How To: ASP.NET で Network Service アカウントを使用してリソースにアクセスする方法

How To: ASP.NET で Network Service ア...

J.D. Meier, Alex Mackman, Blaine Wastell, Prashant Bansode, Kishore Gopalan
Microsoft Corporation
August 2005
日本語版最終更新日 2006 年 1 月 19 日

適用対象

ASP.NET Version 1.1
ASP.NET Version 2.0
Microsoft(R) Windows Server(TM) 2003

概要

このガイドでは、NT AUTHORITY\Network Service マシンアカウントを使用してローカルおよびネットワークリソースにアクセスする方法について説明します。Windows Server 2003 のデフォルトでは、ASP.NET アプリケーションはこのアカウントの ID を用いて動作します。Network Service アカウントは、ユーザー権限とアクセス権を限定した、最小特権のアカウントですが、ネットワーククレデンシャルを使用することができます。つまり、このアカウントを使用することで、ドメイン内のネットワークリソースに対して認証を行うことができます。本ガイドでは、Network Service アカウントを使用して、Windows イベントログ、Windows レジストリ、ファイルシステム、さらにローカルおよびリモート SQL Server データベースなどのサーバーリソースにアクセスする方法について説明します。

このガイドの目的

Network Service アカウントを使用してリソースにアクセスする場合の制限事項を確認する。
Network Service アカウントを使用して次のリソースタイプにアクセスする。
- Windows イベントログ
- Windows レジストリ
- ローカルファイルシステム
- ローカルおよびリモートデータベース

はじめに

Windows Server 2003 環境で動作する Microsoft Internet Information Services (IIS) 6.0 のデフォルト設定では、NT AUTHORITY\Network Service アカウント ID を使用するアプリケーションプールで ASP.NET アプリケーションを実行します。Network Service アカウントは、権限を限定した最小特権のマシンアカウントです。このアカウントを用いて動作するアプリケーションは、イベントログやレジストリ、ファイルシステムへのアクセスが制限されます。Network Service アカウントはネットワーククレデンシャルを持ちます。つまり、Windows 認証を用いることで、ネットワークリソースやリモートデータベースにアクセスできます。ただし、ネットワークリソースは、Web サーバーと同じドメインまたは信頼されたドメインのいずれかになければいけません。
状況的に、Network Service アカウントを使用するより、カスタムドメインサービスアカウントを使用した方がよい場合があります。カスタムドメインサービスアカウントを使用した方がよいのは次のような場合です。

1 つのサーバー上の複数アプリケーションを一意に区別したい場合。
ローカルリソースとリモートリソースに対するアクセスコントロールをアプリケーション単位で設定したい場合。たとえば、アクセスをアプリケーションのアカウントに制限しているアプリケーションのデータベースには、他のアプリケーションがアクセスすることはできません。
Windows 監査を使用してアプリケーションの活動をアプリケーション単位でトラックしたい場合。
汎用の Network Service アカウントに関連付けられたアクセスコントロールや権限が偶発的または故意に変更された場合のアプリケーションへの影響を回避したい場合。

このガイドでは、Network Service アカウントを使用して、イベントログやレジストリ、ファイルシステム、データベースといった様々なリソースにアクセスする方法について説明します。

イベントログアクセス

Network Service ID を用いて動作するアプリケーションは、既存のイベントソースを使用することでイベントログに書き込みすることができますが、レジストリ権限が十分ではないため、新規イベントソースを作成することはできません。EventLog.Write メソッドを使用した場合、指定のイベントソースが存在していないと、メソッドはイベントソースの作成を試みます。このときレジストリに適切な権限が設定されていないと、セキュリティ例外が発生します。

注意アプリケーション独自のイベントソースを使用すると、他のアプリケーションのイベントとの区別が容易になるため便利です。

ASP.NET アプリケーションが存在しないイベントソースを使用してイベントログへの書き込みをできるようにするには、次の 2 通りの方法があります。

アプリケーションのインストール時に新規イベントソースを作成する
レジストリのイベントログエントリへの書き込みアクセス権を付与する

インストール時に新規イベントソースを作成する

この方法では、インストールユーティリティを使用して実行する特殊なインストーラクラスを作成し、インストール時、管理者権限が有効な場合に新規イベントソースを作成します。インストールユーティリティは、新規イベントソースを作成する権限を持つ管理者アカウントを使用して実行します。
インストーラクラスを作成してイベントソースを作成するには

Visual Studio .NET 2005 を使用して、InstallerClass.dll という名前のクラスライブラリプロジェクトを作成します。InstallerClass プロジェクトに System.Configuration.Install への参照を追加します。
CustomEventLogInstaller クラスを指定し、System.Configuration.Install.Installer から派生させます。
クラスの RunInstaller 属性に true を設定します。

アプリケーションに必要な新しいイベントログごとに System.Diagnostics.EventLogInstaller インスタンスを生成し、Installers.Add を呼び出して生成したインスタンスをプロジェクトのインストーラクラスに追加します。次のサンプルクラスは、customLog という名前の新規イベントソース 1 つを Application Event Log に追加します。

using System;
using System.Configuration.Install;
using System.Diagnostics;
using System.ComponentModel;
 
[RunInstaller(true)]
public class CustomEventLogInstaller: Installer
{
   private EventLogInstaller customEventLogInstaller;
   public CustomEventLogInstaller() 
   {
      // 'EventLogInstaller' のインスタンスを生成します。
      customEventLogInstaller = new EventLogInstaller();
      // 作成する、イベント ログの 'Source' を設定します。
      customEventLogInstaller.Source = "customLog";
      // ソースの作成先である 'Event Log' を設定します。
      customEventLogInstaller.Log = "Application";
      // 'InstallerCollection' に myEventLogInstaller を追加します。
      Installers.Add(customEventLogInstaller);   
   }
   public static void Main()
   {
   }
}

コードをコンパイルして、InstallerClass.dll ライブラリを生成します。
管理者権限を持つアカウントを使用し、コマンドラインに DLL 名を指定して InstallUtil.exe ユーティリティを実行します。たとえば、Visual Studio コマンドプロンプトをオープンし、次のコマンドを入力します。
```
InstallUtil.exe <dll path>\InstallerClass.dll
```

インストールユーティリティは、このクラスを使用して呼び出されると、RunInstallerAttribute の値を見に行きます。値が true の場合、ユーティリティは Installers コレクション内のすべての項目をインストールします。これにより、指定のイベントソースが ASP.NET アプリケーションに対して作成されます。

書き込みアクセス権を付与する

新規イベントソースを実行時に作成するためには、EventLog.WriteEntry メソッドは次のレジストリキーの下に新しいエントリを作成する必要があります。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\
Network Service アカウントにこのレジストリキーへの書き込みを許可するには

レジストリエディタツールの Regedit.exe を起動します。
左側パネルで、上記のレジストリパスをたどり、[EventLog] フォルダアイコンを見つけます。
[EventLog] フォルダで右クリックし、[アクセス許可] をクリックします。
[Permission for Eventlog] ダイアログボックスで、[Add] をクリックします。
[Select Users, Computers, or Groups] ダイアログボックス上のテキストボックスに "NETWORK SERVICE" と入力して、[Check Namess] をクリックします。Network Service 名の下にアンダーラインが引かれ、有効なセキュリティプリンシパルであることが示されます。[OK] をクリックします。
[Permission for Eventlog] ダイアログボックスで、一覧から [Network Service] ユーザー名をクリックし、[Permissions for NETWORK SERVICE] セクションで、[Allow] 欄下の [Full Control] チェックボックスをオンにします。[Apply] をクリックし、続いて [OK] をクリックします。

Network Service アカウントに、レジストリに新規イベントソースを作成する権限が付与されました。

注意レジストリの編集は、誤った操作を行うとシステムが不安定になることがあります。レジストリを編集する場合は十分な注意の上行うようにしてください。推奨方法としては、レジストリを直接編集せず、インストール時に新規イベントソースを作成するなど別のテクニックの使用をお奨めします。

ヘルスモニタリング

ASP.NET Version 2.0 のヘルスモニタリング機能は、設定に従い、Windows アプリケーションイベントログに書き込みを行って重要なライフタイムおよびセキュリティイベントを通知します。ASP.NET のヘルスモニタリング機能を使用することで、コード内でカスタムイベントを発生させてイベントログに書き込みすることができます。この方法では EventLog.WriteEntry を使用しませんが、あらかじめ定義したイベントソースしか使用できません。ヘルスモニタリング機能の詳細については、How To: ASP.NET 2.0 でヘルスモニタリング機能を使用する方法を参照してください。

レジストリアクセス

Network Service アカウントにはレジストリへの書き込みアクセス権がありません。アプリケーションでレジストリへの書き込みが必要な場合は、対象となるレジストリキーの必要なアクセスコントロールリスト (ACL) を設定しなければいけません。

Network Service にレジストリアクセス権を付与する

次の例のアプリケーションは、Windows が自動同期を行うインターネットタイムサーバー名を変更、表示する必要があります。オペレータは、コントロールパネルの [日付と時刻] の [インターネット時刻] タブを使用することでこの設定を変更できます。
アプリケーションは、次のレジストリキーを修正する必要があります。
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\DateTime\Servers
Network Service アカウントに上記レジストリキーへの書き込みアクセスを許可するには
次の手順を実行するには、レジストリセキュリティを変更する権限を持つ管理者アカウントを使用する必要があります。

タスクバー上で、[Start] をクリックし、続いて [Run] をクリックします。[Open] ボックスに "regedit" と入力して、[OK] をクリックします。
左側パネルで、上記レジストリパスをたどり、[DateTime] フォルダアイコンを見つけます。
[DateTime] フォルダアイコンを右クリックし、[Permissions] をクリックします。
[Permission for Servers] ダイアログボックスで、[Add] ボタンをクリックします。
[Select Users, Computers, or Groups] ダイアログボックス上のテキストボックスに NETWORK SERVICE と入力して、[Check Names] をクリックします。Network Service 名の下にアンダーラインが引かれ、有効なセキュリティプリンシパルであることが示されます。[OK] をクリックします。
[Permission for Servers] ダイアログボックスで、一覧から [Network Service] ユーザー名をクリックし、[Permissions for NETWORK SERVICE] セクションで、[Advanced] をクリックします。
[Advanced Security Settings for Servers] ダイアログボックスで、[Network Service] をクリックし、続いて [Edit] をクリックします。
[Permission for Servers] ダイアログボックスで、[Allow] 欄の [Set Value] および [Create Subkey] チェックボックスをオンにして書き込みアクセスを許可します。[Permissions] ダイアログボックスがクローズされるまで、[OK] を何度かクリックします。

注意レジストリの編集は、誤った操作を行うとシステムが不安定になることがあります。レジストリを編集する場合は十分な注意の上行うようにしてください。

以上で、ASP.NET アプリケーションは、次のサンプルのようなコードを使用してインターネットタイムサーバー名を変更、表示できるはずです。

using Microsoft.Win32;
...
protected void Button1_Click(object sender, EventArgs e)
{
//タイム サーバーを変更します。
RegistryKey rk = Registry.LocalMachine.OpenSubKey(
@"SOFTWARE\Microsoft\Windows\CurrentVersion\DateTime\Servers", 
true); //書き込み可能 - 適切なアクセス権がないと失敗します。
string sDefault = (String)rk.GetValue("");
int iDefault = Convert.ToInt32(sDefault);
// すべてのサーバー名の配列です。
string[] sServers = rk.GetValueNames(); // サブ キーの列挙が必要です。
iDefault++;
if (iDefault >= sServers.Length) 
iDefault=1;
rk.SetValue("", iDefault.ToString());
// 表示を更新します。
Response.write(rk.GetValue(sServers[iDefault]).ToString());
}

ファイルアクセス

Network Service アカウントは、IIS サーバールートフォルダ上にデフォルトで読み取りおよび実行権限を持ちます。IIS サーバーのルートフォルダ名は wwwroot です。つまり、このルートフォルダ内に配置された ASP.NET アプリケーションは、最初から、自身のアプリケーションフォルダへの読み取りおよび実行権限を持っていることになります。ただし、ASP.NET アプリケーションでこれ以外の場所にあるファイルまたはフォルダを使用する必要がある場合は、別個にアクセスを有効にしなければいけません。

Network Service にファイルアクセスを付与する

Network Service として動作する ASP.NET アプリケーションへのアクセスを可能にするには、Network Service アカウントに対してアクセス権を付与しなければいけません。
特定のファイルに対する読み取り、書き込み、修正権限を付与するには

Windows エクスプローラで、対象ファイルを選択します。
ファイルで右クリックし、[Properties] をクリックします。
[Properties] ダイアログボックスで、[Security] タブをクリックします。
[Security] タブで、ユーザーの一覧を確認します。Network Service アカウントが一覧になければ、追加します。
[Properties] ダイアログボックスで [Network Service] ユーザー名をクリックし、[Permissions for NETWORK SERVICE] セクションで、[Read] および [Write]、[Modify] 権限を選択します。
[Apply] をクリックし、続いて [OK] をクリックします。

ASP.NET アプリケーションからの対象ファイルへの書き込みが可能になりました。

注意 ASP.NET アプリケーションを実行するすべてのアカウント (Network Service またはカスタムサービスアカウント) に対して、同一レベルのファイルアクセスを許可する必要があるときは、個々の Network Service アカウントではなく、IIS_WPG グループにアクセス権を付与できます。ASP.NET の実行に使用されるすべてのアカウントは、IIS_WPG グループのメンバでなければいけません。

カスタムアカウントを作成して ASP.NET アプリケーションを実行する方法については、How To: ASP.NET 2.0 アプリケーション用のサービスアカウントを作成する方法を参照してください。

SQL Server

ASP.NET アプリケーションは、データベースに接続中は Windows 認証を使用しなければいけません。Windows 認証を使用することで、接続文字列に強力なデータベースクレデンシャルを使わずに済み、またデータベースサーバーにネットワーク経由でパスワードを渡さなくてもよくなります。
Windows 認証を使用した場合、認証にはデフォルトでアプリケーションのプロセスアカウントが使用されます。データベースへのアクセスを可能にするためのアカウントの必要条件は以下のようになります。

データベースサーバー上の SQL Server ログイン。
必要なデータベース内の必要なオブジェクト (たとえば、ストアドプロシージャ、ビュー、テーブルなど) に対するアクセス権。

ローカル SQL Server へのアクセス権を付与する

SQL Server が Web サーバー上にある場合は、NT AUTHORITY\Network Service に対してデータベースログインを作成しなければいけません。
Network Service を用いてローカル SQL Server データベースにアクセスするには

SQL Server Enterprise Manager を起動します。
左側ペインでフォルダを展開し、ローカル SQL Server の [Security] フォルダを見つけます。
[Security] フォルダで [Logins] を右クリックし、続いて [New Login] をクリックします。
[SQL Server Login Properties - New Login] ダイアログボックスの [Name] ボックスに、"NT AUTHORITY\NETWORK SERVICE" と入力します。その他の設定はデフォルトのままで、[OK] をクリックします。
[Databases] フォルダを展開し、続いて Pubs データベース (または Pubs に相当するデータベース) を展開します。
[Users] を右クリックし、続いて [New Database User] をクリックします。
[Database User Properties - New User] ダイアログボックスで、NT AUTHORITY\NETWORK SERVICE アカウントを選択します。
[Permit in Database Role] リストで、[db_datareader] チェックボックスをオンにします。
[OK] をクリックし、続いて SQL Server Enterprise Manager を終了します。

Network Service アカウントに、指定データベースのテーブル内のデータを読み取る権限が付与されました。
現実のアプリケーションの要件はおそらくもっと複雑です。たとえば、ある特定のテーブルには読み取りアクセスを、それ以外のテーブルには更新アクセスを許可したいといった状況等が考えられるでしょう。SQL インジェクションによるリスクの軽減を支援する推奨アプローチは、Network Service アカウントに、選択したストアドプロシージャセットに対する実行権限を付与し、直接的なテーブルアクセスを回避することです。

リモート SQL Server へのアクセス権を付与する

同一ドメイン内 (または信頼済みドメイン内) の別のサーバー上にあるデータベースにアクセスする場合は、データベースへの認証に Network Service アカウントのネットワーククレデンシャルが使用されます。 Network Service アカウントのクレデンシャルは DomainName\AspNetServer$ という書式で、 DomainName は ASP.NET サーバーのドメイン、 AspNetServer は Web サーバー名を表します。
たとえば、ASP.NET アプリケーションが、CONTOSO ドメイン内にある SVR1 という名前のサーバー上で動作する場合、SQL Server は CONTOSO\SVR1$ からデータベースアクセスリクエストを受け取ります。
Network Service を使用してリモート SQL Server にアクセスするには
同一ドメインまたは信頼済みドメイン内にあるリモートデータベースサーバーへのアクセス権を付与する手順は、手順 4 を除き、前述のローカルデータベースサーバーの場合と同じです。手順 4 で、データベースログインの作成に DomainName\AspNetServer$ アカウントを使用してください。

注意本番環境では、Network Service サービスアカウントを Windows グループに配置し、SQL Server ログインを Windows グループに作成するようにしてください。

ご意見、ご提案

このガイドに関するご意見、ご提案等がございましたら、Wiki またはメールでお寄せください。

Wiki: Security Guidance Feedback ページ (英語): http://channel9.msdn.com/wiki/default.aspx/Channel9.SecurityGuidanceFeedback
メール: secguide@microsoft.com (英語) までメールをお寄せください。

特に、以下に関するご意見、ご提案をお待ちしております。

推奨事項に関する技術的な問題
実用性および利便性に関する問題

テクニカルサポート

本ガイドに記載されているマイクロソフトの製品およびテクノロジに関するテクニカルサポートは、Microsoft Support Services で対応いたします。製品サポートの詳細につきましては、Microsoft Support のサイト http://support.microsoft.com/ を参照してください。

コミュニティおよびニュースグループ

次のフォーラムおよびニュースグループより、コミュニティサポートが提供されています。

MSDN Online 開発者向けニュースグループ: http://www.microsoft.com/japan/msdn/newsgroups/
ASP.NET Forums (英語): http://forums.asp.net/

上手なご利用方法としては、実際にお使いのテクノロジあるいは実際の問題に対応したニュースグループを参照していただくとよいでしょう。たとえば、ASP.NET のセキュリティ機能に関する問題が発生している場合は、ASP.NET Security フォーラムのご利用をお奨めします。

テスト、編集、リリースチーム

テストチーム: Larry Brader, Microsoft Corporation; Nadupalli Venkata Surya Sateesh, Sivanthapatham Shanmugasundaram, Infosys Technologies Ltd.
編集チーム: Nelly Delgado, Microsoft Corporation; Sharon Smith, Linda Werner & Associates, Inc.; Tina Burden McGrayne, TinaTech Inc.
リリース管理:Sanjeev Garg, Microsoft Corporation

ページのトップへ

プロファイル (個人情報) の管理 | お問い合わせ先 | MSDN Flash ニュースレター | 日本での個人情報の取り扱い | サイトマップ

適用対象

概要

目次

このガイドの目的

はじめに

イベント ログ アクセス

インストール時に新規イベント ソースを作成する