URLScan の使用
発行日 : 2008 年 6 月 5 日 (作業者 : iisteam (英語))
更新日 : 2009 年 2 月 19 日 (作業者 : iisteam (英語))
はじめに
URLScan v3.1 は、インターネット インフォメーション サービス (IIS) が処理する HTTP 要求の種類を制限するセキュリティ ツールです。URLScan は特定の HTTP 要求をブロックすることで、問題を引き起こす可能性のある要求がサーバー上で Web アプリケーションによって処理されるのを防ぎます。URLScan v3.1 では、クエリ文字列のスキャンや HTTP 要求の一部をスキャンするルールのカスタマイズなど、旧バージョンの v2.5 の数多くの機能がアップグレードおよび修正されています。URLScan v3.1 は、最新の Windows Server 2008 用 IIS 7.0 など IIS 5.1 以降で ISAPI フィルターとしてインストールされます。
URLScan の取得
x86 バージョンを Microsoft ダウンロード センターからダウンロードします (ここをクリック (英語))。
x64 バージョンを Microsoft ダウンロード センターからダウンロードします (ここをクリック)。
IIS7 セキュリティ フォーラムでツールに関するクエリを投稿します (ここをクリック)。
Wade Hilmoのブログ (英語) で URLScan v3.1 のブログ投稿を確認します。
URLScan の使用
ここでは、URLScan v3.1 の使用方法について簡単に説明します。URLScan v2.5 を使用していた場合は、「新機能」および「設定」セクションを必ず確認してください。質問または疑問がある場合は、「よく寄せられる質問」セクションを参照してください。お探しの情報が見つからない場合は、IIS.net の IIS7 security forums (英語) に投稿してください。
※日本語でのご質問は Internet Information Services 7.0 – 全般 フォーラムをご利用ください。
URLScan v3.1 の概要
URLScan v3.1 は もともと IIS Lockdown ツールの一部としてリリースされた URLScan v2.5 からのアップグレードです。URLScan v3.1 は旧バージョンと互換性があるため、旧バージョンの構成ファイルがある場合は、URLScan v3.1 でそれを使用できます (動作は同じです)。旧バージョンと同様に URLScan v3.1 も ISAPI フィルターであり、Urlscan.ini ファイルから構成を読み取り、(Urlscan.ini で列挙される) 特定の種類の要求が IIS で実行されるのを制限します。IIS Web サーバーの管理者は URLScan の構成を追加、変更、および拡張し、IIS で処理される HTTP 要求の種類をさらに制限できます。URLScan を使って異常な要求をフィルタリングすることで、これらの要求がアプリケーション コードに到達して、アプリケーションまたはサーバーに危害を加える可能性を防ぐことができます。URLScan v3.1 は Windows Server 2008 用 IIS 7.0 を含む IIS 5.1 以降にインストールできます。
URLScan v3.1 の機能
URLScan v3.1 は旧バージョン (URLScan v2.5) と同等の特徴と機能を維持しています。構成形式は同じですが、新機能に使用できるいくつかの追加セクションが含まれています。現在 URLScan v2.5 を使用している場合は、URLScan v3.1 で同じ Urlscan.ini 構成ファイルを使用できます。
新機能
- クエリ文字列、すべてのヘッダー、特定ヘッダー、URL またはこれらの組み合わせに対して、拒否ルールを個別に適用できるようになりました。
- 構成のグローバル DenyQueryString セクションで、クエリ文字列に対して、エスケープのないバージョンのクエリ文字列をチェックするオプションのある拒否ルールを追加できます。
- 構成のグローバル AlwaysAllowedUrls セクションで、URL に基づくすべてのチェックをバイパスする安全な URL を指定できます。この機能はポスト URLScan v3.0 ベータ版で追加されました。
- 構成のグローバル AlwaysAllowedQueryStrings セクションで、すべてのクエリ文字列チェックをバイパスする安全なクエリ文字列を指定できます。この機能はポスト URLScan v3.0 ベータ版以降に追加されました。
- エスケープ シーケンス (%0D %0A など) を拒否ルールで使用して、CRLF など印刷できない文字を含むシーケンスを拒否できるようになりました。
- それぞれ独自の構成とルール (Urlscan.ini) を持つ、複数のURLScan インスタンスをサイト フィルターとしてインストールできます。
- 構成 (Urlscan.ini) 変更通知が IIS のワーカー プロセスに伝達されるようになったため、構成の変更後にワーカー プロセスをリサイクルする必要がなくなりました。唯一の例外はログ設定です。
- 注釈ヘッダーで構成エラーの説明を表示する、W3C 拡張形式のログ。この機能はポスト URLScan v3.0 ベータ版以降に追加されました (ポスト URLScan v3.0 ベータ版には W3C 形式のログはありませんでした)。
URLScan v2.5 から移植された機能
URLScan v2.5 の機能の詳細については、Microsoft TechNet の記事 (英語) を参照してください (ここをクリック)。以下に、URLScan v2.5 の機能を簡単に要約します。
- HTTP 動詞、HTML エンコード、URI 拡張子、URL シーケンス、および要求のサイズに基づいて、IIS による要求の実行をブロックする機能。
- ログ ファイル ディレクトリを変更する機能。
- 最大 128 KB の長い URL (> 1024 バイト) をログする機能。
このセクションの内容
URLScan の設定前提条件 : Windows XP、Windows Server 2003、Windows Vista または Windows Server 2008。IIS バージョン 5.1、6.0 または 7.0 (プラットフォームによる)。インストール ステップ : プラットフォームに応じて x86 または x64 バージョンの URLScan v3.1 MSI インストーラーを実行します。完了後 ... |
作成日 : 2009 年 2 月 19 日 (作業者 : iisteam (英語)) |
一般的な URLScan シナリオここでは URLScan v3.1 の一般的な使用シナリオのリストを示し、Urlscan.ini 構成ファイルで使用するシナリオを有効にする方法を紹介します。要求の一部の文字列パターンを禁止するルールの作成。URLScan v3.1 に追加された新機能では... |
作成日 : 2009 年 2 月 19 日 (作業者 : iisteam (英語)) |
LogParser 2.2 を用いた URLScan 3.x ログのデータ マイニングマイクロソフトは、バージョン 3.1 の URLScan をリリースしました。このバージョンの優れた新機能の 1 つに、W3C 拡張ログ ファイル形式に準拠するログ ファイルがあります。これによって管理者は、URLScan の動作記録を一般的なログ ユーティリティを使って分析することができるということです... |
作成日 : 2009 年 2 月 19 日 (作業者 : robmcm(英語)) |
URLScan FAQこのセクションでは、URLScan についてよく寄せられる質問への回答を示します。Q :URLScan ログ ファイルはどこに格納されるのですか。A :既定では、x86 インストールと x64 インストールのどちらの場合も、%windir%\System32\Inetsrv\Urlscan\Logs に格納されます。Urlscan.ini ファイルには... |
作成日 : 2009 年 2 月 19 日 (作業者 : iisteam (英語)) |