-inetpub-directory-to-a-different-drive.aspx
デバッグとか ASP のデバッグを有効にする (IIS 6.0) http://www.microsoft.com/technet/prodtechnol/windowsserver2003/ja/library/iis/3c7830b4-df5c-41a2-9890-c201eb774c89.mspx ASP のデバッグを有効にする http://technet2.microsoft.com/WindowsServer/ja/Library/b37d3776-4850-4d7e-8025-9336ea2d72481041.mspx ASP アプリケーションのデバッグ: Part 1 http://www.microsoft.com/japan/msdn/columns/server/server04242000.aspx ASP アプリケーションのデバッグ: Part 2 http://www.microsoft.com/japan/msdn/columns/server/server04242000-2.aspx トレース イベント リファレンス (IIS 6.0) http://www.microsoft.com/technet/prodtechnol/windowsserver2003/ja/library/iis/757a3990-d8ae-4d72-94af-70fa46edc985.mspx?mfr=true Visual Web Developer での Web ページのテスト http://msdn2.microsoft.com/ja-jp/library/df5x06h3(VS.80).aspx デバッグ診断 ツールの突然停止する IIS プロセスのトラブルシューティングを行うための使用方法 http://support.microsoft.com/kb/919789/ja パフォーマンスとスタイルに関する ASP 25+ の Tips http://www.microsoft.com/japan/msdn/web/server/asp/asptips.aspx ASP のパフォーマンスやスタイルを改善する 28 の方法 http://www.microsoft.com/japan/technet/prodtechnol/windows2000serv/technologies/iis/tips/asptips.mspx IIS 5.0 セキュリティ対策ハンドブック http://www.microsoft.com/japan/technet/prodtechnol/windows2000serv/technologies/iis/books/sec_hb1.mspx ASP ガイドライン http://www.microsoft.com/japan/msdn/columns/server/server122799.aspx ASP コンポーネント ガイドライン http://www.microsoft.com/japan/msdn/columns/server/server01242000.aspx Web/DB プログラミング徹底解説 http://keicode.com/dotnet/ #色々と勉強になります。 ASP.NET デバッグの概要 http://msdn2.microsoft.com/ja-jp/library/ms227556(vs.80).aspx Microsoft CLR デバッガを使用して ASP.NET アプリケーションをデバッグする方法 http://support.microsoft.com/kb/301058/ja [PRB] ASP.NET Web アプリケーションをデバッグできない http://support.microsoft.com/kb/318465/ja [INFO] Visual Studio .NET で ASP.NET アプリケーションをデバッグするときの一般的なエラー http://support.microsoft.com/kb/306172/ja ASP.NET 用のシステムおよびアプリケーション パフォーマンス カウンタ (IIS 6.0) http://www.microsoft.com/technet/prodtechnol/windowsserver2003/ja/library/iis/852720c8-7589-49c3-a9d1-73fdfc9126f0.mspx?mfr=true 高パフォーマンス ASP.NET アプリケーションの開発 http://msdn2.microsoft.com/ja-jp/library/5dws599a(VS.80).aspx ASP.NET 構成の保護 http://msdn2.microsoft.com/ja-jp/library/ms178699(VS.80).aspx ASP.NET セキュリティの概要 http://support.microsoft.com/kb/891028/ja ASP.NET アプリケーションと Web サービスをセキュリティ保護する http://msdn.microsoft.com/library/ja/default.asp?url=/library/ja/jpdnsecure/guidance/secmod92.asp セキュリティ保護された .NET Web アプリケーションの構築 http://www.microsoft.com/japan/msdn/security/guidance/secmod13.mspx チェックリスト: ASP.NET をセキュリティ保護する http://msdn.microsoft.com/library/ja/default.asp?url=/library/ja/jpdnsecure/guidance/secmod98.asp ISAPI 拡張を構成する (IIS 6.0) http://www.microsoft.com/technet/prodtechnol/windowsserver2003/ja/library/iis/3fd05620-78f1-4d51-8709-b142807cf9de.mspx?mfr=true compilation 要素 (ASP.NET 設定スキーマ) http://msdn2.microsoft.com/ja-jp/library/s10awwz0(VS.80).aspx trace 要素 (ASP.NET 設定スキーマ) http://msdn2.microsoft.com/ja-jp/library/6915t83k(VS.80).aspx セキュリティ プラクティス: すぐわかる ASP.NET 2.0 セキュリティ実践 http://www.microsoft.com/japan/msdn/enterprise/pag/securityguidance/PAGPractices0001.aspx インターネット インフォメーション サービス 6.0 の機能 http://www.microsoft.com/japan/windowsserver2003/iis/evaluation/features/default.mspx 変更箇所 (IIS 6.0) http://www.microsoft.com/technet/prodtechnol/windowsserver2003/ja/library/iis/7b037954-441d-4037-a111-94df7880c319.mspx?mfr=true ASP における重要な変更箇所 (IIS 6.0) http://www.microsoft.com/technet/prodtechnol/windowsserver2003/ja/library/iis/e1a77c5d-046e-4538-8d9d-b2996c3143d3.mspx?mfr=true ASP の新機能 (IIS 6.0) http://www.microsoft.com/technet/prodtechnol/windowsserver2003/ja/library/iis/143bec0c-f1f4-4a2a-936e-e16f0c3ca8d8.mspx?mfr=true ASP の新機能 http://technet2.microsoft.com/WindowsServer/ja/library/f56d7689-b1b4-4981-8591-f19d351425821041.mspx?mfr=true IIS 6.0 でアプリケーションを構成する (IIS 6.0) http://www.microsoft.com/technet/prodtechnol/windowsserver2003/ja/library/iis/f5fd1ab5-a47e-4151-9f04-986da38dca14.mspx?mfr=true アプリケーション プールの状態 (IIS 6.0) http://www.microsoft.com/technet/prodtechnol/windowsserver2003/ja/library/iis/c9b5db6f-874e-4ec9-93ed-1733367c117b.mspx?mfr=true ASP から ASP.NET 2.0 への移行 http://www.microsoft.com/japan/msdn/vs05/aspnet/migratingtoaspnet2.aspx IIS 7.0 Windows Vista 用 Web サーバーの新機能 http://msdn.microsoft.com/msdnmag/issues/07/03/IIS7/default.aspx?loc=jp 柔軟性と機能性を大幅に高めたIIS 7.0(前編) http://www.atmarkit.co.jp/fwin2k/winsv2008/04iis7_01/04iis7_01_01.html 柔軟性と機能性を大幅に高めたIIS 7.0(後編) http://www.atmarkit.co.jp/fwin2k/winsv2008/05iis7_02/05iis7_02_01.html Web/DB プログラミング徹底解説 http://keicode.com/iis/iis503.php
IIS のログ操作とかの資料 IIS Insider IIS 5.0 のログの操作 IIS 6.0 Monitor-データ収集の詳細 IIS 6.0 Monitor - データ収集ポリシー Internet Information Server (IIS) [INFO] IIS 6.0 での Web サイト管理について 309051 - IIS 5.0 での ASP のトラブルシューティング方法 Windows Server 2003 での Web サーバーのトラブルシューティング方法 Windows Server 2003 と Internet Information Services (IIS) 6.0 でのアプリケーションの分離構成 Internet Information Services 5.0 における Web サーバー チューニングの要領と技術 WEB サービスの提供 : IIS 6.0 で必要不可欠なセキュリティ管理 関連資料 : IIS 6.0 のセキュリティ セキュリティ ウォッチ : Microsoft から無償で提供されている 6 つのセキュリティ リソース IIS 6.0のFTPサーバでユーザー・フォルダを分離する(基本編) IIS 6.0のFTPサーバでユーザー・フォルダを分離する(Active Directory編) IIS を削除して再インストールした後、IIS マッピングを修復する方法 タイムアウト リファレンス 文字を拡張 Server.HTMLEncode garble PRB: Server.HTMLEncode は、 Unicode 文字と Double-Byte 文字セット データを壊れます。 FIX: メモリ使用増加と IIS 5.0 が ASP バッファリングが有効な場合、応答を停止します。 IIS での HTTP 401 エラーのトラブルシューティング FIX:Session_OnEnd()イベントは、 Service Pack 2 で Windows Server 2003 をインストールした後に、期待どおり ASP Web アプリケーションで発生しません。 HOW TO: Windows Server 2003 での Web サーバーのパフォーマンスの最適化 http://support.microsoft.com/default.aspx?scid=kb;ja;816517 IIS安全対策ガイド http://www.atmarkit.co.jp/fwin2k/operation/iissecurity/iissecurity_01.html Windows Server 2003 の RDS を構成する方法 http://support.microsoft.com/kb/837981/ja IEの「ネットワークの設定を自動検出する」機能とは? http://www.monyo.com/technical/windows/06.html IIS Insider - Internet Information Services に関してよく寄せられる質問と答え http://go.microsoft.com/?linkid=3452937 ■ コラム : WEB サービスの提供 - IIS 6.0 で必要不可欠なセキュリティ管理 http://go.microsoft.com/?linkid=3700639 ASP スクリプト コンポーネントの実装 http://www.microsoft.com/japan/msdn/library/default.asp?url=/japan/msdn/library/ja/script56/html/letimplasp.asp Internet Information Services (IIS) 6.0 http://www.microsoft.com/japan/technet/prodtechnol/windowsserver2003/technologies/webapp/iis/default.mspx [OFF2003] ASP を使用してクライアント側で表示する XML スプレッドシートを作成する方法 http://support.microsoft.com/default.aspx?scid=kb;ja;288130
IIS7, IIS7.5 で URL に + を含めたい場合  "%windir%\System32\inetsrv\config\applicationHost.config" ファイルを開いて  requestFiltering 要素に以下の記述を追加後、IIS を再起動。  <requestFiltering allowDoubleEscaping="true">  IIS 7. 0 でホストされている Web サイトをアクセスすると、エラー メッセージ:"HTTP エラーの 404.11-URL_DOUBLE_ESCAPED"  http://support.microsoft.com/kb/942076/ja  調べてませんが、「<」や「>」とかも通っちゃうかも?  ※ validateRequest を false にすると確実に通っちゃいます。
他のマシンの共有フォルダを認証を使って表示させたい場合に  IIS 7. 0 でホストされている Web サイトを参照すると、エラー メッセージ:「HTTP エラー 500.19-内部サーバー エラー」  http://support.microsoft.com/kb/942055/ja  UNC 仮想ディレクトリのパススルー認証を有効にする方法  http://support.microsoft.com/kb/214806/ja  IIS マネージャを使用して UNC 仮想ディレクトリへのパススルー認証を有効にする  http://support.microsoft.com/kb/332151/ja
修正パッチとか。  Windows 7 または Windows Server 2008 R2 を実行しているコンピューター上の  多数の小さなファイルを転送するときのパフォーマンスの低下  http://support.microsoft.com/kb/981208  Windows 7 または Windows Server 2008 R2 を実行しているコンピューターで  暗号化されたコンテンツを解読しようとすると、CryptDecrypt 関数が失敗します。  http://support.microsoft.com/kb/981118  エラー メッセージ負荷が高い Windows Server 2008 と Windows Vista の場合は停止:"Stop 0x00000050"  http://support.microsoft.com/kb/980135  Windows Server 2008 / 2008 R2 関連ドキュメント  http://technet.microsoft.com/ja-jp/windowsserver/ff627818.aspx  マイクロソフト セキュリティ アドバイザリ(973811) 認証に対する保護の強化  http://www.microsoft.com/japan/technet/security/advisory/973811.mspx  の副作用   KB982167 または KB982168適用後に「型を読み込めませんでした 」とエラーが出る場合   http://support.microsoft.com/kb/2262911  このへんから。   Windows Server 2008 R2 のサポート技術情報   http://support.microsoft.com/common/rss.aspx?rssid=14134&ln=ja   Windows Server 2008 のサポート技術情報   http://support.microsoft.com/common/rss.aspx?rssid=12925&ln=ja   Windows Server 2003 R2 のサポート技術情報   http://support.microsoft.com/common/rss.aspx?rssid=10394&ln=ja   Windows Server 2003 のサポート技術情報   http://support.microsoft.com/common/rss.aspx?rssid=3198&ln=ja   RSS フィード - 製品一覧   http://support.microsoft.com/selectindex/?target=rss
新しいプロトコル  net.tcp://      http://msdn.microsoft.com/ja-jp/library/ms734772(VS.85).aspx  net.pipe://     http://msdn.microsoft.com/ja-jp/library/ms788992.aspx  net.msmq://     http://msdn.microsoft.com/ja-jp/library/ms752246(VS.90).aspx  msmq.formatname://  http://msdn.microsoft.com/en-us/library/ms789008.aspx  .NET Framework 4 をセットアップすると、サイトに勝手に追加される?  よく分からないのでそのうち調べる、、、  Silverlight を使った時の双方向通信プロトコル、っぽい。   Part 2. Hello World WCF サーバの開発 - とあるコンサルタントのつぶやき - Site Home - MSDN Blogs   http://blogs.msdn.com/b/nakama/archive/2008/09/25/part-2-hello-world-wcf.aspx#comments
IIS7.5 利用時のサイト公開で、SSLを有効にして認証で Windows認証のみ有効、ディレクトリの参照を有効にした場合で アプリケーションプールの .NET Framework のバージョンを v2.0.50727 から v4.0.30319 に変更すると認証が通らなくなる・・・ バグっぽいなぁ
Microsoft Users | プログラミング☆簡単レシピ http://www.microsoft.com/japan/users/recipe/ すぐに使える インターネット・サーバー構築術  OSをセキュアに設定しよう  http://itpro.nikkeibp.co.jp/article/Windows/20051125/225168/?ST=tech_win  DNSを設定しよう  http://itpro.nikkeibp.co.jp/article/Windows/20051221/226582/?ST=tech_win  Webサーバーを構築しよう  http://itpro.nikkeibp.co.jp/article/Windows/20060203/228574/?ST=tech_win  Webアプリケーション・サーバーとして設定しよう  http://itpro.nikkeibp.co.jp/article/Windows/20060203/228579/?ST=tech_win  FTPサーバーをセットアップしよう  http://itpro.nikkeibp.co.jp/article/COLUMN/20060406/234708/?ST=tech_win  メール・サーバーをセットアップしよう  http://itpro.nikkeibp.co.jp/article/COLUMN/20060427/236452/?ST=tech_win IIS 6.0セットアップ・ガイド  「サーバーの役割管理」からウィザードに従ってインストールする  http://itpro.nikkeibp.co.jp/article/Windows/20050908/220826/?ST=tech_win  Webサイト公開までに最低限必要な設定に挑戦  http://itpro.nikkeibp.co.jp/article/Windows/20050908/220828/?ST=tech_win  イントラネットに公開するための,最低限必要なネットワーク設定  http://itpro.nikkeibp.co.jp/members/NT/WinInternet/20040312/1/?ST=tech_win  インターネットに公開するための,最低限必要なネットワーク設定  http://itpro.nikkeibp.co.jp/article/Windows/20050908/220830/?ST=tech_win ドメインの世界  独自ドメインを取ろう  http://itpro.nikkeibp.co.jp/article/Windows/20051114/224525/?ST=tech_win  gTLDとccTLD  http://itpro.nikkeibp.co.jp/article/Windows/20051221/226590/?ST=tech_win  高額取引ドメイン  http://itpro.nikkeibp.co.jp/article/Windows/20060210/228993/?ST=tech_win  よいドメインとは何か  http://itpro.nikkeibp.co.jp/article/COLUMN/20060420/235827/?ST=tech_win いまさら聞けないPerlのお役立ちワザ  WindowsでPerlを使うには処理系のインストールから  http://itpro.nikkeibp.co.jp/article/COLUMN/20050829/220194/?ST=tech_dev  ソースコード中の文字列を置換する  http://itpro.nikkeibp.co.jp/article/COLUMN/20050901/220432/?ST=tech_dev  大量のファイルを一気にリネームする  http://itpro.nikkeibp.co.jp/article/COLUMN/20050905/220595/?ST=tech_dev  QRコードで携帯電話に情報転送  http://itpro.nikkeibp.co.jp/article/COLUMN/20050909/220867/?ST=tech_dev
Microsoft,LinuxなどとのサーバーOS比較サイト 「Windows Server/Compare」を開設 http://itpro.nikkeibp.co.jp/article/NEWS/20070827/280309/ Webサーバ市場、マイクロソフトのIISがApacheを激しく追い上げ http://www.computerworld.jp/news/trd/74349.html