Cómo configurar los derechos de usuario y los permisos NTFS requeridos para un servidor Web IIS 5.0

Seleccione idioma Seleccione idioma
Id. de artículo: 271071 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

Resumen

En este artículo se describen paso a paso los permisos mínimos requeridos para un servidor Web de Servicios de Internet Information Server 5.0 (IIS) dedicado.

Advertencia
Este artículo sólo es válido para servidores Web dedicados que usan la funcionalidad de IIS básica, como servir contenido estático HTML o contenido de Páginas Active Server (ASP) simple. Los requisitos de permisos que se describen en este artículo SÓLO se refieren a los permisos básicos para un servidor Web dedicado que ejecuta Microsoft Windows 2000 e IIS 5.0. En este artículo no se consideran otros productos de otros fabricantes o de Microsoft que puedan requerir permisos diferentes. Recomendamos que revise los artículos específicos de las funciones del servidor Web y realice pruebas antes de hacer cambios de permisos en un servidor Web de producción. Para ver vínculos a artículos relacionados de otros productos de Microsoft, vea la sección "Referencias".

Si aplica estos permisos a un servidor de IIS que desempeña otras funciones, como Microsoft Exchange Server 5.5, Microsoft Exchange Server 2000 o aplicaciones de terceros que dependen de permisos adicionales, es posible que estos productos no funcionen del modo previsto.

Nota
Este artículo sólo se aplica a IIS 5.0. No se aplica a ninguna otra versión de IIS.

Para obtener más información acerca de los permisos requeridos para IIS 4,0, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
187506 Derechos de usuario y permisos NTFS requeridos para IIS 4.0
Para obtener más información acerca de los permisos requeridos para IIS 6,0, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
812614 Permisos y derechos de usuario predeterminados para IIS 6.0
La comprobación de este documento ha incluido las pruebas funcionales siguientes:
  • Documentos hipertexto (HTML)
  • Página Active Server (ASP)
  • Extensiones de servidor de FrontPage, como conectar, modificar y guardar, si FPSE está habilitado mientras utiliza la Herramienta de Bloqueo de seguridad
  • Conexiones de Nivel de socket seguro (SSL)
Este documento no resuelve ninguno de los requisitos de seguridad específicos de las siguientes funciones de servidor o aplicaciones:
  • Controlador de dominio de Windows 2000
  • Microsoft Exchange 5.5 o Microsoft Exchange 2000 Outlook Web Access
  • Microsoft Small Business Server 2000
  • Microsoft SharePoint Portal o Team Services
  • Microsoft Commerce Server 2000 o Microsoft Commerce Server 2002
  • Microsoft BizTalk Server 2000 o Microsoft BizTalk Server 2002
  • Microsoft Content Management Server 2000 o Microsoft Content Management Server 2002
  • Microsoft Application Center 2000
Revise la documentación del servidor y la aplicación para ver requisitos de seguridad específicos. Se proporcionan vínculos a artículos relacionados de Knowledge Base en la sección de "Referencias".

Antes de aplicar los permisos de este artículo, recomendamos que ejecute la versión más actual de la Herramienta de Bloqueo de seguridad de IIS. Para obtener información adicional acerca de esta herramienta, visite el siguiente sitio Web de Microsoft:
http://www.microsoft.com/spain/technet/seguridad/herramientas/default.mspx
Los siguientes programas y servicios se instalaron como parte de la serie de pruebas usada para probar la seguridad del servidor después de otorgar los permisos descritos en este artículo:
  • Servicios de índice
  • Servicios de Terminal Server
  • Script Debugger
  • IIS
    • Archivos comunes
    • Documentación
    • Extensiones de servidor de FrontPage 2000
    • Administrador de servicios Internet (HTML)
    • WWW
    • FTP

Otorgar propiedad y permisos al administrador y al sistema

Para asignar permisos al sistema:
  1. Abra el Explorador de Windows. Para ello, haga clic en Inicio, en Programas y, a continuación, haga clic en Explorador de Windows.
  2. Expanda Mi PC.
  3. Haga clic con el botón secundario del mouse (ratón) en la unidad del sistema (ésta es normalmente la unidad C) y, a continuación, haga clic en Propiedades.
  4. Haga clic en la ficha Seguridad y, a continuación, haga clic en Opciones avanzadas para abrir el cuadro de diálogo Configuración de control de acceso para disco local.
  5. Haga clic en la ficha Propietario, haga clic para seleccionar la casilla de verificación Reemplazar propietario en subcontenedores y objetos y, a continuación, haga clic Aplicar.

    Si recibe el mensaje de error siguiente, haga clic Continuar:
    Error al aplicar la información de seguridad a %systemdrive%\Pagefile.sys
  6. Si recibe el mensaje de error siguiente, haga clic :
    No tiene permiso para leer el contenido del directorio %systemdrive%\System Volumen Information - ¿Desea reemplazar los permisos del directorio que le otorgan el control total? - Se reemplazarán todos los permisos lo que le otorga control total
  7. Haga clic en Aceptar para cerrar el cuadro de diálogo.
  8. Haga clic en Agregar.
  9. Agregue los usuarios siguientes y, a continuación, otórgueles el permito NTFS de control total:
    • Administrador
    • Sistema
    • Creador propietario
  10. Después de haber agregado estos permisos NTFS, haga clic en Opciones avanzadas, haga clic para seleccionar la casilla de verificación Restablecer permisos en todos los objetos secundarios y habilitar la propagación de permisos heredables y, a continuación, haga clic en Aplicar.
  11. Si recibe el mensaje de error siguiente, haga clic Continuar:
    Error al aplicar la información de seguridad a %systemdrive%\Pagefile.sys
  12. Tras restablecer los permisos NTFS, haga clic en Aceptar.
  13. Haga clic en el grupo Todos, haga clic en Quitar y, a continuación, en Aceptar.
  14. Abra las propiedades para la carpeta %systemdrive%\Archivos de programa\Archivos comunes y, a continuación, haga clic en la ficha Seguridad. Agregue la cuenta usada para acceso anónimo. De forma predeterminada, es la cuenta IUSR_<nombreEquipo>. Entonces, agregue el grupo Usuarios. Asegúrese de que sólo se selecciona lo siguiente:
    • Leer y Ejecutar
    • Mostrar el contenido de las carpetas
    • Leer
  15. Abra las propiedades para el directorio raíz que incluye el contenido Web. De forma predeterminada, ésta es la carpeta %systemdrive%\Inetpub\Wwwroot. Haga clic en la ficha Seguridad, agregue la cuenta IUSR_<nombreEquipo>y el grupo Usuarios, y asegúrese de que sólo se selecciona lo siguiente:
    • Leer y ejecutar
    • Mostrar el contenido de las carpetas
    • Leer
  16. Si quiere otorgar el permiso NTFS de lectura para Inetpub\FTProot o la ruta de acceso al directorio para su sitio o sitios FTP, repita el paso 15.

    Nota
    No se recomienda otorgar permisos NTFS de escritura a cuentas anónimas de ningún directorio, incluidos los directorios utilizados por el servicio FTP. Esto puede provocar la carga de datos innecesarios en el servidor Web.

Desactive la herencia en los directorios del sistema

  1. En la carpeta %systemroot%\System32, seleccione todas las carpetas excepto las siguientes:
    • Inetsrv
    • Certsrv (si está presente)
    • COM
  2. Haga clic con el botón secundario del mouse en las demás carpetas, haga clic en Propiedades y, después, haga clic en la ficha Seguridad.
  3. Desactive la casilla de verificación Permitir los permisos heredables, haga clic en Copiar y, a continuación, en Aceptar.
  4. En la carpeta %systemroot%, seleccione todas las carpetas excepto las siguientes:
    • Assembly (si está presente)
    • Archivos de programa descargados
    • Ayuda
    • Microsoft.NET (si está presente)
    • Páginas Web sin conexión
    • System32
    • Tareas
    • Temp
    • Web
  5. Haga clic con el botón secundario del mouse en las demás carpetas, haga clic en Propiedades y, después, haga clic en la ficha Seguridad.
  6. Desactive la casilla de verificación Permitir los permisos heredables, haga clic en Copiar y, a continuación, en Aceptar.
  7. Aplique los permisos a lo siguiente:
    1. Abra las propiedades para la carpeta %systemroot%, haga clic en la ficha Seguridad, agregue las cuentas IUSR_<nombreEquipo> e IWAM_<nombreEquipo> y el grupo Usuarios, y asegúrese de que sólo se selecciona lo siguiente:
      • Leer y ejecutar
      • Mostrar el contenido de las carpetas
      • Leer
    2. Abra las propiedades de la carpeta %systemroot%\Temp, seleccione la cuenta IUSR_<nombreEquipo> (esta cuenta ya está presente porque se hereda de la carpeta Winnt) y, a continuación, haga clic en la casilla Modificar para activarla. Repita este paso para la cuenta IWAM_<nombreEquipo> y el grupo Usuarios.
    3. Si se usan Clientes de Extensiones de servidor de FrontPage como FrontPage o Microsoft Visual InterDev, abra las propiedades para la carpeta %systemdrive%\Inetpub\Wwwroot, elija el grupo Usuarios autenticados, seleccione lo siguiente y, a continuación, haga clic en Aceptar:
      • Modifique
      • Leer y ejecutar
      • Mostrar el contenido de las carpetas
      • Leer
      • Escritura

Permisos NTFS

En la tabla siguiente se muestran los permisos que se aplicarán cuando siga los pasos de la sección "Deshabilitar la herencia en los directorios del sistema". Esta tabla es sólo de referencia.

Para aplicar los permisos en la tabla siguiente:
  1. Abra el Explorador de Windows. Para ello, haga clic en Inicio, en Programas, en Accesorios y, a continuación, haga clic en Explorador de Windows.
  2. Expanda Mi PC.
  3. Haga clic con el botón secundario del mouse en %systemroot% y, a continuación, en Propiedades.
  4. Haga clic en la ficha Seguridad y, después, en Opciones avanzadas.
  5. Haga doble clic en Permiso y, a continuación, seleccione la configuración apropiada de la lista Aplicar en.
Nota
En la columna "Aplicar a", el término Valor predeterminado se refiere a "Esta carpeta, subcarpetas y archivos".
Contraer esta tablaAmpliar esta tabla
DirectorioUsuarios\gruposPermisosAplicar a
% systemroot% (c:\winnt)AdministradorControl totalValor predeterminado
SistemaControl total Valor predeterminado
UsuariosLeer, ejecutarValor predeterminado
%systemroot%\system32AdministradoresControl total Valor predeterminado
SistemaControl totalValor predeterminado
UsuariosLeer, ejecutarValor predeterminado
%systemroot%\system32\inetsrvAdministradoresControl totalValor predeterminado
SistemaControl total Valor predeterminado
UsuariosLeer, ejecutarValor predeterminado
Inetpub\adminscripts AdministradoresControl totalValor predeterminado
Inetpub\urlscan (si está presente) AdministradoresControl totalValor predeterminado
SistemaControl totalValor predeterminado
%systemroot%\system32\inetsrv\metabackAdministradoresControl totalValor predeterminado
SistemaControl totalValor predeterminado
%systemroot%\help\iishelp\commonAdministradoresControl total Esta carpeta y archivos
SistemaControl totalEsta carpeta y archivos
IWAM_<nombreEquipo>Leer, ejecutarEsta carpeta y archivos
RedControl totalEsta carpeta y archivos
ServicioEsta carpeta y archivos
UsuariosLeer, ejecutarEsta carpeta y archivos
Inetpub\wwwroot (o directorios de contenido)AdministradoresControl totalEsta carpeta y archivos
SistemaControl totalEsta carpeta y archivos
IWAM_<nombreEquipo>Leer, ejecutarEsta carpeta y archivos
ServicioLeer, ejecutarEsta carpeta y archivos
RedLeer, ejecutarEsta carpeta y archivos
Opcional**:UsuariosLeer, ejecutarEsta carpeta y archivos

**Si está usando Extensiones de servidor de FrontPage, los Usuarios autenticados o el grupo Usuarios deben tener el permiso NTFS de cambio para crear, cambiar de nombre, escribir o proporcionar la funcionalidad que un diseñador debería tener de un tipo FrontPage de cliente, como Visual InterDev 6.0 o FrontPage 2002.

Otorgar permisos en el Registro

  1. Haga clic en Inicio y en Ejecutar, escriba regedt32 y haga clic en Aceptar. No use el Editor del Registro porque no le permite cambiar permisos en Windows 2000.
  2. En el Editor del Registro, localice y seleccione HKEY_LOCAL_MACHINE.
  3. Expanda System y CurrentControlSet y, a continuación, expanda Services.
  4. Seleccione la clave IISADMIN, haga clic en Seguridad (o presione ALT+S) y, a continuación, seleccione Permisos (o presione P).
  5. Haga clic para borrar la casilla de verificación Hacer posible que los permisos heredables de un objeto primario se propaguen a este objeto, haga clic en Copiar y, a continuación, quite todos los usuarios excepto:
    • Administradores (permitir lectura y control total)
    • Sistema (permitir lectura y control total)
  6. Haga clic en Aceptar.
  7. Repita los pasos para la clave MSFTPSVC.
  8. Seleccione la clave W3SVC, haga clic en Seguridad y, a continuación, haga clic en Permisos.
  9. Haga clic para borrar la casilla de verificación Hacer posible que los permisos heredables de un objeto primario se propaguen a este objeto y, a continuación, quite todas las entradas excepto:
    • Administradores (permitir lectura y control total)
    • Sistema (permitir lectura y control total)
    • Red (lectura)
    • Servicio (lectura)
    • IWAM_<nombreEquipo> (Leer)
  10. Haga clic en Aceptar.

Registro

En la tabla siguiente se muestran los permisos que se aplicarán cuando siga los pasos de la sección "Otorgar permisos en el Registro". Esta tabla es sólo de referencia.

Nota
La sigla HKLM representa HKEY_LOCAL_MACHINE.
Contraer esta tablaAmpliar esta tabla
AlmacénUsuarios\gruposPermisos
HKLM\System\CurrentControlSet\Services\IISAdminAdministradoresControl total
SistemaControl total
HKLM\System\CurrentControlSet\Services\MsFtpSvcAdministradoresControl total
SistemaControl total
HKLM\System\CurrentControlSet\Services\w3svcAdministradoresControl total
SistemaControl total
IWAM_<nombreEquipo>Leer

Otorgar derechos en la directiva de seguridad local

  1. Haga clic en Inicio, en Configuración y, a continuación, en Panel de control.
  2. Haga doble clic en Herramientas administrativas y, después, haga doble clic en Directiva de seguridad local.
  3. En el cuadro de diálogo Configuración de seguridad local, expanda Directivas locales y, después, haga doble clic en Asignación de derechos de usuario.
  4. Modifique la directiva apropiada:
    1. Haga doble clic en la directiva.
    2. Seleccione y haga clic en Quitar para cualquier usuario que no esté listado en la tabla.
    3. Agregue cualquier usuario que no aparezca en la lista. Para ello, haga clic Agregar y, a continuación, seleccione el usuario en el cuadro de diálogo Seleccionar usuarios o grupos.
Tenga en cuenta que debido a que una directiva del controlador de dominio invalida la directiva local, debe asegurarse de que la Configuración de directiva efectiva coincida con la Configuración de directiva local.

Directivas

En la tabla siguiente se muestran los permisos que se aplicarán cuando siga los pasos de la sección "Otorgar derechos en la directiva de seguridad local".
Contraer esta tablaAmpliar esta tabla
DirectivaUsers (Usuarios)
Iniciar sesión localmenteAdministradores
IUSR_<nombreEquipo> (Anonymous)
Usuarios (autenticación requerida)
Tener acceso a este equipo desde la redAdministradores
ASPNet (.NET Framework)
IUSR_<nombreEquipo> (Anonymous)
IWAM_<nombreEquipo>
Users (Usuarios)
Iniciar sesión como proceso por lotesASPNet
Red
IUSR_<nombreEquipo>
IWAM_<nombreEquipo>
Servicio
Iniciar sesión como servicioASPNet
Red
Omitir comprobación de recorridoAdministradores
IUSR_<nombreEquipo> (Anónimo)
Usuarios (básico, integrado, resumido)
IWAM_<nombreEquipo>

Servicios requeridos

Para obtener más información sobre los servicios que debe tener para IIS 4.0, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
189271 Lista de los servicios necesarios para ejecutar un equipo con IIS con seguridad mejorada

Referencias

Para obtener información adicional sobre cómo restaurar los permisos NTFS predeterminados para Windows 2000, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:
266118 Cómo restaurar los permisos NTFS predeterminados para Windows 2000
260985 Permisos NTFS mínimos requeridos para usar CDONTS
324068 Cómo configurar en IIS permisos para objetos específicos
815153 Cómo configurar los permisos de archivo de NTFS para la seguridad de aplicaciones ASP.NET

Propiedades

Id. de artículo: 271071 - Última revisión: viernes, 20 de octubre de 2006 - Versión: 15.0
La información de este artículo se refiere a:
  • Microsoft Internet Information Services 5.0
Palabras clave: 
kbhowtomaster kbhowto kbpending kbprb KB271071
Renuncia a responsabilidad de los contenidos de la KB sobre productos a los que ya no se ofrece asistencia alguna
El presente artículo se escribió para productos para los que Microsoft ya no ofrece soporte técnico. Por tanto, el presente artículo se ofrece "tal cual" y no será actualizado.

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com