[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[port139:00622] IIS Lockdown Tool めも
- To: port139@xxxxxxxxxxxxx
- Subject: [port139:00622] IIS Lockdown Tool めも
- From: Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
- Date: Tue, 28 Aug 2001 15:39:38 +0900
Port139 伊原です。
私信でもちょっと情報いただきましたのでメモ代わり。
スクリプトマッピングの削除ですが、マッピング自体が削除される
わけではなく、このツールに含まれている 404.dll が
system32\inetsrv\404.dll へコピーされこの DLL へのマッピン
グに変更されます。
サンプル仮想ディレクトリの削除ですが、以下の仮想ディレクトリ
が削除対象のようです。/Printers はシステムを再起動するまでは
削除されないみたい。
/IISADMPWD、/Scripts、/MSADC、/AdvWorks、/AspSamp、
/IISSamples、/Printers
WebDevのロックですが、c:\WINNT\system32\inetsrv\httpext.dll
のアクセス権が Everyone に対して"フォルダのスキャン/ファイル
の実行"が拒否で設定されます。
また、WFPが利用する c:\WINNT\system32\dllcache\httpext.dll
についてはファイルが削除されます。
idq.dll のロックですが、c:\WINNT\system32\idq.dll のアクセス
権が Everyone に対して"フォルダのスキャン/ファイルの実行"が
拒否で設定されます。
また、WFPが利用する c:\WINNT\system32\dllcache\idq.dll につ
いてはファイルが削除されます。
Webプリンティング機能は以下のレジストリにより無効に設定され
ます。
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers
に DisableWebPrinting が追加され値が「1」で設定されます。
システム関連ツールについてアクセス制限を指示した場合、
c:\WINNT 配下にある *.exe と *.com について、Web Anonymous Users、
Web Applications グループ(IUSER_computername、IWAM_computername
がそれぞれ含まれる)のアクセス権が全て(フルコントロール)拒否
で設定されます。
コンテンツのアクセス権の制限を指示した場合、コンテンツフォルダ
(仮想フォルダを含め登録されている全て)について、
Web Anonymous Users、Web Applications グループのアクセス権で以下
が拒否に設定されます。
-ファイルの作成/データの書き込み
-フォルダの作成/データの追加
-属性の書き込み
-拡張属性の書き込み
-サブフォルダとファイルの削除
-削除
-アクセス許可の変更
-所有権の取得
ま、こんな感じっす。
---
セキュリティスタジアム 2001 9月19日〜22日開催!
http://sec-stadium.hawkeye.ac/
Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Port139 URL: http://www.port139.co.jp/
PGP PUBLIC KEY: http://www.port139.co.jp/pgp/