概要
<fileExtensions> 要素には、各 <add> 要素の定義方法に応じて、IIS で許可または拒否される一意のファイル名拡張子を指定する <add> 要素のコレクションが含まれています。 <fileExtensions> 要素を使うと、サーバーが FTP クライアントで使用できるコンテンツの種類を微調整できます。
たとえば、allowUnlisted 属性を false に設定した場合、許可された拡張子の一覧に含まれない拡張子を持つファイルに対するすべての要求は拒否されます。 <clear> 要素を使うと、既に定義されているファイル名拡張子の一覧をクリアして、許可するファイル名拡張子のみを指定できます。
Note
ファイル名拡張子が拒否されたために要求のフィルタリングが FTP 要求をブロックすると、FTP 7 はクライアントに FTP エラーを返し、要求が拒否された理由を示す次の一意の副状態をログします。
| FTP 副状態 | 説明 |
|---|---|
11 |
ファイル名拡張子は要求のフィルタリング規則に基づいて拒否されました |
この副状態により、FTP 管理者は IIS ログを分析し、潜在的な脅威を特定できます。
互換性
| バージョン | メモ |
|---|---|
| IIS 10.0 | <fileExtensions> 要素は、IIS 10.0 では変更されませんでした。 |
| IIS 8.5 | <fileExtensions> 要素は、IIS 8.5 では変更されませんでした。 |
| IIS 8.0 | <fileExtensions> 要素は IIS 8.0 では変更されませんでした。 |
| IIS 7.5 | <requestFiltering> 要素の <fileExtensions> 要素は、IIS 7.5 の機能として付属しています。 |
| IIS 7.0 | <requestFiltering> 要素の <fileExtensions> 要素が、IIS 7.0 用の別個のダウンロードとして FTP 7.0 で導入されました。 |
| IIS 6.0 | IIS 6.0 の FTP サービスでは、要求のフィルタリングはサポートされていませんでした。 |
Note
FTP 7.0 サービスと FTP 7.5 サービスは IIS 7.0 とは別に出荷され、次の URL からモジュールをダウンロードしてインストールする必要がありました。
Windows 7 と Windows Server 2008 R2 では、FTP 7.5 サービスは IIS 7.5 の機能として付属しているため、FTP サービスのダウンロードは必要なくなりました。
段取り
Web サーバーの FTP 公開をサポートするには、FTP サービスをインストールする必要があります。 そのためには、次のステップに従います。
Windows Server 2012 または Windows Server 2012 R2
タスク バーで [サーバー マネージャー]をクリックします。
[サーバー マネージャー] で、[管理] メニューを選択し、[役割と機能の追加] を選択します。
[役割と機能の追加] ウィザードで、[次へ] をクリックします。 インストールの種類を選択し、[次へ] をクリックします。 対象サーバーを選択し、[次へ] をクリックします。
[サーバーの役割] ページで、[Web サーバー (IIS)] を展開して、[FTP サーバー] を選びます。
Note
FTP サービスに対して ASP.NET メンバーシップ認証または IIS マネージャー認証をサポートするには、[FTP Service] に加えて[FTP 拡張] も選択する必要があります。
.[次へ] をクリックし、[機能の選択] ページで再度 [次へ] をクリックします。
[インストール オプションの確認] ページで、[インストール] をクリックします。
[結果] ページで、 [閉じる]をクリックします。
Windows 8 または Windows 8.1
[スタート] 画面で、ポインターを左下隅まで移動し、[スタート] ボタンを右クリックし、[コントロール パネル] をクリックします。
[コントロール パネル]で [プログラムと機能] をクリックし、[Windows の機能の有効化または無効化] をクリックします。
[インターネット インフォメーション サービス] を展開し、[FTP サーバー] を展開します。
Note
FTP サービスに対して ASP.NET メンバーシップ認証または IIS マネージャー認証をサポートするには、[FTP 拡張] も選択する必要があります。
OK をクリックします。
閉じるをクリックします。
Windows Server 2008 R2
タスク バーで [スタート] をクリックし、[管理ツール] をポイントして、[サーバー マネージャ] をクリックします。
[サーバー マネージャ] 階層ウィンドウで [役割] を展開し、[Web サーバー (IIS)] をクリックします。
[Web サーバー (IIS)] ウィンドウで、[役割サービス] セクションまでスクロールし、[役割サービスの追加] をクリックします。
[役割サービスの追加] ウィザードの [役割サービスの選択] ページで [FTP サーバー] を展開します。
[FTP Service] を選択します。
Note
FTP サービスに対して ASP.NET メンバーシップ認証または IIS マネージャー認証をサポートするには、[FTP 拡張] も選択する必要があります。
![F T P サービスが選択されていることを示す展開された [役割サービスの選択] ページの F T P サーバーの画像。](index/_static/image6.png)
次へ をクリックします。
[インストール オプションの確認] ページで、[インストール] をクリックします。
[結果] ページで、 [閉じる]をクリックします。
![F T P サービスが選択されていることを示す展開された [役割サービスの選択] ページの F T P サーバーの画像。](index/_static/image5.png)
Windows 7
タスク バーで、[スタート]、[コントロール パネル] の順にクリックします。
[コントロール パネル]で [プログラムと機能] をクリックし、[Windows の機能の有効化または無効化] をクリックします。
[インターネット インフォメーション サービス]、[FTP サーバー] の順に展開します。
[FTP Service] を選択します。
Note
FTP サービスに対して ASP.NET メンバーシップ認証または IIS マネージャー認証をサポートするには、[FTP 拡張] も選択する必要があります。
![[F T P 拡張機能] と [F T P サービス] が選択されていることを示す展開された [インターネット インフォメーション サービスと F T P サーバー] ウィンドウの画像。](index/_static/image8.png)
OK をクリックします。
![[F T P 拡張機能] と [F T P サービス] が選択されていることを示す展開された [インターネット インフォメーション サービスと F T P サーバー] ウィンドウの画像。](index/_static/image7.png)
Windows Server 2008 または Windows Vista
次の URL からインストール パッケージをダウンロードします。
次のチュートリアルの手順に従って、FTP サービスをインストールします。
操作方法
Note
FTP 7.0 リリースには、FTP 要求のフィルタリングのユーザー インターフェイスがありませんでした。FTP 要求のフィルタリング UI は FTP 7.5 リリースで追加されました。
特定のファイル名拡張子への FTP アクセスを拒否する方法
インターネット インフォメーション サービス (IIS) マネージャーを開きます。
Windows Server 2012 または Windows Server 2012 R2 を使用している場合:
- タスク バーで、[サーバー マネージャー] をクリックし、[ツール]、[インターネット インフォメーション サービス (IIS) マネージャー] の順にクリックします。
Windows 8 または Windows 8.1 を使用している場合:
- Windows キーを押しながら文字 X を押し、[コントロール パネル] をクリックします。
- [管理ツール] をクリックし、[インターネット インフォメーション サービス (IIS) マネージャー] をダブルクリックします。
Windows Server 2008 または Windows Server 2008 R2 を使用している場合:
- タスク バーで、[スタート] ボタンをクリックし、[管理ツール]、[インターネット インフォメーション サービス (IIS) マネージャー] の順にクリックします。
Windows Vista または Windows 7 を使用している場合:
- タスク バーで、[スタート]、[コントロール パネル] の順にクリックします。
- [管理ツール] をダブルクリックし、次に [インターネット インフォメーション サービス (IIS) マネージャー] をダブルクリックします。
[接続] ペインで、要求のフィルタリング設定を変更するサイトまたはディレクトリに移動します。
[ホーム] ペインで、[FTP 要求のフィルタリング] をダブルクリックします。
[FTP 要求のフィルタリング] ペインで、[ファイル名拡張子] タブをクリックします。
![[ファイル名拡張子] タブが表示されている [要求フィルター] ウィンドウの画像。](index/_static/image10.png)
[操作] ペインで [ファイル名拡張子の拒否] をクリックします。
[ファイル名拡張子の拒否] ダイアログ ボックスに、ブロックするファイル名拡張子を入力します。 たとえば、ファイル名拡張子が .inc のファイルにアクセスできないようにするには、ダイアログ ボックスに「inc」と入力します。
![[ファイル名拡張子] フィールドにファイル名が入力されている [ファイル名拡張子の拒否] ダイアログ ボックスの画像。](index/_static/image12.png)
OK をクリックします。
![[ファイル名拡張子] タブが表示されている [要求フィルター] ウィンドウの画像。](index/_static/image9.png)
![[ファイル名拡張子] フィールドにファイル名が入力されている [ファイル名拡張子の拒否] ダイアログ ボックスの画像。](index/_static/image11.png)
構成
<requestFiltering> 要素の <fileExtensions> 要素は、グローバル、サイト、または URL レベルで構成されます。
属性
| 属性 | 説明 |
|---|---|
allowUnlisted |
省略可能で、 Boolean 型の属性。 Web サーバーで、ファイル名拡張子が一覧に含まれていないファイルを処理するかどうかを指定します。 この属性を true に設定する場合は、拒否するすべてのファイル名拡張子を一覧に含める必要があります。 この属性を false に設定する場合は、許可するすべてのファイル名拡張子を一覧に含める必要があります。 既定値は true です。 |
子要素
| 要素 | 説明 |
|---|---|
add |
省略可能な要素です。 ファイル名拡張子のコレクションにファイル名拡張子を追加します。 |
clear |
省略可能な要素です。 ファイル名拡張子へのすべての参照を <fileExtensions> コレクションから削除します。 |
remove |
省略可能な要素です。 ファイル名拡張子への参照を <fileExtensions> コレクションから削除します。 |
構成サンプル
次のサンプルは、FTP サイトの <system.ftpServer> 要素内のいくつかのセキュリティ関連の構成設定を示しています。 具体的には、この例の <location> 設定は、次の方法を示します。
- 管理者グループの読み取りと書き込みアクセス許可に対する FTP 承認規則を指定します。
- *.exe、*.bat、および *.cmd の各ファイルを拒否する FTP 要求フィルター・オプションを指定します。
- 最大コンテンツ長が 100 万バイト、URL の最大長が 1024 バイトの FTP 要求制限を指定します。
- FrontPage Server Extensions で使われる _vti_bin 仮想ディレクトリへの FTP アクセスをブロックします。
- 127.0.0.1 からのアクセスを許可し、169.254.0.0/255.255.0.0 の範囲の IP アドレスからのアクセスを拒否する FTP IP フィルター処理オプションを指定します。
<location path="ftp.example.com">
<system.ftpServer>
<security>
<authorization>
<add accessType="Allow" roles="administrators" permissions="Read, Write" />
</authorization>
<requestFiltering>
<fileExtensions allowUnlisted="true">
<add fileExtension=".exe" allowed="false" />
<add fileExtension=".bat" allowed="false" />
<add fileExtension=".cmd" allowed="false" />
</fileExtensions>
<requestLimits maxAllowedContentLength="1000000" maxUrl="1024" />
<hiddenSegments>
<add segment="_vti_bin" />
</hiddenSegments>
</requestFiltering>
<ipSecurity enableReverseDns="false" allowUnlisted="true">
<add ipAddress="127.0.0.1" allowed="true" />
<add ipAddress="169.254.0.0" subnetMask="255.255.0.0" allowed="false" />
</ipSecurity>
</security>
</system.ftpServer>
</location>
サンプル コード
次の例では、*.exe、*.com、*.bat、*.cmd ファイルを拒否する FTP 要求のフィルタリング オプションを指定します。
AppCmd.exe
appcmd.exe set config "Default Web Site" -section:system.ftpServer/security/requestFiltering /+"fileExtensions.[fileExtension='.exe',allowed='False']" /commit:apphost
appcmd.exe set config "Default Web Site" -section:system.ftpServer/security/requestFiltering /+"fileExtensions.[fileExtension='.com',allowed='False']" /commit:apphost
appcmd.exe set config "Default Web Site" -section:system.ftpServer/security/requestFiltering /+"fileExtensions.[fileExtension='.cmd',allowed='False']" /commit:apphost
appcmd.exe set config "Default Web Site" -section:system.ftpServer/security/requestFiltering /+"fileExtensions.[fileExtension='.bat',allowed='False']" /commit:apphost
Note
AppCmd.exe を使用してこれらの設定を構成するときは、commit パラメーターを必ず apphost に設定する必要があります。 これで、ApplicationHost.config ファイルの適切な場所セクションに構成設定がコミットされます。
C#
using System;
using System.Text;
using Microsoft.Web.Administration;
internal static class Sample
{
private static void Main()
{
using (ServerManager serverManager = new ServerManager())
{
Configuration config = serverManager.GetApplicationHostConfiguration();
ConfigurationSection requestFilteringSection = config.GetSection("system.ftpServer/security/requestFiltering", "Default Web Site");
ConfigurationElement fileExtensionsElement = requestFilteringSection.GetChildElement("fileExtensions");
ConfigurationElementCollection fileExtensionsCollection = fileExtensionsElement.GetCollection();
ConfigurationElement addElement = fileExtensionsCollection.CreateElement("add");
addElement["fileExtension"] = @".exe";
addElement["allowed"] = false;
fileExtensionsCollection.Add(addElement);
ConfigurationElement addElement1 = fileExtensionsCollection.CreateElement("add");
addElement1["fileExtension"] = @".com";
addElement1["allowed"] = false;
fileExtensionsCollection.Add(addElement1);
ConfigurationElement addElement2 = fileExtensionsCollection.CreateElement("add");
addElement2["fileExtension"] = @".cmd";
addElement2["allowed"] = false;
fileExtensionsCollection.Add(addElement2);
ConfigurationElement addElement3 = fileExtensionsCollection.CreateElement("add");
addElement3["fileExtension"] = @".bat";
addElement3["allowed"] = false;
fileExtensionsCollection.Add(addElement3);
serverManager.CommitChanges();
}
}
}
VB.NET
Imports System
Imports System.Text
Imports Microsoft.Web.Administration
Module Sample
Sub Main()
Dim serverManager As ServerManager = New ServerManager
Dim config As Configuration = serverManager.GetApplicationHostConfiguration
Dim requestFilteringSection As ConfigurationSection = config.GetSection("system.ftpServer/security/requestFiltering", "Default Web Site")
Dim fileExtensionsElement As ConfigurationElement = requestFilteringSection.GetChildElement("fileExtensions")
Dim fileExtensionsCollection As ConfigurationElementCollection = fileExtensionsElement.GetCollection
Dim addElement As ConfigurationElement = fileExtensionsCollection.CreateElement("add")
addElement("fileExtension") = ".exe"
addElement("allowed") = False
fileExtensionsCollection.Add(addElement)
Dim addElement1 As ConfigurationElement = fileExtensionsCollection.CreateElement("add")
addElement1("fileExtension") = ".com"
addElement1("allowed") = False
fileExtensionsCollection.Add(addElement1)
Dim addElement2 As ConfigurationElement = fileExtensionsCollection.CreateElement("add")
addElement2("fileExtension") = ".cmd"
addElement2("allowed") = False
fileExtensionsCollection.Add(addElement2)
Dim addElement3 As ConfigurationElement = fileExtensionsCollection.CreateElement("add")
addElement3("fileExtension") = ".bat"
addElement3("allowed") = False
fileExtensionsCollection.Add(addElement3)
serverManager.CommitChanges()
End Sub
End Module
JavaScript
var adminManager = new ActiveXObject('Microsoft.ApplicationHost.WritableAdminManager');
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST";
var requestFilteringSection = adminManager.GetAdminSection("system.ftpServer/security/requestFiltering", "MACHINE/WEBROOT/APPHOST/Default Web Site");
var fileExtensionsElement = requestFilteringSection.ChildElements.Item("fileExtensions");
var fileExtensionsCollection = fileExtensionsElement.Collection;
var addElement = fileExtensionsCollection.CreateNewElement("add");
addElement.Properties.Item("fileExtension").Value = ".exe";
addElement.Properties.Item("allowed").Value = false;
fileExtensionsCollection.AddElement(addElement);
var addElement1 = fileExtensionsCollection.CreateNewElement("add");
addElement1.Properties.Item("fileExtension").Value = ".com";
addElement1.Properties.Item("allowed").Value = false;
fileExtensionsCollection.AddElement(addElement1);
var addElement2 = fileExtensionsCollection.CreateNewElement("add");
addElement2.Properties.Item("fileExtension").Value = ".cmd";
addElement2.Properties.Item("allowed").Value = false;
fileExtensionsCollection.AddElement(addElement2);
var addElement3 = fileExtensionsCollection.CreateNewElement("add");
addElement3.Properties.Item("fileExtension").Value = ".bat";
addElement3.Properties.Item("allowed").Value = false;
fileExtensionsCollection.AddElement(addElement3);
adminManager.CommitChanges();
VBScript
Set adminManager = createObject("Microsoft.ApplicationHost.WritableAdminManager")
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST"
Set requestFilteringSection = adminManager.GetAdminSection("system.ftpServer/security/requestFiltering", "MACHINE/WEBROOT/APPHOST/Default Web Site")
Set fileExtensionsElement = requestFilteringSection.ChildElements.Item("fileExtensions")
Set fileExtensionsCollection = fileExtensionsElement.Collection
Set addElement = fileExtensionsCollection.CreateNewElement("add")
addElement.Properties.Item("fileExtension").Value = ".exe"
addElement.Properties.Item("allowed").Value = False
fileExtensionsCollection.AddElement(addElement)
Set addElement1 = fileExtensionsCollection.CreateNewElement("add")
addElement1.Properties.Item("fileExtension").Value = ".com"
addElement1.Properties.Item("allowed").Value = False
fileExtensionsCollection.AddElement(addElement1)
Set addElement2 = fileExtensionsCollection.CreateNewElement("add")
addElement2.Properties.Item("fileExtension").Value = ".cmd"
addElement2.Properties.Item("allowed").Value = False
fileExtensionsCollection.AddElement(addElement2)
Set addElement3 = fileExtensionsCollection.CreateNewElement("add")
addElement3.Properties.Item("fileExtension").Value = ".bat"
addElement3.Properties.Item("allowed").Value = False
fileExtensionsCollection.AddElement(addElement3)
adminManager.CommitChanges()