IIS Lockdown Tool に関しての質問

回答

• 

  

  0

  サインインして投票

  インストール作業をしているユーザアカウントが「ユーザAAA」とか、IISの実行ユーザが「ユーザAAA」になってたりしませんか？

   

  2008年12月2日 11:00
• 

  

  0

  サインインして投票

  初めまして。

  SAIKOITO さんと同じところに勤務しています。

  昨日２人でずっと悩んでいましたので、縋る思いで書き込みをしてもらいました。

   

  野良さん、ご返信ありがとうございます。

   

  野良 さんからの引用

  インストール作業をしているユーザアカウントが「ユーザAAA」とか、IISの実行ユーザが「ユーザAAA」になってたりしませんか？

   

  まず、インストール作業を行ったユーザは「administrator」です。

  IISサービスの実行ユーザは確認したところ「ローカル システム アカウント」でした。

   

  その他に必要な情報があれば確認させて頂きます。

  以上、宜しくお願い致します。

   

  2008年12月3日 1:12
• 

  

  0

  サインインして投票

  はじめまして。だどさんと申します。

   

  おそらくユーザー AAA が、IUSER か IWAM かのどちらかなのではないかと思われます。

   

  IUSER ではないとのことですので、WAMUserName が AAA に設定されていると思われます。

  adsutil.vbs 等で WAM ユーザー名を確認されてみてはいかがでしょうか？

   

  ちなみに、デフォルトの設定では、以下のようにしますと WAM ユーザーを確認することが可能です。

   

  C:\Inetpub\AdminScripts> cscript adsutil.vbs GET /W3SVC/WAMuserName

   

  お役に立てましたら幸いです。

   

  --------------------------------------------

  だどさん http://keicode.com/

   

  2008年12月3日 1:58
• 

  

  0

  サインインして投票

  ご返信ありがとうございます。いぬねこです。

   

  だどさん さんからの引用

  おそらくユーザー AAA が、IUSER か IWAM かのどちらかなのではないかと思われます。   IUSER ではないとのことですので、WAMUserName が AAA に設定されていると思われます。 adsutil.vbs 等で WAM ユーザー名を確認されてみてはいかがでしょうか？   ちなみに、デフォルトの設定では、以下のようにしますと WAM ユーザーを確認することが可能です。   C:\Inetpub\AdminScripts> cscript adsutil.vbs GET /W3SVC/WAMuserName

   

  確認致しました。

  　　WAMUserName                     : (STRING) "IWAM_（ホスト名）"

   

  あと、IUSRも検索しました結果、以下のようになっています。

  　　AnonymousUserName               : (STRING) "IUSR_（ホスト名）"

   

  ユーザー AAAに関する記述はありませんでした。

   

  もう少し調査を続行致します。

  また何かあればご教授下さいますよう、宜しく御願い致します。

  2008年12月3日 2:39
• 

  

  0

  サインインして投票

  お手数を取らせてしまい申し訳ありません。

   

  それでは、"コンポーネントサービス スナップイン" を開き、IIS 系の COM+ アプリケーションの実行アカウントがどのようになっているか、ご確認いただけますでしょうか？

   

  コンポーネントサービス、スナップインを開き、コンピュータ > マイコンピュータ > COM+ Application と下りてきますと、IIS という名前から始まる COM+ アプリケーションが登録されていると思います。それらのプロパティを開き、Identity を確認していただけますか？

   

  よろしくお願いします。

   

  ＃今、手元に IIS5 の環境が無いのでこれでだめなら環境を作ります・・・（汗）

   

  -----------------------------------------

  だどさん http://keicode.com/

   

   

   

  2008年12月3日 2:49
• 

  

  0

  サインインして投票

  こちらこそお手数おかけして申し訳ありません。

   

  だどさん さんからの引用

  それでは、"コンポーネントサービス スナップイン" を開き、IIS 系の COM+ アプリケーションの実行アカウントがどのようになっているか、ご確認いただけますでしょうか？   コンポーネントサービス、スナップインを開き、コンピュータ > マイコンピュータ > COM+ Application と下りてきますと、IIS という名前から始まる COM+ アプリケーションが登録されていると思います。それらのプロパティを開き、Identity を確認していただけますか？   よろしくお願いします。   ＃今、手元に IIS5 の環境が無いのでこれでだめなら環境を作ります・・・（汗）

   

  確認致しました。以下に列挙させて頂きます。

   

  ・IIS In-Process Applications
  全体が選択できない状態で「対話ユーザー - 現在ログオンしているユーザ」のラジオボタンがオン

  ・IIS Out-Of-Process Pooled Applications
  このユーザーが選択されている状態で、ユーザーに「IWAM_(ホスト名)」が入力されている

  ・IIS Utilities

  全体が選択できない状態で「対話ユーザー - 現在ログオンしているユーザ」のラジオボタンがオン

   

  何度も御願いして申し訳ありません。

  以上、宜しく御願い致します。

  2008年12月3日 3:06
• 

  

  0

  サインインして投票

  私の環境でもユーザーを作り試してみました。

   

  やはり IIS の匿名ユーザーとして登録されているものが、Web Anonymous Users に登録されますね。

  （IWAM は Web Applications というグループに入るのですね。失礼しました）

   

  しつこいようですが、以下の方法で AAA が匿名ユーザーとして登録されていないか、ご確認いただけますでしょうか。

   

  (1) デフォルトの匿名ユーザーの確認方法

   

  C:\Inetpub\AdminScripts>cscript adsutil.vbs GET /W3SVC/AnonymousUserName
  Microsoft (R) Windows Script Host Version 5.6
  Copyright (C) Microsoft Corporation 1996-2001. All rights reserved.

  AnonymousUserName               : (STRING) "IUSR_KEISUKEW2K"

   

  (2) サイト毎の匿名ユーザーの確認方法

   

  まずはサイト番号を知る必要があります。

   

  C:\Inetpub\AdminScripts>cscript adsutil.vbs ENUM /P /W3SVC
  Microsoft (R) Windows Script Host Version 5.6
  Copyright (C) Microsoft Corporation 1996-2001. All rights reserved.

  [/W3SVC/Info]
  [/W3SVC/1]
  [/W3SVC/Filters]
  [/W3SVC/2]

   

  上記のように、ENUM して W3SVC の後に番号があるものをひかえておきます。

  上記の例では １ と ２ がサイト番号です。

   

  それぞれのサイトに対して以下のように確認します。

   

  C:\Inetpub\AdminScripts>cscript adsutil.vbs GET /W3SVC/1/ROOT/AnonymousUserName
  Microsoft (R) Windows Script Host Version 5.6
  Copyright (C) Microsoft Corporation 1996-2001. All rights reserved.

  AnonymousUserName               : (STRING) "BBB"   <-- もしサイト毎の設定があればこのように出てきます。

   

  C:\Inetpub\AdminScripts>cscript adsutil.vbs GET /W3SVC/2/ROOT/AnonymousUserName
  Microsoft (R) Windows Script Host Version 5.6
  Copyright (C) Microsoft Corporation 1996-2001. All rights reserved.

  The parameter "AnonymousUserName" is not set at this node. <-- サイト毎の設定が無ければこのように出てきます。

   

  全てのサイト番号に対して上記を繰り返し、匿名ユーザーとして AAA が見つかればよいのですが・・・ いかがでしょうか？

   

  尚、IIS Lockdown Tool は %SYSTEMROOT%\System32\inetsrv に、oblt-log.log と oblt-rep.log というログを残すはずです。上記で AAA が見つからない場合、それらのログに何か手がかりがないか確認されると良いのではないでしょうか。

   

   

  お役に立てましたら幸いです。

   

  ---------------------------------------------------

  だどさん http://keicode.com/

   

  2008年12月3日 10:58
• 

  

  0

  サインインして投票

  こんにちは、saikoito＠病院です。

  野良様、たどさん様、詳細なご回答ありがとうございます。

  返事が遅くなってしまい申し訳ありません。

  いぬねこさん、ご協力感謝です。

   

  だどさん さんからの引用

  私の環境でもユーザーを作り試してみました。   やはり IIS の匿名ユーザーとして登録されているものが、Web Anonymous Users に登録されますね。 （IWAM は Web Applications というグループに入るのですね。失礼しました）   しつこいようですが、以下の方法で AAA が匿名ユーザーとして登録されていないか、ご確認いただけますでしょうか。   (1) デフォルトの匿名ユーザーの確認方法 (2) サイト毎の匿名ユーザーの確認方法   全てのサイト番号に対して上記を繰り返し、匿名ユーザーとして AAA が見つかればよいのですが・・・ いかがでしょうか？   尚、IIS Lockdown Tool は %SYSTEMROOT%\System32\inetsrv に、oblt-log.log と oblt-rep.log というログを残すはずです。上記で AAA が見つからない場合、それらのログに何か手がかりがないか確認されると良いのではないでしょうか。

   

  環境まで用意して頂けたのですね。お手数をおかけして申し訳ありません。

  今日は病院で検査中のため、明日上記の方法で確認させてもらいます。

   

  もし、上記の方法で確認がとれた場合でも、IISの実行ユーザでもないユーザAAAのみが

  匿名ユーザになる根拠が理解できません。ユーザBBB、CCCも同じ結果だったら納得がいくのですが・・・

  どこかにACLが入っているのかもしれませんね。

  WEBルートのNTFS権限等も調べてご報告させて頂きます。

   

  以上、よろしくお願い致します。

   

   

  2008年12月4日 2:14
• 

  

  0

  サインインして投票

  どうぞよろしくお願いします。

   

  SAIKOITO さんからの引用

  もし、上記の方法で確認がとれた場合でも、IISの実行ユーザでもないユーザAAAのみが 匿名ユーザになる根拠が理解できません。ユーザBBB、CCCも同じ結果だったら納得がいくのですが・・・

   

  ちなみに、この部分に関しましては、AAA が上記メタベースに設定されていれば、匿名ユーザーとして実際に使われていることになります。（なぜ AAA が設定されていたかはわかりません。おそらく誰かが設定したのでしょう）

   

  例えば IIS のサービスの実行ユーザー (プロセスのプライマリトークン) が LocalSystem だったとしても、ユーザーが認証されていない時にスクリプトを実行するときには、メタベースに設定された匿名ユーザに偽装してスクリプトを実行することになります。したがってスクリプトのアクセス権限は LocalSystem レベルではなく AAA  レベルになります。これはセキュリティを向上させるた目の方法のひとつです。

   

  ＃この部分に突っ込むのでしたら別のスレッドでやりましょう

   

  では、結果をお待ちしております。設定されていると良いですね。

   

  お役に立てましたら幸いです。

   

  ------------------------------------------

  だどさん http://keicode.com/

   

  2008年12月4日 2:52
• 

  

  0

  サインインして投票

   

  ご返信遅くなりました。いぬねこです。
  以下に出力結果を書かせて頂きます。

  だどさん さんからの引用

  (1) デフォルトの匿名ユーザーの確認方法

  C:\Inetpub\AdminScripts>cscript adsutil.vbs GET /W3SVC/AnonymousUserName
  Microsoft (R) Windows Script Host Version 5.1 for Windows
  Copyright (C) Microsoft Corporation 1996-1999. All rights reserved.

  AnonymousUserName               : (STRING) "IUSR_(ホスト名)"

  だどさん さんからの引用

  (2) サイト毎の匿名ユーザーの確認方法 まずはサイト番号を知る必要があります。

  C:\Inetpub\AdminScripts>cscript adsutil.vbs ENUM /P /W3SVC
  Microsoft (R) Windows Script Host Version 5.1 for Windows
  Copyright (C) Microsoft Corporation 1996-1999. All rights reserved.

  [/W3SVC/Info]
  [/W3SVC/1]
  [/W3SVC/Filters]
  [/W3SVC/2]
  [/W3SVC/3]

  
  

  だどさん さんからの引用

  それぞれのサイトに対して以下のように確認します。

  C:\Inetpub\AdminScripts>cscript adsutil.vbs GET /W3SVC/xx/ROOT/AnonymousUserName
  Microsoft (R) Windows Script Host Version 5.1 for Windows
  Copyright (C) Microsoft Corporation 1996-1999. All rights reserved.

  The parameter "AnonymousUserName" is not set at this node.

  ３サイトとも見つからない状態でした。（コマンドのサイト番号をxxとしております）

  
  

  だどさん さんからの引用

  尚、IIS Lockdown Tool は %SYSTEMROOT%\System32\inetsrv に、oblt-log.log と oblt-rep.log というログを残すはずです。上記で AAA が見つからない場合、それらのログに何か手がかりがないか確認されると良いのではないでしょうか。

  最初のほうに以下のような出力があり、ユーザー「AAA」がグループ「Web Anonymous Users」に追加されたことが
  分かりますが、なぜこのユーザーだけなのかが分かりません。

  　　→Added user 'AAA' to local group 'Web Anonymous Users'.

  
  ちょっと困った結果が出てしまいました。
  もう少し違うポイントから考えてみないといけないかもしれません。

  無い頭で頑張ってみたいと思いますので、もし他に注意するべき点などがあれば
  ご教授御願い致します。また、色々とお手数お掛けして申し訳ありません。

  以上、宜しく御願い致します。
  

  2008年12月5日 4:59
• 

  

  0

  サインインして投票

  こんにちは。

   

  残念な結果ですね。。。

   

  ちなみに、確認なのですが、この環境で今 Lockdown Tool を動かしても本当に再現するんですよね？

  （ツールのインストール・再インストール等を繰り返して、IIS の設定が元に戻ってしまっているということはないですよね？）

   

  まず、これが確認事項の一つです。

   

  二つ目は、あまり期待感がもてないのですが、

   

  > cscript adsutil.vbs ENUM_ALL  > foo.txt

   

  等として、メタベースの内容をダンプしてみて、AAA が他にどこかに入っていることはありませんか？

   

  ちなみに、SSL が設定されていると ENUM_ALL の結果が途中で切れてしまうかもしれませんが・・・。

  （そのために前回これをお願いしませんでした）

   

  以上、よろしくお願いします。

   

  ------------------------------------------

  だどさん http://keicode.com/

   

   

   

   

  2008年12月5日 6:04
• 

  

  0

  サインインして投票

  こんにちは、saikoitoです。

  先週はインフルエンザの可能性もあり検査を受けていました。

  色々とご教授いただき誠にありがとうございます。

   

  だどさん さんからの引用

  ちなみに、確認なのですが、この環境で今 Lockdown Tool を動かしても本当に再現するんですよね？ （ツールのインストール・再インストール等を繰り返して、IIS の設定が元に戻ってしまっているということはないですよね？）     二つ目は、あまり期待感がもてないのですが、 > cscript adsutil.vbs ENUM_ALL  > foo.txt 等として、メタベースの内容をダンプしてみて、AAA が他にどこかに入っていることはありませんか？

   

  ご指摘のIISの設定は問題ありませんでしたが・・・

  二つ目のコマンドを実行したところユーザAAAは、ASPファイル毎に匿名ユーザが設定されていました。

   

  いぬねこさんも含め、運用の仕事をしています。

  しかしながら、開発側が提出した設定資料を元に運用、管理を行なっているため、

  紙ベースの資料が全てなのです。今回、IISの設定資料には匿名ユーザの記述はなく

  ファイル毎の確認を怠ってしまいご迷惑をお掛けしました。

   

  これで開発メンバーもふまえて話が進めていけると思います。

  また何かありましたらご報告させていただきますね。

  ご協力いただきありがとうございました。

  2008年12月8日 1:31
• 

  

  0

  サインインして投票

  こんにちは。

   

  ファイル毎の設定でしたか・・・。確かにあまり設定することのない項目ですよね。私もそこまで気が回りませんでした。

  ENUM_ALL が役に立ったようでよかったです。

   

  こちらこそ勉強になりました。ありがとうございました。

   

  PS. もし役に立った回答がありましたら、回答マークだけ付けておいていただけますか？

   

  -------------------------------------------

  だどさん http://keicode.com/

   

   

   

  2008年12月8日 1:57
• 

  

  0

  サインインして投票

  こんにちは、saikoitoです。
  再度、質問させてください。

   

  匿名アクセスの設定を変更することはできないと思います。
  （現時点でシステム稼動しておりOKが出るとは思えない）
  そこで、最初の質問時に記載しました通り、Web Anonymous Users グループから
  ユーザAAAを削除する方針で進めています。
  

  IIS Lockdown Tool　インストール時にのみ匿名ユーザ扱いでWeb Anonymous Users グループに
  登録されるだけだと認識しています。（oblt-log.log と oblt-rep.log が存在するため）

   

  が、IIS Lockdown Tool　がどういう動きをするのかが心配です。
  再起動や他の要因で、削除したユーザが元に戻されるような事があれば意味がないですよね。
  Web Anonymous Users グループに登録されるのはインストール時だけという確証がほしいのですが
  どこにも文献がないので報告書の提出をどうするか悩んでおります。
  oblt-log.log と oblt-rep.log が存在するからと説明できれば簡単な話なのですが、

  上司が納得するかが難題です。。。

  何か参考になるものがあれば教えてもらえないでしょうか。

   

  2008年12月8日 4:44
• 

  

  0

  サインインして投票

  こんにちは。

   

  ご認識の通りだと思います。 IIS Lockdown Tool は IIS をロックダウンするツールで、

  ツール実行時にのみ設定を行うものです。つまり、常に IIS をモニターするような

  ツールではありません。

   

  # http://www.microsoft.com/technet/security/tools/locktool.mspx

  # こちらにテンプレートが用意されていると書いてあるのはそういうことだと思います。

  # 実際に試しましても特にユーザーを入れなおすようなことはありませんし。

   

  匿名ユーザーではないユーザーが Web Anonymous Users グループに入ったわけでもありませんし、

  今回の動作になんら問題はないのではないでしょうか。

   

  ただ、残念ながら私も、ユーザーを削除しても再度登録することはない、などと明記した文書は

  見つけることは出来ませんでした。そういう文書を入手するには MS のサポートに問い合わせる

  他ないように思います。

   

  -----------------------------------------

  だどさん http://keicode.com/

  2008年12月8日 7:05
• 

  

  0

  サインインして投票

  こんにちは。saikoitoです。

  早速のご回答ありがとうございます。

   

  やはり資料は存在しませんでしたか。

  外注契約なもので対応できるかわかりませんが

  ここのお客さんは、プラチナサポート契約を結んでないようです。

  別の方法で対処しようかと思います。

   

  今回の経緯をお話しますと・・・

  運用のメンバーでIISログを調査していたところ、外部からアタックがあったので

  IIS Lockdown Tool　を導入する提案をしました。

   

  IIS Lockdown Tool　を入れた事によりユーザAAAは、Web Anonymous Users グループになり

  実行権限を失ったことをプロパと開発メンバーに周知させる必要があります。

  別ユーザ"AAA2"を作成し、Administrators　グループ配下に設定しタスク実行のみできるようにすれば

  問題ないかと思っています。

   

  この度は色々とご教授いただき誠にありがとうございました。

  また何かございましたら宜しくお願い致します。

   

  2008年12月8日 8:28
• 

  

  0

  サインインして投票

  なるほど、そういう経緯なのですね。

   

  その設定で Web アプリケーションが実行可能なのでしたら、

  匿名ユーザーに設定されていた AAA の権限が低下した分、よりセキュアになった、

  ということができますね。最小の権限のユーザーに偽装して、Web アプリケーション

  を実行する、というのが基本ですから。

   

  こちらこそ、今後もどうぞよろしくお願いします。

   

  # 本件については回答マークを設定していただけるとスレッドが見やすくなりますので、

  # 良いかと思います。そちらも、どうぞよろしくお願いします。

   

  ----------------------------------------

  だどさん http://keicode.com/

   

  2008年12月8日 8:49