Web Studio展開のセキュリティ保護
この記事では、Web Studioを展開する際にシステムセキュリティに影響を与える可能性のある構成領域に焦点を当てています。
注:
ユーザーのWebブラウザとWeb Studio間の通信を保護するには、Web StudioおよびDirectorでTLSを有効にするを参照してください。
IIS設定の構成
セキュリティのベストプラクティスとして、Web Studioを制限されたIIS構成で構成します。
-
要求フィルタリングを制限する:
- Web StudioをDirectorとともにインストールする場合、IISは以下のフィルタリングルールで自動的に構成されます。
-
Web Studioをスタンドアロンコンポーネントとしてインストールする場合、IISを手動で次のように構成します。
-
以下のファイル名拡張子のみを許可する:
.,.aspx,.css,.eot,.html,.ico,.js,.png,.svc,.svg,.jpg,.gif,.json,.woff,.woff2,.ttf詳細については、このMicrosoft記事を参照してください。
-
以下のHTTP動詞のみを許可する:
GET,POST,HEAD詳細については、このMicrosoft記事を参照してください。
-
-
不要なハンドラーマッピングを削除します。
Web Studioは
StaticFileハンドラーマッピングのみを必要とします。他のすべてを削除します。詳細については、このMicrosoft記事を参照してください。 -
未使用のISAPIフィルターを削除します。
Web StudioはISAPIフィルターを必要としません。すべて削除できます。詳細については、このMicrosoft記事を参照してください。
注:
ASP.NET には ISAPI ウィンドウズ機能が必要です。
-
C:\inetpub\wwwrootから以下のデフォルトのIISランディングページファイルを削除します。iisstart.htmwelcome.png
-
.NET信頼レベルが完全信頼に設定されたままであることを確認してください。この設定はインストール中に自動的に構成され、Web Studioが正しく機能するために必要です。変更しないでください。
未使用のアプリケーションプール権限を削除する
インストール中、Web Studioアプリケーションプールには以下のユーザー権限が付与されます。
- サービスとしてログオン
- プロセスのメモリクォータを調整
- セキュリティ監査を生成
- プロセスレベルトークンを置き換える
これらの権限は、IISアプリケーションプールにとって標準的なものです。Web Studioはこれらを使用しないため、削除できます。
Web Studioの展開を分離する
Web Studioと同じWebドメイン(ドメイン名とポート)に、任意のWebアプリケーションを展開できます。ただし、それらのWebアプリケーションにおけるセキュリティリスクは、Web Studioの展開のセキュリティを低下させる可能性があります。より高度なセキュリティ分離が必要な場合は、Web Studioを他のサードパーティアプリケーションとは別のWebドメインに展開することをお勧めします。