1. セキュリティ強化

ファイルのアップロード機能を保護する

Version:
日本語翻訳に関する免責事項

このページの翻訳はAIによって自動的に行われました。可能な限り正確な翻訳を心掛けていますが、原文と異なる表現や解釈が含まれる場合があります。正確で公式な情報については、必ず英語の原文をご参照ください。

アップロード フォルダーのスクリプト実行の権限を拒否すると、Sitecoreインストールのセキュリティを強化できます。

このトピックでは、次の方法について説明します。

アップロードフォルダのスクリプトと実行の許可を拒否する

アップロード フォルダの内容の変更をユーザーに許可すると、スクリプトと実行可能プログラムをフォルダに配置する権限もユーザーに付与されます。これらのスクリプトやプログラムを実行すると、サーバー上で予期しない動作が発生する可能性があります。

これを回避するには、アップロード フォルダ内のスクリプトと実行可能ファイルを実行するアクセス許可を拒否し、ユーザーがアップロードされたファイルをダウンロードしようとしたときにサーバー側で実行されないようにします。

メモ

この手順を実行する必要があるのは、コンテンツ作成者が アップロード フォルダーにファイルを直接配置できる設定の場合のみです。例えば、共有ディレクトリやFTPサーバーを使用している場合、コンテンツ作成者は大量のメディアをメディアライブラリにすばやく配置できます。

アップロード フォルダに対するScriptExecuteの両方のアクセス許可を拒否します。

  1. インターネット インフォメーション サービス (IIS) マネージャーを開きます。

  2. 関連するWebサイトの アップロード フォルダーに移動してクリックし、IISセクションでダブルクリックします Handler Mappings

  3. Actionsパネルで、Edit Feature Permissionsをクリックします。

  4. Edit Feature Permissionsダイアログボックスで、ScriptチェックボックスとExecuteチェックボックスをオフにし、OKをクリックします。

コンテンツ作成者が共有ディレクトリやFTPサーバーなどを使用してtempフォルダに直接ファイルを配置できる設定の場合は、tempフォルダに対するユーザーのScript権限とExecute権限も拒否する必要があります。

これは、.aspxファイルが 一時 フォルダに保存されている場合など(カスタムコードなど)、潜在的なセキュリティ問題を回避するのにも役立ちます。

Upload Watcherの無効化

Sitecoreにファイルをアップロードする唯一の方法がメディア ライブラリからであることを確認するには、アップロード ウォッチャーを無効にする必要があります。つまり、Sitecoreクライアント内からのみファイルをアップロードでき、アップロードされるファイルを制御できます。

Upload Watcherを無効にすると、アップロード フォルダに配置されたファイルはメディアライブラリに自動的にアップロードされません。

アップロードウォッチャーを無効にするには:

  • web.configファイルを開き、<system.webServer><modules>セクションから次の文字列を削除します。

    <add type="Sitecore.Resources.Media.UploadWatcher,Sitecore.Kernel" name="SitecoreUploadWatcher"/>

ユーザーが特定の種類のファイルをアップロードできないようにする

完全に制御し、ユーザーが特定のファイルタイプ( .exe.dllなど)をアップロードできないようにする場合は、アップロードフィルターツールを使用できます。

Upload Filterツールをダウンロードしてインストールします

アップロード フィルター ツールは、ダウンロードできるSitecoreパッケージです。

アップロード フィルター ツールには、次のファイルが含まれています。

ファイル名

宛先フォルダ

UploadFilter.config

Website\App_Config\Include\

UploadFilter.dll

WebSite\bin\

Upload Filterツールをインストールするには:

  1. Sitecoreスタート画面で、Control Panelをクリックします。

  2. Administration sectionの下にあるInstall a Packageをクリックします。

  3. ウィザードの手順に従って、最初にパッケージをダウンロードしてからインストールします。

アップロード フィルター ツールの構成

アップロード フィルター ツールをインストールしたら、構成する必要があります。

アップロードフィルターツールを設定するには:

  1. UploadFilter.configファイルを開きます。

    <processors>
      <uiUpload>
          <processor mode="on" type="Sitecore.Pipelines.Upload.CheckExtension, Sitecore.UploadFilter" patch:before="*[1]">
              <param desc="Allowed extensions (comma separated)"></param>
              <param desc="Blocked extensions (comma separated)">exe,dll</param>
          </processor>                
      </uiUpload>
</processors>

  2. ユーザーが特定のファイル形式をアップロードできないようにするには:

    • Allowed extensionsパラメーターに、アップロードできるファイル拡張子の種類をコンマで区切ったリストを入力します。

      又は

    • Blocked extensionsパラメーターに、アップロードできないファイル拡張子の種類をコンマで区切ったリストを入力します。

    ファイル拡張子はドットなしで入力する必要があります。

    大事な

    Allowed extensionsパラメーターを設定すると、Blocked extensionsパラメーターは無視されます。

    ブロックリストにあるファイルタイプをアップロードしようとすると、次のメッセージが表示されます。

手記

アップロード フィルター ツールをインストールした後、アップロード プロセス中にエラーが発生した場合、Uploadダイアログがフリーズすることがあります。これは既知の問題であり、解決策があります。

この記事を改善するための提案がある場合は、 お知らせください!