Тази статия описва стъпка по стъпка минималните разрешения, които се изискват за специален уеб сървър на Internet Information Services (IIS) 5.0, IIS 5.1 или IIS 6.0.
Предупреждение Тази статия важи само за специални уеб сървъри, които използват основна функционалност на IIS, като например да обслужват HTML статично съдържание или просто съдържание на страници в активен сървър (ASP). Изискванията за разрешения, описани в тази статия, са конкретни САМО за основните разрешения за специален уеб сървър, който изпълнява IIS 5.x или 6.0. Тази статия не взема под внимание други продукти на Microsoft или на трети страни, които може да изискват различни разрешения. Препоръчително е да преглеждате статии, които се отнасят конкретно до ролите на вашия уеб сървър, както и да изпълнявате тестове, преди да извършвате промени в разрешенията на даден производствен уеб сървър. За връзки към сродни статии за други продукти на Microsoft вижте раздел "Препратки".
Ако приложите тези разрешения към IIS сървър, който изпълнява други роли, като например Microsoft Exchange Server 5.5, Microsoft Exchange Server 2000 или приложения на трети страни, които зависят от допълнителни разрешения, е възможно продуктите да не работят по очаквания начин.
За допълнителна информация относно необходимите разрешения за IIS 6.0 щракнете върху следния номер на статия, за да прегледате статията в базата знания на Microsoft:
Разрешения по подразбиране и потребителски права за IIS 6.0
(Това може да е на английски)
Тестването за този документ включва следните функционални тестове:
Хипертекстови документи (HTML)
Страници в активен сървър (ASP)
FrontPage Server Extensions, като например свързване, редактиране и записване, ако FPSE са разрешени, докато използвате инструмента за заключване
Връзки със слоеве на защитени сокети (SSL)
Документът не се отнася до никое от конкретните изисквания за защита на следните роли на сървъри или приложения:
Домейнов контролер на Windows 2000
Microsoft Exchange 5.5 или Microsoft Exchange 2000 Outlook Web Access
Microsoft Small Business Server 2000
Microsoft SharePoint Portal или Team Services
Microsoft Commerce Server 2000 или Microsoft Commerce Server 2002
Microsoft BizTalk Server 2000 или Microsoft BizTalk Server 2002
Сървър на Microsoft за управление на съдържание 2000 или сървър на Microsoft за управление на съдържание 2002
Център за приложения на Microsoft 2000
Прегледайте документациите на сървъра и приложението за конкретни изисквания за сигурност. Връзки към сродни статии в базата знания са предоставени в раздел "Препратки".
Преди да приложите разрешенията, описани в тази статия, е препоръчително да изпълните най-актуалната версия на инструмента за заключване на IIS. За допълнителна информация относно инструмента посетете следния уеб сайт на Microsoft:
Следните програми и услуги са инсталирани като част от пакета тестове, използвани за тестване на защитата на сървъра след предоставянето на разрешенията, описани в тази статия:
Индексни услуги
Терминални услуги
Дебъгер за скриптове
IIS
Общи файлове
Документация
FrontPage Server Extensions 2000
Диспечер за интернет услуги (HTML)
WWW
FTP
Предоставяне на собственост и разрешения на администратора и на системата
За да зададете разрешения на системата:
Отворете Windows Explorer. За да направите това, щракнете върху Start ("Старт"), щракнете върху Programs ("Програми") и след това щракнете върху Windows Explorer ("Windows Explorer").
Разгънете My Computer ("Моят компютър").
Щракнете с десния бутон върху системния диск (обикновено това е устройство C) и след това щракнете върху Properties ("Свойства").
Щракнете върху раздела Security ("Защита") и след това щракнете върху Advanced ("Разширени"), за да отворите диалоговия прозорец Access Control Settings for Local Disk ("Достъп до настройките на управлението за локалния диск").
Щракнете върху раздела Owner ("Собственик"), поставете отметка в квадратчето Replace Owner on Sub containers and Objects ("Заместване на собственика на подконтейнерите и обектите") и след това щракнете върху Apply ("Приложи").
Ако получите следното съобщение за грешка, щракнете върху Continue ("Продължи"):
Възникна грешка при прилагането на информация за защита към %systemdrive%\Pagefile.sys
Ако получите следното съобщение за грешка, щракнете върху Yes ("Да"):
Нямате разрешение за четене на съдържанието на директория %systemdrive%\System Volume Information - Искате ли да замените разрешението за директорията - Всички разрешения ще бъдат заменени и ще ви бъде предоставено пълен контрол
Щракнете върху OK ("ОК"), за да затворите диалоговия прозорец.
Щракнете върху Add ("Добави").
Добавете следните потребители и след това им предоставете NTFS разрешението за пълен контрол:
Администратор
Система
Създател-собственик
След като сте добавили тези NTFS разрешения, щракнете върху Advanced ("Разширени"), поставете отметка в квадратчето Reset permission on all child objects and enable propagation of inheritable permissions ("Подновяване на разрешенията на всички обекти-наследници и разрешаване на разпространението на наследяваните записи за разрешения") и след това щракнете върху Apply ("Приложи").
Ако получите следното съобщение за грешка, щракнете върху Continue ("Продължи"):
Възникна грешка при прилагането на информация за защита към %systemdrive%\Pagefile.sys
След като подновите NTFS разрешенията, щракнете върху OK ("ОК").
Щракнете върху групата Everyone ("Всеки"), щракнете върху Remove ("Премахни") и след това щракнете върху OK ("ОК").
Отворете папката със свойства за %systemdrive%\Program Files\Common Files и след това щракнете върху раздела Security ("Защита"). Добавете акаунта, който се използва за анонимен достъп. По подразбиране това е акаунта IUSR_<MachineName>. След това добавете групата на потребителите. Уверете се, че само следните са избрани:
Read & Execute ("Четене и изпълнение")
List Folder Contents ("Списък на съдържанието на папката")
Read ("Четене")
Отваряне на свойствата за главната директория, която съдържа вашето уеб съдържание. По подразбиране това е папката %systemdrive%\Inetpub\Wwwroot. Щракнете върху раздела Security ("Защита"), добавете акаунта IUSR_<MachineName> и групата на потребителите и след това се уверете, че са избрани само следните:
Read & Execute ("Четене и изпълнение")
List Folder Contents ("Списък на съдържанието на папката")
Read ("Четене")
Ако искате да предоставите NTFS разрешение за запис за Inetpub\FTProot или пътя до директорията за вашия FTP сайт или сайтове, повторете стъпка 15.
Забележка Не е препоръчително да предоставяте NTFS разрешения за запис на анонимния акаунт в която и да е директория, включително в директориите, използвани от FTP услугата. Това може да доведе до качване на ненужни данни на вашия уеб сървър.
Забранете наследяването в системните директории
В папката %systemroot%\System32 изберете всички папки с изключение на следните:
Inetsrv
Certsrv (ако е налична)
COM
Щракнете с десния бутон върху останалите папки, щракнете върху Properties ("Свойства") и след това щракнете върху раздела Security ("Защита").
Щракнете, за да отстраните отметката от квадратчето Allow inheritable permissions ("Разрешаване на наследяваните разрешения"), щракнете върху Copy ("Копирай") и след това върхуOK ("ОК").
В папката %systemroot% изберете всички папки с изключение на следните:
Асемблиране (ако е налична)
Изтеглени програмни файлове
Помощ
Microsoft.NET (ако е налична)
Офлайн уеб страници
System32
Задачи
Temp
Уеб
Щракнете с десния бутон върху останалите папки, щракнете върху Properties ("Свойства") и след това щракнете върху раздела Security ("Защита").
Щракнете, за да отстраните отметката от квадратчето Allow inheritable permissions ("Разрешаване на наследяваните разрешения"), щракнете върху Copy ("Копирай") и след това върхуOK ("ОК").
Приложете разрешения към следните:
Отворете свойствата за папката %systemroot%, щракнете върху раздела Security ("Защита"), добавете акаунтите IUSR_<MachineName> и IWAM_<MachineName> и групата Users ("Потребители"), след което се уверете, че са избрани само следните:
Read & Execute ("Четене и изпълнение")
List Folder Contents ("Списък на съдържанието на папката")
Read ("Четене")
Отворете свойствата за папката %systemroot%\Temp, изберете акаунта IUSR_<MachineName> (този акаунт вече е наличен, тъй като наследява от папката Winnt) и след това поставете отметка в квадратчето Modify ("Модифициране"). Повторете тази стъпка за акаунта IWAM_<MachineName> и за групата Users ("Потребители").
Ако клиенти на FrontPage Server Extension, като например FrontPage или Microsoft Visual InterDev, се използват, отворете свойствата за папката %systemdrive%\Inetpub\Wwwroot, изберете групата Authenticated Users ("Удостоверени потребители"), изберете следното и след това щракнете върху OK ("ОК"):
Modify ("Модифициране")
Read & Execute ("Четене и изпълнение")
List Folder Contents ("Списък на съдържанието на папката")
В следната таблица са изброени разрешенията, които ще бъдат приложени, когато следвате стъпките в раздел "Забраняване на наследяването в системните директории". Тази таблица е само за справка.
За да приложите разрешенията в следната таблица:
Отворете Windows Explorer. За да направите това, щракнете върху Start ("Старт"), щракнете върху Programs ("Програми"), щракнете върху Accessories ("Принадлежности") и след това щракнете върху Windows Explorer ("Windows Explorer").
Разгънете My Computer ("Моят компютър").
Щракнете с десния бутон на мишката върху %systemroot% и след това щракнете върху Properties ("Свойства").
Щракнете върху раздела Security ("Защита") и след това щракнете върху Advanced ("Разширени").
Щракнете двукратно върху Permission ("Разрешение") и след това изберете подходящата настройка от списъка Apply Onto ("Прилагане върху").
Забележка В колоната "Прилагане към" терминът "По подразбиране" се отнася към "Тази папка, подпапки и файлове".
Сгъване на таблицатаРазгъване на таблицата
Директория
Потребители\Групи
Разрешения
Прилагане към
%systemroot%\ (c:\winnt)
Администратор
Пълен контрол
По подразбиране
Система
Пълен контрол
По подразбиране
Потребители
Четене, изпълнение
По подразбиране
%systemroot%\system32
Администратори
Пълен контрол
По подразбиране
Система
Пълен контрол
По подразбиране
Потребители
Четене, изпълнение
По подразбиране
%systemroot%\system32\inetsrv
Администратори
Пълен контрол
По подразбиране
Система
Пълен контрол
По подразбиране
Потребители
Четене, изпълнение
По подразбиране
Inetpub\adminscripts
Администратори
Пълен контрол
По подразбиране
Inetpub\urlscan (ако е налична)
Администратори
Пълен контрол
По подразбиране
Система
Пълен контрол
По подразбиране
%systemroot%\system32\inetsrv\metaback
Администратори
Пълен контрол
По подразбиране
Система
Пълен контрол
По подразбиране
%systemroot%\help\iishelp\common
Администратори
Пълен контрол
Тази папка и файлове
Система
Пълен контрол
Тази папка и файлове
IWAM_<Machinename>
Четене, изпълнение
Тази папка и файлове
Мрежа
Пълен контрол
Тази папка и файлове
Услуга
Тази папка и файлове
Потребители
Четене, изпълнение
Тази папка и файлове
Inetpub\wwwroot (или директории на съдържания)
Администратори
Пълен контрол
Тази папка и файлове
Система
Пълен контрол
Тази папка и файлове
IWAM_<Machinename>
Четене, изпълнение
Тази папка и файлове
Услуга
Четене, изпълнение
Тази папка и файлове
Мрежа
Четене, изпълнение
Тази папка и файлове
По желание **:
Потребители
Четене, изпълнение
Тази папка и файлове
** Ако използвате FrontPage Server Extensions, "Упълномощени потребители" или група "Потребители" трябва да разполага с NTFS разрешение за промяна, за да създава, преименува или предоставя функционалността, която може да е необходима на даден разработчик от клиент тип FrontPage, като например Visual InterDev 6.0 или FrontPage 2002.
Предоставяне на разрешения в системния регистър
Щракнете върху Start ("Старт"), щракнете върху Run ("Изпълни"), въведете regedt32 и след това щракнете върху OK ("ОК"). Не използвайте редактора на системния регистър, тъй като той не ви позволява да променяте разрешения в Windows 2000.
В редактора на системния регистър, намерете и изберете HKEY_LOCAL_MACHINE.
Разгънете System ("Система"), разгънете CurrentControlSet и след това разгънете Services ("Услуги").
Изберете ключа IISADMIN, щракнете върху Security ("Защита") (или натиснете ALT+S) и след това изберете Permissions ("Разрешения") (или натиснете P).
Щракнете, за да изчистите отметката от квадратчето Allow inheritable permissions from parent to propagate to this object ("Разрешаване на наследяваните разрешения от родителя да се размножат до този обект"), щракнете върху Copy ("Копирай") и след това премахнете всички потребители, освен:
Администратори (разрешаване на четене и пълен контрол)
Система (разрешаване на четене и пълен контрол)
Щракнете върху OK.
Повторете стъпките за ключа MSFTPSVC.
Изберете ключа W3SVC, щракнете върху Security ("Защита") и след това щракнете върху Permissions ("Разрешения").
Щракнете, за да изчистите отметката от квадратчето Allow inheritable permissions from parent to propagate to this object ("Разрешаване на наследяваните разрешения от родителя да се размножат до този обект") и след това премахнете всички записи, освен:
Администратори (разрешаване на четене и пълен контрол)
Система (разрешаване на четене и пълен контрол)
Мрежа (четене)
Услуга (четене)
IWAM_<MachineName> (четене)
Щракнете върху OK ("ОК").
Системен регистър
В следната таблица са изброени разрешенията, които ще бъдат приложени, когато следвате стъпките в раздел "Предоставяне на разрешения в системния регистър". Тази таблица е само за справка.
Забележка Акронимът HKLM означава HKEY_LOCAL_MACHINE.
Сгъване на таблицатаРазгъване на таблицата
Местоположение
Потребители\Групи
Разрешения
HKLM\System\CurrentControlSet\Services\IISAdmin
Администратори
Пълен контрол
Система
Пълен контрол
HKLM\System\CurrentControlSet\Services\MsFtpSvc
Администратори
Пълен контрол
Система
Пълен контрол
HKLM\System\CurrentControlSet\Services\w3svc
Администратори
Пълен контрол
Система
Пълен контрол
IWAM_<Machinename>
Четене
Предоставяне на права в правилата за локалната защита
Щракнете върху Start ("Старт"), щракнете върху Settings ("Настройки") и след това щракнете върху Control Panel ("Контролен панел").
Щракнете двукратно върху Administrative Tools ("Административни инструменти"), след което пак двукратно върху Local Security Policy ("Правила за локалната защита").
В диалоговия прозорец Local Security Settings ("Правила за локалната защита") разгънете Local Policies ("Локални правила") и след това щракнете върху User Rights Assignment ("Разпределяне на потребителските права").
Модифициране на подходящите правила:
Щракнете двукратно върху правилата.
Изберете и след това щракнете върху Remove ("Премахване") за всеки потребител, който не е изброен в таблицата.
Добавяне на потребител, който не е изброен. За да направите това, щракнете върху Add ("Добавяне") и след това изберете потребителя в диалоговия прозорец Select Users or Groups (Избор на потребители или групи").
Имайте предвид, че тъй като правилата за домейнов контролер заместват локалните правила, трябва да се уверите, че Effective Policy Setting ("Настройка за ефективните правила") съвпада с Local Policy Setting ("Настройка за локалните правила").
Policies
("Правила") В следната таблица са изброени разрешенията, които ще бъдат приложени, когато следвате стъпките в раздел "Предоставяне на права в правилата за локалната защита".
Сгъване на таблицатаРазгъване на таблицата
Правила
Потребители
Локално влизане
Администратори
IUSR_<MachineName> (Анонимен)
Потребители (изисква се удостоверяване)
Достъп до този компютър от мрежата
Администратори
ASPNet (.NET Framework)
IUSR_<MachineName> (Анонимен)
IWAM_<Machinename>
Потребители
Влизане като пакетно задание
ASPNet
Мрежа
IUSR_<MachineName>
IWAM_<Machinename>
Услуга
Влизане като услуга
ASPNet
Мрежа
Проверка на заобикалянето на прехвърляне
Администратори
IUSR_<MachineName> (Анонимен)
Потребители (основни, интегрирани, хеширани)
IWAM_<Machinename>
Задължителни услуги
За допълнителна информация относно услугите, с които трябва да разполагате за IIS 4.0 щракнете върху следния номер на статия, за да прегледате статията в базата знания на Microsoft:
За допълнителна информация относно възстановяването на NTFS разрешенията по подразбиране за Windows 2000 щракнете върху следните номера на статии, за да прегледате статиите в базата знания на Microsoft:
Забележка Това е статия "БЪРЗА ПУБЛИКАЦИЯ", създадена директно в рамките на организацията за поддръжка на Microsoft. Информацията, съдържаща се тук, се ограничава до съдържащото се в нея и е дадена в отговор на появили се проблеми. В резултат на краткия срок до тяхното предлагане, материалите може да съдържат печатни грешки и могат да бъдат преработвани във всеки момент без предизвестие. Вижте Условия на ползване
Благодарим ви! Вашият отзив се използва, за да ни помогне да подобрим нашето съдържание за поддръжка. За повече опции за съдействие посетете началната страница за помощ и поддръжка.
Връщане в началото на страницата
