Denne artikel beskriver, hvordan du indstiller de minimumtilladelser, der kræves til en dedikeret Internet Information Services (IIS) 5.0, IIS 5.1 eller IIS 6.0 webserver.
Begrænsningen for denne artikel
AdvarselDenne artikel er kun gyldig for dedikerede Webservere, der anvender grundlæggende IIS-funktioner, såsom at betjene HTML statisk indhold eller enkle Active Server Pages (ASP) indhold. Kravene om tilladelser, der er beskrevet i denne artikel er kun specifikke for de grundlæggende rettigheder til en dedikeret webserver, der kører IIS 5.x eller IIS 6.0. Denne artikel omhandler ikke andre Microsoft og tredjepartsprodukter, der kan kræve andre tilladelser. Du kan gennemse server og programdokumentation for specifikke sikkerhedskrav. Vi anbefaler, at du gennemgår de relaterede artikler, der er specifikke for din webservers roller.
Testtrin før konfiguration af tilladelser i et produktionsmiljø
Før du ændrer tilladelser på en webserver til produktion, anbefaler vi, at du udfører følgende trin:
-
Kør den mest aktuelle version af IIS-låseværktøjet. De følgende programmer og services blev installeret som en del af testsuiten, der blev brugt til at teste serversikkerhed efter udstedelse af de tilladelser, der er beskrevet i denne artikel:
-
Indekstjenester
-
Terminal Services
-
Scriptfejlfinding
-
IIS
-
Fælles filer
-
Dokumentation
-
FrontPage Server Extensions 2000
-
Internet Services Manager (HTML)
-
WWW
-
FTP
-
-
-
Udfør de følgende funktionelle tests:
-
Hypertekst dokumenter (HTML)
-
Active Server Pages (ASP)
-
FrontPage Server Extensions, som eksempelvis forbindelse, redigering og lagring, hvis FPSE er aktiveret, mens du bruger låseværktøjet
-
Secure Sockets Layers (SSL) forbindelser
-
Tildel ejerskab og tilladelse til administratoren og systemet
Benyt nedenstående fremgangsmåde for at gøre dette:
-
Åbn Windows Stifinder. Det gør du ved at klikke på Start, klikke på Programmer og derefter klikke på
Windows Stifinder -
Udvid Min Computer.
-
Højreklik på systemdrevet (dette er normalt drev C), og klik derefter på Egenskaber.
-
Klik på Sikkerhed-fanen, og klik derefter på Avanceret for at åbne Adgangskontrolindstillinger for lokal disk-dialogboksen.
-
Klik på Ejer-fanen, klik for at vælge Erstat ejer af Sub-objektbeholdere og objekter- afkrydsningsfeltet, og klik derefter på Anvend.
Klik på Fortsæt, hvis du får følgende fejlmeddelelse:En fejl er opstået ved anvendelse af sikkerhedsoplysninger på %systemdrive%\Pagefile.sys
-
Klik på Ja, hvis der vises følgende fejlmeddelelse.
Du har ikke tilladelse til at læse indholdet af mappen %systemdrive%\System Volume Information - Ønsker du at erstatte mappetilladelsen - Alle tilladelser vil blive erstattet og give dig Fuld kontrol
-
Klik på OK for at lukke dialogboksen.
-
Klik på Tilføj.
-
Tilføj følgende brugere, og tildel dem derefter tilladelsen Full Control NTFS:
-
Administrator
-
System
-
(Creator Owner) Opretter, ejer
-
-
Når du har tilføjet disse NTFS-tilladelser, klik på Avanceret, klik for at vælge Nulstil tilladelser for alle underobjekter og aktivere overførsel af nedarvede tilladelser-afkrydsningsfeltet, og klik derefter på Anvend.
-
Klik på Fortsæt, hvis følgende fejlmeddelelse vises:
En fejl er opstået ved anvendelse af sikkerhedsoplysninger på %systemdrive%\Pagefile.sys
-
Når du har nulstillet NTFS-tilladelser, skal du klikke på OK.
-
Klik på gruppen Alle, klik på Slet, og klik derefter på OK.
-
Åbn egenskaberne for mappen %systemdrive%\Programfiler\Fælles filer og klik derefter på Sikkerhed-fanen. Tilføj kontoen, der anvendes til anonym adgang. Som standard er dette IUSR_<MachineName>kontoen. Tilføj derefter gruppen Brugere. Sørg for at kun følgende er markeret:
-
Læs og udfør
-
Visning af mappeindhold
-
Læsning
-
-
Åbn egenskaberne for rodmappen, der indeholder dit Web-indhold. Som standard er dette %systemdrive%\Inetpub\Wwwroot mappen. Klik på Sikkerhed fanen, tilføj kontoen IUSR_<MachineName> og gruppen Brugere, og kontroller, at kun følgende er valgt:
-
Læs og udfør
-
Visning af mappeindhold
-
Læsning
-
-
Hvis du vil tildele NTFS-tilladelse til at skrive til Inetpub\FTProot eller mappestien for dit FTP-sted eller websteder, skal du gentage trin 15.
Bemærk Vi anbefaler ikke at du tildeler NTFS skrivetilladelser til den anonyme konto i nogen mapper, herunder mapper, der bruges af FTP-tjenesten. Dette kan medføre, at unødvendig data uploades til din webserver.
Deaktiver nedarvning i systemmapper
Benyt nedenstående fremgangsmåde for at gøre dette:
-
Vælg alle mapper I mappen %systemroot%\System32 med undtagelse af følgende:
-
Inetsrv
-
Certsrv (hvis tilstede)
-
COM
-
-
Højreklik på de resterende mapper, klik på Egenskaber, og klik derefter på fanen Sikkerhed
-
Fjern markeringen af afkrydsningsfeltet Tillad nedarvning af tilladelser, klik Kopier og klik derefter på OK.
-
I mappen % systemroot %, skal du vælge alle mapper med undtagelse af følgende:
-
Assembly (hvis tilstede)
-
Hentede Programfiler
-
Hjælp
-
Microsoft.NET (hvis tilstede)
-
Offline Websider
-
System32
-
Opgaver
-
Temp
-
Web
-
-
Højreklik på de tilbageværende mapper, klik på Egenskaber, og klik derefter på fanen Sikkerhed.
-
Fjern markeringen af afkrydsningsfeltet Tillad nedarvning af tilladelser, klik Kopier og klik derefter på OK.
-
Anvend tilladelser til følgende:
-
Åbn egenskaberne for mappen % systemroot %, klik på fanen Sikkerhed, tilføj IUSR_<MachineName> og IWAM_<MachineName> konti og Brugere gruppen og kontroller derefter, at kun følgende er valgt:
-
Læs og udfør
-
Visning af mappeindhold
-
Læsning
-
-
Åbn egenskaberne for mappen %SystemRoot%\Temp, vælg IUSR_<MachineName> kontoen (denne konto er allerede til stede, fordi den nedarver fra mappen Winnt), og klik derefter for at vælge Rediger afkrydsningsfeltet. Gentag dette trin for IWAM_<MachineName>kontoen og den
Brugere gruppe. -
Hvis FrontPage Server Extension klienter såsom FrontPage eller Microsoft Visual InterDev anvendes, åbn egenskaberne for mappen %systemdrive%\Inetpub\Wwwroot, vælg gruppen Godkendte brugere, vælg følgende, og klik derefter på OK:
-
Ændre
-
Læs og udfør
-
Visning af mappeindhold
-
Læsning
-
Skrivning
-
-
NTFS-tilladelser
I følgende tabel vises de tilladelser, der skal anvendes, når du følger trinnene i afsnittet "Deaktiver nedarvning i systemmapper". Denne tabel er kun til reference.
For at anvende tilladelserne i fælgende tabel, følg disse trin:
-
Åbn Windows Stifinder. For at gøre det skal du klikke på Start, klik på Programmer, klik på Tilbehør, og klik derefter på Windows Stifinder.
-
Udvid Min Computer.
-
Højreklik på %systemroot%, og klik derefter på Egenskaber.
-
Klik på fanen Sikkerhed, og klik derefter på Avanceret.
-
Dobbeltklik på Tilladelse, og vælg derefter den ønskede indstilling fra Anvend på-listen.
BemærkI "Gælder for" kolonnen, refererer udtrykket Standard til "Denne mappe, undermapper og filer."
Bibliotek |
Brugere\Grupper |
Permissions |
Gælder for |
---|---|---|---|
%SystemRoot%\ (c:\winnt) |
Administrator |
Fuld kontrol |
Standard |
System |
Fuld kontrol |
Standard |
|
Users |
Læs, udfør |
Standard |
|
%systemroot%\system32 |
Administratorer |
Fuld kontrol |
Standard |
System |
Fuld kontrol |
Standard |
|
Users |
Læs, udfør |
Standard |
|
%systemroot%\system32\inetsrv |
Administratorer |
Fuld kontrol |
Standard |
System |
Fuld kontrol |
Standard |
|
Users |
Læs, udfør |
Standard |
|
Inetpub\adminscripts |
Administratorer |
Fuld kontrol |
Standard |
Inetpub\urlscan (hvis tilstede) |
Administratorer |
Fuld kontrol |
Standard |
System |
Fuld kontrol |
Standard |
|
%systemroot%\system32\inetsrv\metaback |
Administratorer |
Fuld kontrol |
Standard |
System |
Fuld kontrol |
Standard |
|
%SystemRoot%\help\iishelp\common |
Administratorer |
Fuld kontrol |
Denne mappe og filer |
System |
Fuld kontrol |
Denne mappe og filer |
|
IWAM_<Machinename> |
Læs, udfør |
Denne mappe og filer |
|
Netværk |
Fuld kontrol |
Denne mappe og filer |
|
Tjeneste |
Denne mappe og filer |
||
Users |
Læs, udfør |
Denne mappe og filer |
|
Inetpub\wwwroot (eller indholdsmapper) |
Administratorer |
Fuld kontrol |
Denne mappe og filer |
System |
Fuld kontrol |
Denne mappe og filer |
|
IWAM_<MachineName> |
Læs, udfør |
Denne mappe og filer |
|
Tjeneste |
Læs, udfør |
Denne mappe og filer |
|
Netværk |
Læs, udfør |
Denne mappe og filer |
|
Valgfrit**: |
Users |
Læs, udfør |
Denne mappe og filer |
Bemærk Hvis du bruger FrontPage-serverudvidelser, skal Godkendte brugere eller gruppen Brugere have Skift NTFS-tilladelse til at oprette, omdøbe, skrive eller levere den funktionalitet, som en udvikler måske skal have fra en FrontPage-type af klient, Visual InterDev 6.0 eller FrontPage 2002.
Tildel tilladelser i registreringsdatabasen
-
Klik på Start, klik på Kør, skriv regedt32, og klik derefter på OK. Brug ikke Registreringseditoren, fordi den ikke lader dig ændre tilladelser i Windows 2000.
-
I Registreringseditoren, lokaliser og vælg HKEY_LOCAL_MACHINE.
-
Udvid System, udvid CurrentControlSet, og udvid derefter Tjenester.
-
Vælg IISADMIN-tasten, klik på Sikkerhed (eller tryk på ALT + S), og vælg derefter
Tilladelser(eller tryk på P). -
Klik for at fjerne Tillad nedarvning af tilladelser fra forældre til at blive overført til dette objekt-afkrydsningsfeltet, klik på Kopi, og fjern derefter alle brugere undtagen:
-
Administratorer (Tillad Læseadgang og Fuld kontrol)
-
System (Tillad Læseadgang og Fuld kontrol)
-
-
Klik på OK.
-
Gentag trinnene for MSFTPSVC -nøglen.
-
Vælg W3SVC-tasten, klik på Sikkerhed, og klik derefter på Tilladelser.
-
Fjern markeringen af Tillad nedarvning fra forældre for at blive overført til dette objekt afkrydsningsfeltet og fjern derefter alle poster undtagen:
-
Administratorer (Tillad læsning og fuld kontrol)
-
System (Tillad læsning og fuld kontrol)
-
Netværk (Læs)
-
Service (Læs)
-
IWAM_<MachineName>(Læs)
-
-
Klik på OK.
Registreringsdatabase-
I følgende tabel vises de tilladelser, der skal anvendes, når du følger trinnene i afsnittet "Tildel tilladelser i registreringsdatabasen". Denne tabel er kun til reference.
BemærkAkronymet HKLM står for HKEY_LOCAL_MACHINE.
Placering |
Brugere\Grupper |
Permissions |
---|---|---|
HKLM\SYSTEM\CurrentControlSet\Services\IISAdmin |
Administratorer |
Fuld kontrol |
System |
Fuld kontrol |
|
HKLM\SYSTEM\CurrentControlSet\Services\MsFtpSvc |
Administratorer |
Fuld kontrol |
System |
Fuld kontrol |
|
HKLM\SYSTEM\CurrentControlSet\Services\w3svc |
Administratorer |
Fuld kontrol |
System |
Fuld kontrol |
|
IWAM_<MachineName> |
Læsning |
Tildel rettigheder i Lokal sikkerhedspolitik
-
Klik på Start, klik på Indstillinger, og klik derefter på Kontrolpanel.
-
Dobbeltklik på Administrationsværktøjer, og dobbeltklik derefter på Lokal sikkerhedspolitik.
-
I Lokale sikkerhedsindstillinger-dialogboksen, udvid Lokale politikker, og klik derefter på Tildeling af brugerrettigheder.
-
Rediger den pågældende politik:
-
Dobbeltklik på policy.
-
Vælg og klik derefter på Fjern for alle brugere, der ikke er i tabellen.
-
Tilføj alle brugere, der ikke er angivet. For at gøre dette, skal du klikke på
Tilføj, og vælg derefter brugeren i Vælg brugere eller grupper-dialogboksen.
-
Bemærk at fordi en domain controller politik tilsidesætter den lokale politik, skal du sørge for at Effektiv politikindstilling matcher Lokal politikindstilling.
Politikker
I følgende tabel vises de tilladelser, der skal anvendes, når du følger trinnene i afsnittet "Tildel rettigheder i den lokale sikkerhedspolitik".
Politik |
Users |
---|---|
Log på lokalt |
Administratorer |
IUSR_<MachineName>(Anonym) |
|
Brugere (godkendelse påkrævet) |
|
Få adgang til denne computer fra netværket. |
Administratorer |
ASPNet (.NET Framework) |
|
IUSR_<MachineName>(anonym) |
|
IWAM_<MachineName> |
|
Users |
|
Log på som et Batchjob |
ASPNet |
Netværk |
|
IUSR_<MachineName> |
|
IWAM_<MachineName> |
|
Tjeneste |
|
Log på som en tjeneste |
ASPNet |
Netværk |
|
Spring krydstjek over |
Administratorer |
IUSR_<MachineName>(anonym) |
|
Brugere (Standard, Integreret, Indlæs og Afprøv) |
|
IWAM_<MachineName> |
Referencer
Yderligere oplysninger om gendannelse af standard NTFS-tilladelser i Windows 2000 finder du ved at klikke på nedenstående artikelnummer for at få vist artiklerne i Microsoft Knowledge Base:
266118Sådan gendannes standard NTFS-tilladelser til Windows 2000
260985Minimum NTFS-tilladelser kræves for at bruge CDONTS
324068Sådan angives IIS-tilladelser for bestemte objekter
815153Hvordan du kan konfigurere NTFS-filtilladelserne for sikkerhed på ASP.NET-programmer Du finder flere oplysninger om påkrævede tilladelser i IIS 6.0 ved at klikke på følgende artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
812614 Standardtilladelser og brugerrettigheder til IIS 6.0
Flere oplysninger
Denne artikel omhandler ikke nogen af de særlige sikkerhedskrav for følgende serverroller eller -programmer:
-
Windows 2000 Domænecontroller
-
Microsoft Exchange 5.5 eller Microsoft Exchange 2000 Outlook Web Access
-
Microsoft Small Business Server 2000
-
Microsoft SharePoint Portal eller Team Services
-
Microsoft Commerce Server 2000 eller Microsoft Commerce Server 2002
-
Microsoft BizTalk Server 2000 eller Microsoft BizTalk Server 2002
-
Microsoft Content Management Server 2000 eller Microsoft Content Management Server 2002
-
Microsoft Application Center 2000
-
De tredjepartsprogrammer, der afhænger af yderligere tilladelser