FrontPage Server Extensions に関するアップグレードの問題
公開日: 2007 年 11 月 16 日 (作業者: pharr (英語))
更新日: 2008 年 2 月 27 日 (作業者: pharr (英語))
はじめに
以前のバージョンの IIS を実行しているコンピューターを Windows Vista® または Windows Server® 2008 にアップグレードする場合、そのコンピューターに FrontPage Server Extensions (FPSE) がインストールされていると、IIS Web サービスは無効になります。 この動作は、FPSE が Web サイトのメタデータを保持しているファイルに、不当なアクセスが発生することを防ぐためのセキュリティ対策です。 FrontPage Server Extensions は更新されていませんが、現在でも IIS.NET でダウンロード (英語) し、Windows Vista および Windows Server 2008 で使用できます。 ただし、Web サイトのメタデータやコンテンツ関連情報を格納しているファイルやフォルダーは、アップグレード中に削除されません。 この記事では、IIS 7.0 Web サーバーで Web サービスを有効にするにあたって、手動で削除またはセキュリティで保護する必要がある、さまざまなファイルやフォルダーについて説明します。
注: ここでは、FrontPage Server Extensions によって作成および使用される既定のフォルダーやファイルに対する潜在的な脅威について説明します。 管理者や作成者がこれらのファイルやフォルダーの内容を変更している場合、より大きなリスクが発生する可能性があります。 管理者は常に環境を分析して、脅威が存在していないかどうかを確認する必要があります。
脅威のレベルと推奨されるアクション
潜在的なセキュリティ リスクについて説明する場合、このドキュメントでは次のような脅威のレベルを使用しています。
脅威のレベル |
説明 |
高 |
セキュリティに対する脅威が高である場合、一覧に示されているフォルダーやファイルをセキュリティで保護したり、削除したりできないと、機密情報に対する不正なアクセスが行われる可能性があります。 管理作業では、常に、このドキュメントで推奨されているアクションに従ってください。 |
中 |
脅威のレベルが中である場合、一覧に示されているフォルダーやファイルに、管理者が公開したくない情報が含まれている可能性があります。 管理作業では、環境を分析し、通常、このドキュメントで推奨されているアクションに従ってください。 |
低 |
脅威が低である場合、一覧に示されているフォルダーやファイルには、通常、一般に公開されたアクセスで安全な情報が含まれています。 このため、一般的に、追加のアクションを実行する必要はありません。 管理作業では、コンテンツを分析し、このドキュメントでは説明されていない脅威が存在していないか確認してください。 |
管理者向けのアクションを推奨する場合、このドキュメントでは次のような推奨の定義を使用します。
推奨されるアクション |
説明 |
削除 |
一覧に示されているフォルダーやファイルを削除する必要があります。 |
セキュリティによる保護 |
一覧に示されているフォルダーやファイルをセキュリティで保護する必要があります。 IIS 管理ツールによってパスの読み取りアクセス権を削除するか、コンテンツを Web サイトのコンテンツ フォルダー以外の安全な場所にコピーした後、Web サイトからコンテンツを削除するなど、通常はフォルダー レベルで対応できます。 |
なし |
通常、追加のアクションを実行する必要はありません。 |
FrontPage のフォルダーとファイルのセキュリティ保護
FrontPage Web サイトにあるフォルダー
次の表に、FrontPage Server Extensions で使用されるフォルダーと推奨されるアクションの一覧を示します。 この表に示されているフォルダーが追加の機能で使用されていた場合は、常にそれらのフォルダーを適切にセキュリティで保護する必要があります。
フォルダー |
脅威 |
アクション |
メモ |
_derived |
低 |
なし |
FrontPage は、生成された画像など、派生ファイルをこのフォルダーに保存します。 |
_fpclass |
中 |
セキュリティによる保護 |
一般に公開されている FrontPage コードが格納されていますが、ユーザーがコードを変更している場合はセキュリティで保護する必要があります。 |
_overlay |
低 |
なし |
FrontPage は、生成された画像など、派生ファイルをこのフォルダーに保存します。 |
_private |
高 |
セキュリティによる保護 |
FrontPage Server Extensions は、通常、機密データ ファイルをこのフォルダーに保存するので、参照を禁止するように構成します。 |
_vti_bin |
高 |
削除 |
これは、FrontPage Server Extensions 実行可能ファイルの仮想ディレクトリです。 IIS のセキュリティ設定によって、このパスにある不明なコードの実行はブロックされていますが、このパスでは実行可能ファイルの動作を許可するように構成されているので、存在する場合は Web サイトの構成から削除する必要があります。 |
_vti_bot |
中 |
セキュリティによる保護または削除 |
このフォルダーは、通常、FrontPage 用ではなく、ユーザーが生成した FrontPage Web ボットが格納されています。 管理作業では、このフォルダーにあるファイルを調べて、該当する場合はセキュリティで保護または削除する必要があります。 |
_vti_cnf |
高 |
セキュリティによる保護または削除 |
FrontPage Server Extensions は、通常、機密データ ファイルをこのフォルダーに保存するので、削除するか、参照を禁止するように構成します。 潜在的な脅威は、ドメイン/ユーザー名やその他のメタデータの漏えいです。 |
_vti_log |
中 |
セキュリティによる保護または削除 |
FrontPage Server Extensions は、通常、機密データ ファイルをこのフォルダーに保存するので、削除するか、参照を禁止するように構成します。 潜在的な脅威は、ドメイン/ユーザー名やその他の作成者に関連するアクティビティの漏えいです。 |
_vti_pvt |
高 |
セキュリティによる保護または削除 |
このフォルダーには、Web サイトのさまざまなメタデータを格納する複数のファイルが保存されるので、セキュリティで保護する必要があります。 |
_vti_script |
中 |
なしまたは削除 |
このフォルダーは、FrontPage で、インデックス サーバーを使用して Web サイトを検索するスクリプト用に使用されます。 インデックス サーバーによる検索を構成する管理者は、このフォルダーを保持することも、削除することもできます。 潜在的な脅威は、IDQ ファイルに示されるサーバー上の物理ファイル パスの漏えいです。 |
_vti_shm |
低 |
削除 |
このフォルダーは存在しているべきではなく、FrontPage 1.x から残っているものなので、削除しても安全です。 |
_vti_txt |
高 |
削除 |
このフォルダーには、古い FrontPage WAIS 検索用のテキスト インデックスおよびカタログが保存されています。 それ以降のバージョンの FrontPage ではインデックス サーバーのみを使用していたので、このフォルダーを削除しても安全です。 この潜在的な脅威は、Web サイト内のファイルの内容の漏えいです。 |
cgi-bin |
中 |
セキュリティによる保護または削除 |
このフォルダーは FrontPage 用に存在しているべきではなく、初期のバージョンの FrontPage から残っているものです。 管理作業では、このフォルダーにあるファイルを調べて、該当する場合はセキュリティで保護または削除する必要があります。 潜在的な脅威は、レガシー FrontPage またはその他の CGI アプリケーションが、安全ではなくなった可能性があるコンテンツ領域内で実行できることです。 |
fpdb |
高 |
セキュリティによる保護 |
FrontPage はこのフォルダにデータベースを保存するので、参照を禁止するように構成されている必要があります。 潜在的な脅威は、Web サイト内のデータベースへの不正なアクセスです。 |
images |
低 |
なし |
FrontPage はこのフォルダーに画像ファイルを保存します。 |
_vti_pvt フォルダーにあるファイル
次の表では、FrontPage Web サイトの _vti_pvt フォルダーにあるファイルの一覧を示します。 FrontPage Server Extensions によって、これらのファイルに Web サイトのさまざまなメタデータが保存されるため、通常、フォルダー レベルでセキュリティで保護するか、削除する必要があります。
ファイル |
脅威 |
アクション |
メモ |
_x_browsers.xml |
低 |
なし |
Web ブラウザーの使用状況の情報が格納されます。 |
_x_domains.xml |
低 |
なし |
ドメインの使用状況の情報が格納されます。 |
_x_pagehits.xml |
低 |
なし |
個々のページの使用状況の情報が格納されます。 |
_x_systems.xml |
低 |
なし |
オペレーティング システムの使用状況の情報が格納されます。 |
_x_todo.htm |
高 |
削除 |
ユーザーの To Do リストが格納されます。 |
_x_todoh.htm |
高 |
削除 |
ユーザーの To Do 履歴が格納されます。 |
_x_users.xml |
高 |
削除 |
特定ユーザーの使用状況の情報が格納されます。 |
access.cnf |
高 |
削除 |
FrontPage Web サイトに対するアクセス情報が格納されます。 |
botinfs.cnf |
低 |
なし |
FrontPage Web サイト用の FrontPage WebBot の情報が格納されます。 |
bots.cnf |
低 |
なし |
FrontPage Web サイト用の FrontPage WebBot の情報が格納されます。 |
deptodoc.btr |
中 |
削除 |
ドキュメントの依存関係データベースです。削除しても安全です。 |
doctodep.btr |
中 |
削除 |
ドキュメントの依存関係データベースです。削除しても安全です。 |
frontpg.lck |
低 |
削除 |
ロック ファイルです。削除しても安全です。 |
linkinfo.btr |
中 |
削除 |
ドキュメントの依存関係データベースです。削除しても安全です。 |
service.cnf |
高 |
セキュリティによる保護 |
FrontPage Web サイトのメタデータが格納されます。 |
service.lck |
低 |
削除 |
ロック ファイルです。削除しても安全です。 |
services.cnf |
低 |
なし |
FrontPage サブサイト情報が格納されます。 |
structure.cnf |
低 |
なし |
FrontPage Web サイトの構造が格納されます。 |
svcacl.cnf |
中 |
削除 |
FrontPage Web サイトのエンドユーザーのアクセス許可に関する情報 (サブサイトに固有のアクセス許可や IP アドレスの制限があるかどうかなど) が格納されます。 |
usage.lck |
低 |
削除 |
ロック ファイルです。削除しても安全です。 |
writeto.cnf |
高 |
削除 |
書き込み可能なファイル (フォーム ハンドラーの結果ファイルなど) のリストが格納されます。 |
FrontPage Web サイトのルート フォルダーにあるファイル
次の表では、FrontPage Web サイトのルート フォルダーにあるファイルの一覧を示します。
ファイル |
脅威 |
アクション |
説明 |
_vti_inf.html |
低 |
削除 |
このファイルには、FrontPage Server Extensions 実行可能ファイルへの仮想パスが格納されます。FrontPage Server Extensions と通信するクライアントによって使用されます。 |
postinfo.html |
低 |
削除 |
このファイルには、Windows Web 発行ウィザードの情報が格納されます。 |
まとめ
この記事では、Windows Vista および Windowa Server 2008 用の FrontPage Server Extensions 2002 の入手先を示しました。 また、FrontPage のインストールに関連するデータの詳細や、このデータを適切にセキュリティで保護する方法についても説明しました。