Return-Path: owner-bugtraq-jp@SECURITYFOCUS.COM X-Mailer-Plugin: Marking Helper for AL-Mail Ver.1.14 Rev.0 MIME-Version: 1.0 X-Mailer: AL-Mail32 Version 1.11 Content-Type: text/plain; charset=iso-2022-jp Message-ID: <200004240626.AA00388@TEST-SERVER.cc.rim.or.jp> Date: Mon, 24 Apr 2000 15:26:01 +0900 Reply-To: Tomoki Sanaki Sender: BUGTRAQ-JP List From: Tomoki Sanaki Subject: [IIS] =?ISO-2022-JP?B?GyRCJSIlKyUmJXMlSCVtJUMlLyUiJSYlSDhlGyhK?= =?ISO-2022-JP?B?GyRCJEslbSUwJSQlcyRHJC0kayEjGyhC?= X-To: BUGTRAQ-JP@SECURITYFOCUS.COM To: BUGTRAQ-JP@SECURITYFOCUS.COM 佐名木という者です。 -------------------------------------------------- [テスト環境] 環境 (全て日本語版ソフトウェア) IIS4.0 + WindowsNT4.0 + SP3 IIS4.0 + WindowsNT4.0 + SP6a [テスト方法] 1.ユーザマネージャで、(ローカル)ユーザを作成。 2.FTP でログインできるかとどうかテスト。(ログインする) 3.とりあえず、ログアウト。 4.FTP でロックアウトされるまで、ログイン失敗を繰り返した後 5.ログイン手続きを実施すると、ログイン可能。 塩月さんの話だと、 一度ログインする必要があるとの事でした。 つまり、2. 3. の処理をすっ飛ばすと、 ロックアウト後のログイン可能状態を作り出せない。 ------------------------------------------------- [原因と解決方法] Microsoft のナレッジ・ベース http://support.microsoft.com/ support/kb/articles/Q152/5/26.asp?LN=EN-US&SD=gn&FR=0 によると、 IIS がアカウント情報をキャッシュし、 デフォルトは、15 分という事です。 レジストリ HKLM\System\CurrentControlSet\Services\InetInfo\Parameters 値 : UserTokenTTL タイプ : REG_DWORD データ : 数(秒数) これが関係していると思われます。 ということで、HTTP での認証についても同様だと思われます。(推測) ------------------------------------------------- [問題点] と思われる事柄 「Microsoft Internet Information Server 4.0 セキュリティ チェックリスト」 http://www.microsoft.com/japan/security/iis/checklist.htm には、そのような設定(先ほどのレジストリの追加)をしなさいとは 書かれていません。 さらに、イベントビューアには、 アカウントロックアウト後のログイン (テスト方法の 5.)が残らないようです。 つまり、Web & FTP サーバが立ち上がっているサイトで、 アカウントロックアウトを設定している場合、 アカウントロックアウトのイベントがログに残っていたら、 その後で、攻撃者がログインに成功していたかも知れません。 ------------------------------------------------- 以上、よろしくお願いします 2000-4/24(月) 14:11:8 作成開始 ----------------------------------------------------- 佐名木 智貴(Tomoki Sanaki) E-mail=active@window.goukaku.com PGP FingerPrint = 34E5 2A31 45C8 2CB5 3CED 0B46 F328 A402 7182 DCC6