++ SecureIIS Web Server Protection インストール++

SecureIIS Web Server Protection トラブル続出　"Could not Arm SecureIIS Module" 2005.10.25

この SecureIIS Web Server Protection をインストすると IIS の設定を勝手にいじられてしまい、トラブルが起きる。
いじってもアンインストール時に元に戻してくれるなら許せるが、やりっ放しには参ってしまった。
おかげで、様々なトラブルの原因を突き止めて修復しなければならなくなり、脂汗を流し無駄な時間をつかってしまった。

■　Site Security が有効にならない！？　--

Could not Arm SecureIIS Module
なにか情報がないかと日本語版をだしているキャノンのページをみても2002年で更新が止まっていて、全くやる気がないようだ。
で、"Could not Arm SecureIIS Module"の情報がないかとネットを検索してみたところ、こんな書き込みがあり SecureIIS v2.04 は Windows 2003 をサポートしてない

ようだ。

動かそうとサイトのセキュリティを起動しようとすると、再起動が求められるって？なんのこっちゃ？

結局、Could not Arm SecureIIS Module のメッセージが返され、有効にならない！

バージョンが絡んでいるだろとバージョン履歴を探っても出てこず、手がかりがつかめない。
ホームページ上のスペックを見てみると、

Windows NT 4.0, IIS 4.0 and Service Pack 6
Windows 2000, IIS 5.0 and Service Pack 1 or greater
Windows 2003, IIS 6.0 (Isolation Mode)
IIS Proxy Server is not supported

Note: Personal Edition not supported on IIS 6.0　IIS6.0がメインになりつつあり、これでは評価できねぇべぇ・・・

とあるが、

他方、SecureIIS Data Sheet (pdf)を見てみると、

となっていて、どうやらこの pdf 版のデータシートの方が Windows 2003 SP1 と書かれており、新しいようにも思えるが・・・・？？

いずれにしても、こんな肝心な情報をいい加減に扱っていて「ようもセキュリティを売り物にできるものだ！・・・」と、あきれている。

いまのところ、原因はつかめていない。

■　使い物にならず、アンインストールしてもトラブル続出！！！
①　Movable Type の index.html にアクセスできなくなった
http://c3plamo.ddns.net/blog/index.html　と　http://c3plamo.ddns.net/blog2/index.html　が開けなくなった。

”The specified procedure could not be found.”

いろいろ調べたらIISの設定に変なものを書き込んでいたのが原因だった。

赤枠内を削除して、２つのブログがちゃんと開けるようになった。

②　ブログのカウンターが動かなくなった。
現象的にはここにかかれているように枠がでてすぐにきえてしまうものだ。
原因は blog のなかの cgi-bin の設定( Scripts and Executables → None ）に変更されていた。

見えてないだけで他にもトラブルがありそうである・・・・・

その後で分かったことだが、SecureIIS Web Server Protection の設定が削除されずに残っていて、しかも「許可」されていた。すぐに「禁止」にしたがそれだけでは問題はなに一つ解消されなかった。こんな表面てきなことではなさそうである。

Web Service Extensions　を削除できない問題について
http://blogs.msdn.com/david.wang/archive/2005/12/26/HOWTO_Delete_Web_Service_Extensions_that_cannot_be_normally_Deleted.aspxから引用させてもらった。

There are a few of ways to work-around this:

Manually edit metabase.xml to remove the Web Service Extension
Manually edit metabase.xml to change the Web Service Extension to be deletable, then run iisext.vbs to delete it
Change iisext.vbs to delete "read-only" Web Service Extensions

Whichever option?you choose depends on what you are comfortable with. I personally prefer #3 because it is the least invasive, and I do not encourage manual editing of metabase.xml. XML is finicky in format so more things can go wrong than right.

Modification of metabase.xml by Removal

NET STOP IISADMIN /Y
Open %windir%\System32\inetsrv\metabase.xml with an editor like notepad (if on 64bit machine, make sure to do this with a 64bit editor because 32bit editor will be restricted from accessing the System32 directory under which metabase.xml resides)?
Search for the word "WebSvcExtRestrictionList" (sans the quotes)
Look through the list of items and locate the Web Service Extension you want to delete and remove that entire line. Be careful if it happens to be the first or last item on the list - you must preserve?the leading/trailing quotes of the WebSvcExtRestrictionList attribute
NET START W3SVC (and restart any other services that stopped with NET STOP IISADMIN /Y)

Yes, I know there is Edit While Running that simplifies the first and last steps, but I do not like turning on more product features to perform product work-arounds. Remember you are trying to work-around something, so you want less, not more code of that "something" (in this case IIS) running. You can make your own judgement.

Modification of metabase.xml by Changing

NET STOP IISADMIN /Y
Open %windir%\System32\inetsrv\metabase.xml with an editor like notepad (if on 64bit machine, make sure to do this with a 64bit editor because 32bit editor will be restricted from accessing the System32 directory under which metabase.xml resides)
Search for the word "WebSvcExtRestrictionList" (sans the quotes)
Look through the list of items and locate the Web Service Extension you want to delete and change its "0" to a "1". For example, suppose I want to change ASP to be deletable. I would change the following:
```
1,C:\WINDOWS\System32\inetsrv\asp.dll,0,ASP,Active Server Pages
```
to:
```
1,C:\WINDOWS\System32\inetsrv\asp.dll,1,ASP,Active Server Pages
```
NET START W3SVC (and restart any other services that stopped with NET STOP IISADMIN /Y)

Yes, I know there is Edit While Running that simplifies the first and last steps, but I do not like turning on more product features to perform product work-arounds. Remember you are trying to work-around something, so you want less, not more code of that "something" (in this case IIS) running. You can make your own judgement.
Now run your iisext.vbs /RmFile command and it should succeed.

Modification of iisext.vbs

You should search for the following block of code in %windir%\System32\iisext.vbs:

For i=0 to UBOUND(restrictions)
    If UCASE(restrictions(i).FilePath) = UCASE(strAppName) Then
        If restrictions(i).Deletable = 1 Then
            WebSvcObj.DeleteExtensionFileRecord strAppName
            bDel = True
        End If
    End If
Next

And change it to this (note the single-quote added at the beginning of those two lines):

For i=0 to UBOUND(restrictions)
    If UCASE(restrictions(i).FilePath) = UCASE(strAppName) Then
        'If restrictions(i).Deletable = 1 Then
            WebSvcObj.DeleteExtensionFileRecord strAppName
            bDel = True
        'End If
    End If
Next

All you did is change the script to delete the Web Service Extension regardless if it is "read only" or not. This should allow you to subsequently run your iisext.vbs /RmFile command to do what you wanted.

まだ、ためしていないがやってみる価値がありそうである。
それにしても SecureIIS Web Server Protection というソフトは要注意である。

ホームへ　　　　　もくじ　　　 The system cannot find the path specified　IIS6.0が壊れた