PR

IISのフォルダを確認


△ 図をクリックすると拡大
図6●IISをインストールすると自動的に作られるフォルダ

△ 図をクリックすると拡大
図7●IISのルート・ディレクトリを確認する
 ご存知の方も多いと思うが,IISをインストールするとIIS用のフォルダが作成される(図6)。Windowsがインストールされているドライブ(通常はC)にある「\inetpub\wwwroot」が,このWebサーバーのルート・ディレクトリである。今ブラウザに表示されたページのファイル「iisstart.htm」は,このディレクトリに存在している。このルート・ディレクトリは「インターネット・インフォメーション・サービス(IIS)マネージャ」で確認できる。早速,確認してみよう。

 [サーバーの役割管理]画面から,[アプリケーションサーバーを管理する]をクリックし,アプリケーション・サーバー管理画面を表示させる。次に左ペインで[インターネットインフォメーションサービス(IIS)マネージャ]−[DNS01(ローカルコンピュータ)]を展開し,[既定のWebサイト]を右クリックして[プロパティ]メニューを選択する(図7)。[既定のWebサイトのプロパティ]ダイアログが表示されるので,[ホームディレクトリ]タブを選択すると[ローカルパス]欄に「c:\inetpub\wwwroot」が指定されている。

 ここで,ローカル・ドライブ内の任意のディレクトリを絶対パスで指定することで,Webサイトのルート・ディレクトリを変更できる。このディレクトリ情報は,今後Webアプリケーションを作成するときに必要になるので,覚えておいてほしい。

Windowsファイアウオールを設定


△ 図をクリックすると拡大
図8●Windowsファイアウオールを有効にする

△ 図をクリックすると拡大
図9●外部からWebサーバーにアクセスできるようにする

△ 図をクリックすると拡大
図10●「サービス設定」画面
 さて,Webサーバーがインストールできたので,外部からの攻撃を防御するためにファイアウオールを設定する。ファイアウオールはセキュリティの話題で頻繁に登場してくるキーワードだ。おさらいの意味も含めて簡単に説明しよう。

 ネットワーク・インターフェースは通常,ネットワークを介して外部からのアクセスを受け入れるように構成されている。ファイアウオールとは,このインターフェースに対して,外部からのアクセスを遮断する仕組みである。ただし,Windows Server 2003 Service Pack 1で提供された「Windowsファイアウオール」では,そのコンピュータからほかのコンピュータへの接続は可能だ。つまり,コンピュータの外部から内部へのアクセスは禁止するが,内部から外部へは接続できるという「一方通行」のアクセスになる。

 Windowsファイアウオールを有効にすると,pingコマンドさえ応答しなくなり,外部のコンピュータからは,このコンピュータが動作しているかどうかさえ簡単には判別できなくなる。だが,今回インストールしたWebサーバーの機能までも禁止してしまうのでは意味がない。必要な機能にだけ外部からのアクセスを許可するよう,Windowsファイアウオールを設定する必要がある。では実際に設定しよう。

 まずコントロール・パネルの[ネットワーク接続]を開く。[ローカルエリア接続]を右クリックして[プロパティ]メニューを選び,[ローカルエリア接続のプロパティ]ダイアログを開く。[詳細設定]タブをクリックし,[設定]ボタンをクリックする。Windows Server 2003では,標準でWindowsファイアウオールが無効になっているので,このとき「Windowsファイアウオール/インターネット接続共有(ICS)サービス」を開始する確認ダイアログが表示される。ここでは,[はい]ボタン(サービス実行)をクリックする。すると[Windowsファイアウオール]ダイアログが現れるので,[有効]をチェックする(図8)。これでWindowsファイアウオールが有効になり,コンピュータ外部から内部へのアクセスが禁止される。

 ただし,ここでは,Webサーバー機能へは外部からアクセス可能にしたい。さらに,前回設定したDNSサーバー機能にも外部からアクセス可能にする必要がある。

 それには,[Windowsファイアウオール]ダイアログの[詳細設定]タブをクリックし,インターネットに接続しているネットワーク接続を選択して,[設定]ボタンをクリックする。[詳細設定]ダイアログが表示されるので,[サービス]タブの画面に一覧表示されている中から[Webサーバー(HTTP)]をチェックし,[OK]ボタンをクリックする(図9)。これでWebサーバー機能には外部からアクセス可能になる。この画面の[編集]ボタンをクリックすると[サービス設定]ダイアログが表示される(図10)。このダイアログでは,今アクセス可能にしたWebサーバーのサービスのポート番号が確認できる。Webサーバーが使用する「HTTPプロトコル」は,「TCPの80番ポート」を利用する。

 これに対してDNSサーバー機能は,[サービス]タブの画面の一覧表にない。この場合は[追加]ボタンをクリックして,DNSサーバーが利用するポート番号を指定する。DNSサーバーが使うのは,TCPの53番とUDPの53番である。2つのポートを使うので,2回に分けて設定する。

 以上で,WebサーバーとDNSサーバーに対して外部からアクセス可能になったが,そのほかのサーバー機能にはWindowsファイアウオールによって外部からアクセスできない。今後,本連載では,ファイル転送で使用するFTP,メール・サービスで使用するSMTPとPOP3などをセットアップしていく。これらに関しては,アクセスできるようにそのつどWindowsファイアウオールの設定を変更する必要があるのでお忘れなく。Windowsサーバー・システムが利用するポートの詳細については,マイクロソフトのWebサイトを参照してほしい。なお,Windowsファイアウオールの設定は,Windows Server 2003 SP1の「セキュリティの構成ウィザード」でも可能だ。

MBSAでセキュリティをチェック
 今回,新しくWebサーバーをインストールし,ファイアウオールも設定した。それらがセキュアに設定されていることを,再びMBSA(Microsoft Baseline Security Analyzer)を使って確認しよう。


△ 図をクリックすると拡大
図11●MBSAの画面
 図11は,IISに関してセキュアに設定されているときの,MBSAの画面である。実際にMBSAで調べて,この図のようにならずにエラーが表示された場合には,MBSAの情報を基にIISの設定を変更してほしい。

 Webサーバーはセキュリティを設定する上で重要なサーバー機能なので,MBSAにはIIS向けに専用のチェック項目が用意されている。必ず確認してほしい。MBSAに用意されているWebサーバー向けのチェック・ポイントは,「管理上の脆弱性チェック」として(1)IIS Lockdownツール,(2)サンプル・アプリケーション,(3)IIS Adminの仮想ディレクトリ,(4)親パス,(5)MSADCとScriptsの仮想ディレクトリ——の5項目,「追加システム情報」として(6)ドメイン・コントローラのテスト,(7)IISログの有効化——の2項目,合計2つのカテゴリからなる7個である。各チェック内容については,MBSAの画面を参照してほしい。 

 次回はデータベース管理システムとしてMSDEをインストールし,IISを使用したASP.NETベースのWebアプリケーションをセットアップする。