Web Studio展開のセキュリティ保護

この記事では、Web Studioを展開する際にシステムセキュリティに影響を与える可能性のある構成領域について説明します。

注：

ユーザーのWebブラウザーとWeb Studio間の通信を保護するには、Web StudioおよびDirectorでTLSを有効にするを参照してください。

IIS設定の構成

セキュリティのベストプラクティスとして、Web Studioを制限されたIIS構成で構成します。

1. 要求フィルタリングを制限する：

   • Web StudioをDirectorとともにインストールすると、IISは以下のフィルタリングルールで自動的に構成されます。

   • Web Studioをスタンドアロンコンポーネントとしてインストールする場合は、IISを手動で次のように構成します：

     • 以下のファイル名拡張子のみを許可します：

       ., .aspx, .css, .eot, .html, .ico, .js, .png, .svc, .svg, .jpg, .gif, .json, .woff, .woff2, .ttf

       詳細については、こちらのMicrosoft記事を参照してください。

     • 以下のHTTP動詞のみを許可します：

       GET, POST, HEAD

       詳細については、こちらのMicrosoft記事を参照してください。

2. 不要なハンドラーマッピングを削除します。

   Web Studio には StaticFile ハンドラーマッピングのみが必要です。その他はすべて削除してください。詳細については、こちらの Microsoft の記事を参照してください。

3. 未使用の ISAPI フィルターを削除します。

   Web Studio には ISAPI フィルターは不要です。すべて削除できます。詳細については、こちらの Microsoft の記事を参照してください。

   注:

   ASP.NET には、ISAPI Windows の機能が求められます。

4. C:\inetpub\wwwroot から以下のデフォルトの IIS ランディングページファイルを削除します。

   • iisstart.htm
   • welcome.png

5. .NET Trust Level が Full Trust に設定されたままであることを確認してください。この設定はインストール中に自動的に構成され、Web Studio が正しく機能するために必要です。変更しないでください。

未使用のアプリケーションプール権限を削除する

インストール中に、Web Studio アプリケーションプールには以下のユーザー権限が付与されます。

• サービスとしてログオン
• プロセスのメモリクォータを調整
• セキュリティ監査を生成
• プロセスレベルトークンを置き換える

これらの権限はIISアプリケーションプールにとって標準的なものです。Web Studioはこれらを使用しないため、削除できます。

Web Studio展開を分離する

Web Studioと同じWebドメイン（ドメイン名とポート）に任意のWebアプリケーションを展開できます。ただし、それらのWebアプリケーションにセキュリティリスクがあると、Web Studio展開のセキュリティが低下する可能性があります。より高度なセキュリティ分離が必要な場合は、Web Studioを他のサードパーティアプリケーションとは別のWebドメインに展開することをお勧めします。