セキュアWebシステムの構築

社内にWebサーバーを設置・運用することを検討しています。

WebサーバーはWindows2000&IISの組合せで構築しようと考えております。
書籍などを読むと、「Webサーバーでは不要なサービスは停止及び無効化させるべき」と記載されていますが、具体的なサービスまでは記載されていません。

どのサービスが停止＆無効化させるべきものなのか、説明されている書籍あるいはサイトなどはありませんか？
よろしくお願いします。

No.7 ベストアンサー 回答者： noname#41381 回答日時： 2002/09/12 10:18

#6の補足です。

サービスだけに関して言えば、
http://www.atmarkit.co.jp/fwin2k/operation/iisse …
http://www.aa.alpha-net.ne.jp/sharkey/XP-service …
http://www.geocities.co.jp/SiliconValley-PaloAlt …
ここなどが役に立つでしょうか？

またMSサイトにIIS5のセキュリティチェックものっているので参考にしてみてください。

参考URL：http://www.microsoft.com/japan/technet/security/ …

この回答へのお礼

ありがとうございます。
このサイトは既にチェック済みで、参考にしております。

お礼日時：2002/09/12 10:46

No.6 回答者： noname#41381 回答日時： 2002/09/12 09:40

IISについての問題等は他の方が回答されていますので

実際の運用についてはそちらを参考にしていただくとして...。
とりあえず今件につきましては、本家にIIS5のセキュリティガイドがありますので、
そちらを見られるのがいいかと思います。

参考URL：http://www.microsoft.com/japan/technet/prodtechn …

この回答へのお礼

ありがとうございます。
参考にさせていただきます。

お礼日時：2002/09/12 10:48

No.5 回答者： gold8 回答日時： 2002/09/11 23:16

＞説明されている書籍

オライリージャパン「WindowsNT/2000 Serverインターネットセキュリティ」
ISBN4-87311-047-5 標準価格 2800円（＋消費税）

書籍はこれですが、IIS 5.0 では、DCOM(135/udp/tcp) は停止できないので素直におやめになったほうがいいでしょう。めんどうでも、Appache for Win32 などの一般の WEB サーバがよろしいでしょう。理由は下記サイトのとおりです。
http://www.aa.alpha-net.ne.jp/ichi3/sec_topic.htm

あと、デフォルトで起動するサービスの一覧として、USの資料ですが「マイクロソフトサポート技術情報―Q150543」なんかが参考となります。

参考URL：http://support.microsoft.com/default.aspx?scid=k …

この回答へのお礼

ありがとうございます。
まだ、IISに決定したわけではありません。調査中といったところです。

お礼日時：2002/09/12 10:53

No.4 回答者： honiyon 回答日時： 2002/09/11 18:17

こんにちは、honiyonです。

　　お礼有難う御座います（．．
　　サービス一覧画面の説明は参考になりませんか？またサービス名を元にWEBから情報収集出来ませんか？
　　UNIXのようにポートからそれを開けているソフトを見つけ、停止させる事が出来ないのならば、ポートスキャンをかけて不信な開いているポートを発見した場合はサービスを１つ１つ調査していくしかないのではないでしょうか。

　　面倒な場合は FireWallで必要な通信しか通さなくするという手もありますが、お勧めできません。

　　セキュリティを考えずにホスティングするならWindowsはてっとり早いですが、セキュアなものを構築したいならLinuxやBSD等+Apacheで構築した方がより良いものが出来る気がします。(確かに初期の手間は多く感じますが、将来を考えれば。)

No.3 回答者： MovingWalk 回答日時： 2002/09/11 17:41

>社内にWebサーバーを設置・運用することを検討しています

そのサーバは、社内用の（いわゆるイントラネット用の）サーバでしょうか？
それなら、そんなに神経質になる必要はないと思います。
他にもサーバを立ち上げていると思いますので、それと同等でよろしいかと。

インターネットに公開するなら、サーバの設置場所、ファイアウォール等注意する点が多々あると思います。
よく調査してください。

この回答への補足

社内用のサーバーではありません。
外部への公開用サーバーです。
ファイアウォールも研究中ですが、難しいもんですね？

補足日時：2002/09/11 17:45

No.2 回答者： mimis 回答日時： 2002/09/11 17:32

IPA ISECのサイトに「セキュアなWebサーバーの構築と運用」という資料があり、

Windows2000サーバーについても細かく記載されていますので参考になるかと思います。

ただし、この設定をしても完璧ではありません。(^_^;

参考URL：http://www.ipa.go.jp/security/awareness/administ …

この回答へのお礼

ありがとうございます。
かなり具体的な情報が掲載されており、かなり役立ちそうです。

お礼日時：2002/09/11 17:52

No.1 回答者： honiyon 回答日時： 2002/09/11 16:45

こんにちは、honiyonです。

　　WindowsとIISを使用する事自体お勧め出来ませんが...

　　要はWWWサービスの運用に関係しない全てのサービスを停止するという事です。
　　DHCPやDNS,FAX,Automatic updateなど、様々なサービスが標準でついており、そのうちのいくつかは作動していると思います。　その作動しているもので不要なものは停止すべきです。特にポートを開けているものは絶対にとめて下さい。

　　また、Microsoft networkがインストールされていて、ファイルやプリンタの共有が有効になっているのは問題外です。必ず止めましょう。

　　参考になれば幸いです（．．

この回答へのお礼

アドバイスありがとうございます。

> 特にポートを開けているものは絶対にとめて下さい

HTTP、SMTP、FTPは当然わかりますが、それ以外のポートを開けているサービスがどれなのかわかっていません。

お礼日時：2002/09/11 17:56