Web Studio展開のセキュリティ保護

この記事では、Web Studioを展開する際にシステムセキュリティに影響を与える可能性のある構成領域について説明します。

注:

ユーザーのWebブラウザーとWeb Studio間の通信を保護するには、「Web StudioおよびDirectorでTLSを有効にする」を参照してください。

IIS設定の構成

セキュリティのベストプラクティスとして、Web Studioを制限されたIIS構成で構成します。

1. 要求フィルタリングの制限:

   • Web StudioをDirectorとともにインストールすると、IISは以下のフィルタリングルールで自動的に構成されます。

   • Web Studioをスタンドアロンコンポーネントとしてインストールする場合は、IISを手動で次のように構成します。

     • 以下のファイル名拡張子のみを許可します:

       ., .aspx, .css, .eot, .html, .ico, .js, .png, .svc, .svg, .jpg, .gif, .json, .woff, .woff2, .ttf

       詳しくは、こちらのMicrosoftの記事を参照してください。

     • 以下のHTTP動詞のみを許可します:

       GET, POST, HEAD

       詳しくは、こちらのMicrosoftの記事を参照してください。

2. 不要なハンドラーマッピングを削除します。

   Web StudioにはStaticFileハンドラーマッピングのみが必要です。その他はすべて削除してください。詳細については、このMicrosoftの記事を参照してください。

3. 未使用のISAPIフィルターを削除します。

   Web StudioはISAPIフィルターを必要としません。すべて削除できます。詳細については、このMicrosoftの記事を参照してください。

   注：

   ASP.NET requires the ISAPI Windows feature.

4. C:\inetpub\wwwrootから以下のデフォルトのIISランディングページファイルを削除します。

   • iisstart.htm
   • welcome.png

5. .NET信頼レベルが完全信頼に設定されたままであることを確認してください。この設定はインストール中に自動的に構成され、Web Studioが正しく機能するために必要です。変更しないでください。

未使用のアプリケーションプール権限を削除する

インストール中に、Web Studioアプリケーションプールには以下のユーザー権限が付与されます。

• サービスとしてログオン
• プロセスのメモリクォータを調整
• セキュリティ監査を生成
• プロセスレベルトークンを置き換える

これらの権限はIISアプリケーションプールにとって標準的なものです。Web Studioはこれらを使用しないため、削除できます。

Web Studioの展開を分離する

Web Studioと同じWebドメイン（ドメイン名とポート）に任意のWebアプリケーションを展開できます。ただし、それらのWebアプリケーションにセキュリティ上のリスクがある場合、Web Studioの展開のセキュリティが低下する可能性があります。より高度なセキュリティ分離が必要な場合は、Web Studioを他のサードパーティアプリケーションとは別のWebドメインに展開することをお勧めします。