MicrosoftのホームページのIIS5.0セキュリティチェックリストを読んでいると
「未使用のスクリプト マッピングを削除する」
「親パスを無効にする」
というような説明が出ていますが、この処理をしておかなければアタッカーにどのようなことをされてしまうのかが具体的にわからないのです。
どなたか、サルに教えるように優しく解説していただけないでしょうか。。。
IIS5.0チェックリスト
↓
http://www.microsoft.com/japan/technet/security/ …
No.2ベストアンサー
- 回答日時:
補足から...
>それらをデフォルトで有効にしているMSは何を考えてるんだ?と単純に考えてしまうんですが・・・
MSから正式な話ではないのですが、以前カンファレンスの時に、同様の質問をした所、以下の様に考えているとの話でした(酒の席での話ですので、信憑性は?)
『MSとしては、全部出来る様にして出荷するしかないのです。閉じて出荷する事も出来るのですが、そうすると、なんでできないんだって問い合わせが来る。閉じないで出荷した方が、問題がある時には閉じて下さいの方が、客からの苦情が少ないんだ、本来出来る機能をできなくして出荷すると、大きく騒ぐ(国がある)癖に出来ている個を、門dないが起きた時に閉じてくれっとアナウンスするのには抵抗ない(国がある)。』だそうです。
>不正アクセスをしてきた外部の人間が、例えばtelnetなどによってしたいことをしてしまうというようなイメージでいいんでしょうか?もしそうであれば、23番を閉めて入れなくしてしまえば問題なしなのかな???
各アプリケーションポートに関しては、ポートを閉じてしまえばある程度は安心出来ますが、スクリプトが起動出来るようになっていると....。ポートを空けてしまう事も可能になってしまうのです。
IISのAdminスクリプトを見れば解るのですが、FTPのポートを開くとか設定するとか...全部出来るようになっています。あのスクリプトが動かされてしまったら...。
1番確実なのは、IISのセキュリティを潰して、ファイアウォール等を導入して余計なパケットが入り込まないようにして...その後は、セキュリティ等のニュースをかかさず見ていればOKです。
No.1
- 回答日時:
解るかどうかは別にして...以下の様に考えて下さい。
まず親パスを無効にしないと、Everyoneユーザが有効になっていますので、スクリプトの書き換えや実行が簡単にできてしまうので、何をされるのか解りません。
極端な話、なんでも出来てしまいます。
未使用のスクリプト マッピングを削除する、も同様の事が出来てしまいます。
何ができるのかではなく、なんでも出来てしまいます。
なんでもできてしまうんですか!!!
ありがとうございました。
そうですかーーーーー
それらをデフォルトで有効にしているMSは何を考えてるんだ?と単純に考えてしまうんですが・・・
不正アクセスをしてきた外部の人間が、例えばtelnetなどによってしたいことをしてしまうというようなイメージでいいんでしょうか?もしそうであれば、23番を閉めて入れなくしてしまえば問題なしなのかな???
それとも、どのようにセキュリティを固めていても親パスが有効ならば外部に対しては無防備である、という位重要な事柄なのですか?
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- その他(開発・運用・管理) マイクロソフトから通知メールが着ました。 これ本物ですか?? 3 2022/07/01 19:43
- Windows 10 Microsoft IMEを無効化する方法 1 2022/07/28 08:20
- Wi-Fi・無線LAN PCWi-Fiの設定方法がわからなくて困っています。 4 2022/12/28 18:30
- Excel(エクセル) Excel M365 データチェックの仕掛けを作りたい 2 2023/06/03 23:54
- Excel(エクセル) マクロの付いたExcelが開けません 3 2023/02/01 10:54
- その他(クラウドサービス・オンラインストレージ) microsoftアカウント 不正アクセス時のサインアウトを無効化する 1 2022/08/03 10:56
- セキュリティソフト 結局のところWindows PCに有料のセキュリティ対策ソフトは必要だと思いますか? 8 2022/06/01 11:00
- その他(Microsoft Office) office2016のパソコン2台インストール 2 2023/03/07 17:35
- その他(Microsoft Office) microsoft Teams(work or school)が自動的にダウンロードされてしまいます 2 2022/09/15 17:34
- Excel(エクセル) Excel ヘルプの[ロック解除]、<c0>、</c0> の意味は何ですか? 1 2023/02/20 16:58
関連するカテゴリからQ&Aを探す
おすすめ情報
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
スクリプトって、何ですか?ど...
-
PDFファイルを分割するマクロの...
-
シャットダウン時にメッセージ...
-
Googleスプレッドシートで特定...
-
gimp2.8 script-fu について
-
Google CromeでGoogleカレンダ...
-
Java スクリプトのページが開け...
-
PDFで年齢を計算したいのです。
-
クロスサイト スクリプトを防...
-
画面認識型の自動クリックソフ...
-
5ちゃんねる
-
Greasemonkeyでスプリクトが反...
-
Adobe Readerでインターネット...
-
イラレにエクセルデータ挿入方...
-
マイページはどこを開くの
-
デジタル時計の時刻合わせの方...
-
ウインドウを毎回同じ位置、大...
-
エクセルのシート上に別のシー...
-
Javascript_submit()完了後に処...
-
一定時間おきにアラームやポッ...
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
スクリプトって、何ですか?ど...
-
5ちゃんねる
-
PDFファイルを分割するマクロの...
-
イラレにエクセルデータ挿入方...
-
【このスクリプトの実行を中止...
-
gimp2.8 script-fu について
-
Googleスプレッドシートで特定...
-
画面認識型の自動クリックソフ...
-
バッチファイルでdiskpart.exe...
-
PhotoShopで色域指定による範囲...
-
このスクリプトの実行を中止し...
-
アリー my Loveの英語...
-
NetScapeで「お使いのブラウザ...
-
soundengineでスクリプトの使用。
-
受信メールボックスの中からメ...
-
PDFで年齢を計算したいのです。
-
VISTA HOMEEDITIONのIIS7.0でAS...
-
予め複数の文字列を登録し、ウ...
-
Adobe Readerでインターネット...
-
スクリプトって何ですか?
おすすめ情報