« [Tools][Books] Web本棚サービスその2 | トップページ | [Windows] 便利なWindowsショートカットキーのまとめ »

2006年2月26日 (日)

[IIS] IIS6.0のServerヘッダを削除する

■[Tools] IISのレスポンスヘッダ情報を編集、など
http://relaxed.way-nifty.com/blog/2005/12/iis_c413.html

この記事でIISのWebサーバに余計な情報を公開させないための方法についてのリンクを書きました。
その中で、「Serverヘッダの削除」についてまとめておきます。

Serverヘッダで公開されてしまう情報は「Server: Microsoft-IIS/6.0」というWebサーバの種類とバージョン情報。
悪意のある侵入者にサーバ情報を知られることはセキュリティ的によろしくないため、公開しないほうが無難です。

ちなみにMicrosoftでこんなページが公開されています。

■IIS Insider : 2004 年 10 月(IIS 6 のサーバー バナーの削除)
http://www.microsoft.com/japan/technet/community/columns/insider/iisi1004.mspx

このページの「IIS 6 のサーバー バナーの削除」セクションにこんなことが書いてありました。

サーバー バナーと呼ばれる、明らかに IIS 6.0 サーバーを示します。セキュリティ専門家の中には、 このバナーを削除して、攻撃者が接続する Web サーバーの種類をわからないようにすることを推奨している人がいます。
(中略)
サーバー ヘッダおよびアドオン タグを削除した場合、Asp または ASP.net のページを配信しているという事実によって、IIS サーバーを使用していることが攻撃者によって推測される可能性があります。 これは、明らかに非常に細かいことです。その他、同様に簡単に使用しているサーバーの種類を認識するための方法があります。
(中略)
IIS 6 のサーバー バナーは、以下のレジストリ値を 1 に設定することによって、削除することができます。
HKLM\SYSTEM\CurrentControlSet\Services\HTTP\Parpameters\DisableServerHeader

HTTPヘッダでサーバ情報を公開するのは問題ないって風に書いてますね。
確かに他の部分から判断する方法はあるわけですが、だからといってオープンにする必要も全くないわけで。

あと、この記事ではURLScan2.5をインストールしなくてもレジストリを変更すれば良いように書いてありますが、この設定を行ってもServerヘッダは消えなかったです。
ビックリしました・・・(w
私の試したサーバだけでしょうか?
それとも、記事の書かれた時点からIIS6が変わってるんでしょうか。
謎ですね。

というわけなので結局、Serverヘッダを削除するにはURLScan2.5をインストールする必要がありました。

■[Microsoft Technet] URLScan セキュリティ ツール
http://www.microsoft.com/japan/technet/security/tools/urlscan.mspx

あと、「RemoveServerHeader=1」を設定するだけだと、今までノーチェックで動いていた部分が厳密にチェックされるようになって、表示できないページが出てくると思います。

ということで、「Serverヘッダを表示しないだけで他の余計なことはしない」設定をまとめてみました。
その上で、必要な設定のみONにしていけばよろしいかと。
簡単な日本語説明も書いてあるので、設定ファイルの英語説明文を読むのが面倒な人などもどうぞ。

■URLScan2.5のサンプル設定内容+説明
URLScan2.5-sample.pdf
■URLScan2.5のサンプル設定ファイル
urlscan.ini.sample

|

« [Tools][Books] Web本棚サービスその2 | トップページ | [Windows] 便利なWindowsショートカットキーのまとめ »

コメント

コメントを書く



(ウェブ上には掲載しません)




トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/157618/8846405

この記事へのトラックバック一覧です: [IIS] IIS6.0のServerヘッダを削除する:

« [Tools][Books] Web本棚サービスその2 | トップページ | [Windows] 便利なWindowsショートカットキーのまとめ »