WMI ASP スクリプト用の IIS 5.0 以降の構成

  • [アーティクル]

すべての認証設定は、インターネット サービス マネージャーを使用して行われます。

WMI ASP スクリプト用にインターネット インフォメーション サーバー (IIS) 5.0 と IIS 6.0 のセキュリティを構成する場合は、次の問題を考慮してください。

  • 認証レベル

    サーバー、ディレクトリ、またはファイル レベルで構成できます。

  • 認証設定

    認証は、[匿名]、[統合 Windows]、またはその両方に設定できます。

  • 保護

    ASP は、インプロセス (低保護) で、または Dllhost.exe を使用してアウトプロセス (中または高保護) で実行するように設定できます。

[認証レベル]

セキュリティを強化するために、ディレクトリまたはファイル レベルで認証を構成できます。

認証がサーバー レベルで設定されている場合は、ディレクトリまたはファイル レベルで明示的に変更されない限り、後続のすべてのディレクトリとファイルはサーバー認証に従います。 WMI に固有の HTML ページと ASP をサーバーの残りの部分とは別に構成できるすべての WMI ASP スクリプトを含むディレクトリ構造を作成できます。 サーバー、ディレクトリ、またはファイルの認証レベルを変更するには、次の手順を実行します。

任意のレベルで認証を設定するには

  1. コントロール パネルで、[管理ツール] をダブルクリックしてから、IIS スナップインをダブルクリックします。

  2. ASP ページ アイコンを見つけて、設定するレベルのプロパティ (サーバー、ディレクトリ、またはファイル) を開きます。

    注意

    認証設定は、[プロパティ] シートの [ディレクトリ セキュリティ] または [ファイル セキュリティ] タブにあります。

     

認証設定

WMI ASP スクリプトの場合、匿名認証をオフに (選択解除) し、統合 Windows 認証をオンに (選択) すると、セキュリティを設定する機会が増えます。 NT LAN Manager (NTLM)、Passport、または Digest IIS 認証設定を使用するには、ユーザーがネットワーク ID として扱われ、リモートでログされるため、リモートの有効化特権をオンにする必要があります。 リモートの有効化設定は、匿名および基本認証には必要ありません。 ただし、匿名および基本認証を使用している場合は、システムの安全性がはるかに低くなります。

統合 Windows 認証の有無にかかわらず、匿名認証を使用する場合、最も安全な方法は、ユーザーにユーザー名とパスワードの入力を求めるログオンを使用することです。 既定のログオンは IIS ID ですが、匿名またはゲスト接続のアカウントとして使用できる WMI ASP スクリプトに適した特定のアクセス許可を使用して、ログオンを作成できます。

IIS ID ではないログオン識別子を選択した場合は、[IIS によるパスワードの管理を許可する] チェック ボックスをオフにして、正しいパスワードを入力します。 これにより、すべての匿名またはゲスト接続でログオン識別子が強制的に使用されます。 IIS ID とは別にログオンを作成することで、認証がサーバー レベルで設定されていない限り、IIS サーバー上の他のディレクトリやファイルに影響を与えることなく、WMI にアクセスするアカウントの特権を管理できます。

次の手順を実行して、コントロール パネルの IIS スナップインを使用して ASP ページの認証要件を設定します。

アカウント設定にアクセスするには

  1. コントロール パネルで、[管理ツール] アイコンをダブルクリックし、IIS スナップインを開き、ASP ページを見つけて、設定するレベル (サーバー、ディレクトリ、またはファイル) のプロパティを開きます。

    認証設定は、[プロパティ] シートの [ディレクトリ セキュリティ] または [ファイル セキュリティ] タブにあります。

  2. [匿名認証] 領域で、[編集] をクリックします。

  3. IIS ID 以外のログオン識別子が選択されている場合は、[IIS によるパスワードの管理を許可する] チェック ボックスをオフにして、正しいパスワードを入力します。 これにより、すべての匿名またはゲスト接続でログオン識別子が強制的に使用されます。

IIS ID とは異なるログオンを使用することで、認証がサーバー レベルで設定されていない限り、IIS サーバー上の他のディレクトリやファイルに影響を与えることなく、WMI にアクセスするアカウントの特権を管理できます。

以前の構成では、IIS サーバーは一部の領域では匿名認証を、他の領域では統合 Windows または混合認証を使用できます。

保護

IIS サーバーを構成する際の最後の考慮事項は、ASP の実行時に使用する保護です。

ASP を設定して、以下を実行できます。

  • IIS へのインプロセス (低保護)。

  • プール済みまたはアウトプロセス (プール済みの中保護) として Dllhost.exe を使用した IIS の外部。

  • アウトプロセス セルフホスト (高保護)。

注意

セキュリティとパフォーマンスのバランスを最適に保つには、プール済みホストを使用します。