Web Studio展開を保護する
この記事では、Web Studioを展開するときにシステムセキュリティに影響を与える可能性のある構成分野について説明します。
注意:
ユーザーのWebブラウザーとWeb Studio間の通信を保護するには、「Web StudioとDirectorでTLSを有効にする」を参照してください。
IIS設定を構成する
セキュリティのベストプラクティスとして、制限されたIIS構成でWeb Studioを構成します:
-
要求のフィルタリングを制限します:
- DirectorとともにWeb Studioをインストールすると、IISは次のフィルター規則を使用して自動的に構成されます。
-
Web Studioをスタンドアロンコンポーネントとしてインストールする場合は、次のようにIISを手動で構成します:
-
次のファイル名拡張子のみを許可します:
.、.aspx、.css、.eot、.html、.ico、.js、.png、.svc、.svg、.jpg、.gif、.json、.woff、.woff2、.ttf詳しくは、こちらのMicrosoft社の記事を参照してください。
-
次のHTTP動詞のみを許可します:
GET、POST、HEAD詳しくは、こちらのMicrosoft社の記事を参照してください。
-
-
不要なハンドラーのマッピングを削除します。
Web Studioでは、
StaticFileハンドラーのマッピングのみが必要です。 その他すべてを削除します。 詳しくは、こちらのMicrosoft社の記事を参照してください。 -
使用されていないISAPIフィルターを削除します。
Web StudioはISAPIフィルターを必要としません。 これらのすべてを削除できます。 詳しくは、こちらのMicrosoft社の記事を参照してください。
注意:
ASP.NETにはISAPI Windows機能が必要です。
-
C:\inetpub\wwwrootから次のデフォルトのIISランディングページファイルを削除します:iisstart.htmwelcome.png
-
.NET信頼レベルが完全な信頼に設定されたままであることを確認します。 この設定はインストール中に自動的に構成され、Web Studioが正しく機能するために必要です。 変更しないでください。
未使用のアプリケーションプール権限を削除する
インストール中に、Web Studioアプリケーションプールに次のユーザー権限が付与されます:
- サービスとしてログオン
- プロセスのメモリクォータの増加
- セキュリティ監査の生成
- プロセスレベルトークンの置き換え
これらの権限はIISアプリケーションプールの標準です。 Web Studioではこれらは使用されないため、削除できます。
Web Studioの展開を分離する
Web Studioと同じWebドメイン(ドメイン名とポート)に任意のWebアプリケーションを展開できます。 ただし、これらのWebアプリケーションにセキュリティリスクがあれば、Web Studio環境のセキュリティが低下する可能性があります。 より高いレベルのセキュリティ分離が必要な場合は、Web Studioを他のサードパーティのアプリケーションとは別のWebドメインに展開することをお勧めします。