セキュアWebシステムの構築

IISについての問題等は他の方が回答されていますので
実際の運用についてはそちらを参考にしていただくとして...。
とりあえず今件につきましては、本家にIIS5のセキュリティガイドがありますので、
そちらを見られるのがいいかと思います。

参考URL：http://www.microsoft.com/japan/technet/prodtechnol/iis/sec_hb1.asp

投稿日時 - 2002-09-12 09:40:51

＞説明されている書籍
オライリージャパン「WindowsNT/2000 Serverインターネットセキュリティ」
ISBN4-87311-047-5 標準価格 2800円（＋消費税）

書籍はこれですが、IIS 5.0 では、DCOM(135/udp/tcp) は停止できないので素直におやめになったほうがいいでしょう。めんどうでも、Appache for Win32 などの一般の WEB サーバがよろしいでしょう。理由は下記サイトのとおりです。
http://www.aa.alpha-net.ne.jp/ichi3/sec_topic.htm

あと、デフォルトで起動するサービスの一覧として、USの資料ですが「マイクロソフトサポート技術情報―Q150543」なんかが参考となります。

参考URL：http://support.microsoft.com/default.aspx?scid=kb;en-us;Q150543

投稿日時 - 2002-09-11 23:16:46

こんにちは、honiyonです。

　　お礼有難う御座います（．．
　　サービス一覧画面の説明は参考になりませんか？またサービス名を元にWEBから情報収集出来ませんか？
　　UNIXのようにポートからそれを開けているソフトを見つけ、停止させる事が出来ないのならば、ポートスキャンをかけて不信な開いているポートを発見した場合はサービスを１つ１つ調査していくしかないのではないでしょうか。

　　面倒な場合は FireWallで必要な通信しか通さなくするという手もありますが、お勧めできません。

　　セキュリティを考えずにホスティングするならWindowsはてっとり早いですが、セキュアなものを構築したいならLinuxやBSD等+Apacheで構築した方がより良いものが出来る気がします。(確かに初期の手間は多く感じますが、将来を考えれば。)

投稿日時 - 2002-09-11 18:17:15

>社内にWebサーバーを設置・運用することを検討しています
そのサーバは、社内用の（いわゆるイントラネット用の）サーバでしょうか？
それなら、そんなに神経質になる必要はないと思います。
他にもサーバを立ち上げていると思いますので、それと同等でよろしいかと。

インターネットに公開するなら、サーバの設置場所、ファイアウォール等注意する点が多々あると思います。
よく調査してください。

投稿日時 - 2002-09-11 17:41:41

IPA ISECのサイトに「セキュアなWebサーバーの構築と運用」という資料があり、
Windows2000サーバーについても細かく記載されていますので参考になるかと思います。

ただし、この設定をしても完璧ではありません。(^_^;

参考URL：http://www.ipa.go.jp/security/awareness/administrator/secure-web/index.html

投稿日時 - 2002-09-11 17:32:39