Selles artiklis kirjeldatakse, kuidas määrata minimaalsed õigused, mis on vajalikud spetsiaalne Internet Information Services (IIS) 5.0, IIS 5.1 või IIS 6.0 veebiserveri.
See artikkel kehtib
Hoiatus! See artikkel kehtib ainult pühendatud Web servereid, mida kasutada IIS-i põhifunktsioone, nagu teenivad HTML staatilise sisu või lihtne Active Server Pages (ASP) sisu. Õiguse nõuded, mida selles artiklis kirjeldatud on vaid põhilisi õigusi spetsiaalne Web server, kus töötab IIS 5. x või IIS 6.0. See artikkel ei pea muud Microsofti ja kolmanda osapoole teistsuguste õigustega nõudvaid. Saate vaadata konkreetse turvanõuetele server ja rakenduse dokumentatsioonist. Soovitame teil läbi seotud artiklid Web server roles käivad.
Testimise astet enne õiguste konfiguratsioonide tootmiskeskkonnas
Enne muutmisi tootmise veebiserveris, soovitame teha järgmist:
-
Käivitage IIS Lockdown tööriista värskeimat versiooni. Järgmised programmid ja teenused installiti test suite, kust test serveri turvalisuse pärast käesolevas artiklis kirjeldatud õiguste andmine osana:
-
Indeksi teenused
-
Terminaliteenused
-
Skriptisiluri
-
IIS-I
-
Common Files
-
Dokumentatsioon
-
FrontPage'i serverilaiendid 2000
-
Internet Services Manager (HTML)
-
WWW
-
FTP
-
-
-
Funktsionaalne järgmised katsed sooritada.
-
Hüperteksti dokumendid (HTML)
-
Active Server Pages (ASP)
-
FrontPage Server Extensions, nt ühenduse loomine, redigeerimine ja salvestamine FPSE lubamisel Lockdown tööriista kasutamisel
-
Secure Socket kihti (SSL) Connections
-
Grant omandiõigus ja õiguste administraator ja süsteemi
Selleks toimige järgmiselt.
-
Avage Windows Explorer. Selleks klõpsake nuppu Start, käsku programmidja klõpsake Windows Explorer.
-
Laienda minu arvuti.
-
Paremklõpsake draivi, kuhu (see on tavaliselt C-draiv) ja seejärel suvandil Atribuudid.
-
Klõpsake vahekaarti Turvalisus ja klõpsake Täpsemalt avada dialoogiboksi Accessi kontrolli sätted kohalikule kettale .
-
Klõpsake vahekaarti omanik , märkige Sub ümbrised ja objektide omanik Asenda ruut ja klõpsake nuppu Rakenda. Kui kuvatakse järgmine tõrketeade, klõpsake nuppu Jätka:
Ilmnes tõrge %systemdrive%\Pagefile.sys teavet rakendamine
-
Kui kuvatakse järgmine tõrketeade, klõpsake nuppu Jah:
Teil pole õigust lugeda sisu directory %systemdrive%\System Volume Information - kas soovite asendada kataloogi luba - kõik õigused olema asendatud võimaldab teil täielik kontroll
-
Klõpsake nuppu OK , et sulgeda dialoogiboks.
-
Klõpsake nuppu Lisa.
-
Järgmisi kasutajaid lisada, ja seejärel täielik kontroll NTFS-failisüsteemi õigused:
-
Administraatori
-
Süsteemi
-
Looja omanik
-
-
Pärast nende NTFS õigused lisamist klõpsake Täpsemalt, märkige ruut Lähtesta kõigi tütarobjektide õigused ja luba päritavate õiguste ja seejärel klõpsake nuppu Rakenda.
-
Kui kuvatakse järgmine tõrketeade, klõpsake nuppu Jätka:
Ilmnes tõrge %systemdrive%\Pagefile.sys teavet rakendamine
-
Pärast lähtestamist on NTFS-failisüsteemi õigused, klõpsake nuppu OK.
-
Kõik rühma nuppu Eemaldaning seejärel klõpsake nuppu OK.
-
Avage %systemdrive%\Program Files\Common Files kausta atribuudid ja seejärel vahekaarti Turvalisus Lisa konto, mida kasutatakse anonüümse juurdepääsu. Vaikimisi on see IUSR_ < MachineName > konto. Seejärel lisage rühmale kasutajad. Veenduge, et ainult järgmised valitud:
-
Lugemis- ja täitmisõigus
-
Kausta sisu loendamine
-
Read
-
-
Avage juurkataloog, mis hoiab teie veebisaidi sisu atribuudid. Vaikimisi on %systemdrive%\Inetpub\Wwwroot kaust. Klõpsake vahekaarti Turvalisus , lisada IUSR_ < MachineName > konto ja kasutajate rühma ja veenduge, et ainult järgmised valitud:
-
Lugemis- ja täitmisõigus
-
Kausta sisu loendamine
-
Read
-
-
Kui soovite kirjutada NTFS õigused forInetpub\FTProot või FTP-saidi või saite kausta tee, korrake 15. Märkus. Me ei soovita, et annate NTFS kirjutage õigused kõik kataloogid, sealhulgas kasutatavate FTP-teenus kasutab anonüümse konto. See võib põhjustada tarbetute andmete üleslaadimist teie veebiserveris.
Keela pärimise süsteemikaustad
Selleks toimige järgmiselt.
-
Valige kausta %systemroot%\System32 kõik kaustad peale järgmist:
-
Inetsrv
-
Certsrv (kui see on olemas)
-
COM
-
-
Paremklõpsake ülejäänud kaustu, klõpsake nuppu Atribuudidja seejärel vahekaarti Turvalisus .
-
Klõpsake märkeruudu Luba päritavad õigused , klõpsake Kopeerija seejärel klõpsake nuppu OK.
-
Kausta % systemroot % valige kõik kaustad peale järgmist:
-
Komplekti (olemasolul)
-
Allalaaditud programmifailide
-
Abi
-
Microsoft.NET (olemasolul)
-
Ühenduseta veebilehed
-
System32
-
Ülesanded
-
Temp
-
Veebi
-
-
Paremklõpsake ülejäänud kaustu, klõpsake nuppu Atribuudidja seejärel vahekaarti Turvalisus .
-
Klõpsake märkeruudu Luba päritavad õigused , klõpsake Kopeerija seejärel klõpsake nuppu OK.
-
Õigused rakenduvad järgmised:
-
Avage kausta % systemroot % atribuudid, vahekaarti Turvalisus , lisada < MachineName > IUSR_ ja IWAM_ < MachineName > kontod ja kasutajate rühma ja veenduge, et ainult allpool on toodud valitud:
-
Lugemis- ja täitmisõigus
-
Kausta sisu loendamine
-
Read
-
-
Avatud %systemroot%\Temp kausta atribuudid, valige IUSR_ < MachineName > konto (konto on juba olemas sest ta pärib kausta Winnt) ja märkige ruut Muuda . Korrake seda juhist < MachineName > IWAM_ konto ja Kasutajate rühma.
-
Kui FrontPage Server laiendiga klientide nagu FrontPage või Microsoft Visual InterDev kasutada avatud %systemdrive%\Inetpub\Wwwroot kausta atribuudid, valige Autenditud kasutajate rühmale, valige järgmine ja klõpsake OK :
-
Muuta
-
Lugemis- ja täitmisõigus
-
Kausta sisu loendamine
-
Read
-
Kirjutage
-
-
NTFS-failisüsteemi õigused
Järgnevas tabelis on loetletud õiguste kohta, mida rakendatakse, kui te järgige jaotises "Keela pärilus süsteemikaustad". Seda tabelit saab kasutada üksnes viitamiseks. Järgmises tabelis õiguste rakendamist toimige järgmiselt.
-
Avage Windows Explorer. Selleks klõpsake nuppu Start, käsku programmid, tarvikudja klõpsake Windows Exploreris.
-
Laienda minu arvuti.
-
Paremklõpsake % systemroot %ning seejärel klõpsake nuppu Atribuudid.
-
Klõpsake vahekaarti Turvalisus ja klõpsake nuppu.
-
Topeltklõpsake õigusja seejärel valige sobiv seade loendist Rakendada peale .
Märkus. Loendis on "suhtes" veerus, termin vaikimisi hõlmab "See kaust, alamkaustad ja failid."
Kataloog |
Users\Groups |
Õigused |
Kehtivad |
---|---|---|---|
%systemroot%\ (c:\winnt) |
Administraatori |
Täielik kasutusõigus |
Vaikimisi |
Süsteemi |
Täielik kasutusõigus |
Vaikimisi |
|
Kasutajatele |
Lugeda, täita |
Vaikimisi |
|
%systemroot%\system32 |
Administraatorid |
Täielik kasutusõigus |
Vaikimisi |
Süsteemi |
Täielik kasutusõigus |
Vaikimisi |
|
Kasutajatele |
Lugeda, täita |
Vaikimisi |
|
%systemroot%\system32\inetsrv |
Administraatorid |
Täielik kasutusõigus |
Vaikimisi |
Süsteemi |
Täielik kasutusõigus |
Vaikimisi |
|
Kasutajatele |
Lugeda, täita |
Vaikimisi |
|
Inetpub\adminscripts |
Administraatorid |
Täielik kasutusõigus |
Vaikimisi |
Inetpub\urlscan (kui see on olemas) |
Administraatorid |
Täielik kasutusõigus |
Vaikimisi |
Süsteemi |
Täielik kasutusõigus |
Vaikimisi |
|
%systemroot%\system32\inetsrv\metaback |
Administraatorid |
Täielik kasutusõigus |
Vaikimisi |
Süsteemi |
Täielik kasutusõigus |
Vaikimisi |
|
%systemroot%\help\iishelp\common |
Administraatorid |
Täielik kasutusõigus |
See kaust ja failid |
Süsteemi |
Täielik kasutusõigus |
See kaust ja failid |
|
IWAM_<Machinename> |
Lugeda, täita |
See kaust ja failid |
|
Võrk |
Täielik kasutusõigus |
See kaust ja failid |
|
Teenus |
See kaust ja failid |
||
Kasutajatele |
Lugeda, täita |
See kaust ja failid |
|
Inetpub\wwwroot (või sisukataloogid) |
Administraatorid |
Täielik kasutusõigus |
See kaust ja failid |
Süsteemi |
Täielik kasutusõigus |
See kaust ja failid |
|
IWAM_<MachineName> |
Lugeda, täita |
See kaust ja failid |
|
Teenus |
Lugeda, täita |
See kaust ja failid |
|
Võrk |
Lugeda, täita |
See kaust ja failid |
|
Optional**: |
Kasutajatele |
Lugeda, täita |
See kaust ja failid |
Märkus. FrontPage Server Extensions kasutamisel autenditud kasutajad või kasutajate rühma peab olema muutus NTFS õigus luua, ümber nimetada, kirjutada või pakkuda funktsioone, mida arendaja võib-olla on FrontPage-tüüpi klient, nagu näiteks Visual InterDev 6.0 või FrontPage 2002.
Andke õigused registri
-
Klõpsake nuppu Start, käsku Käivita, tippige regedt32ja klõpsake nuppu OK. Kasutage registriredaktorit, sest see ei lase teil muuta permissions opsüsteemis Windows 2000.
-
Registriredaktoris otsige üles ja valige HKEY_LOCAL_MACHINE.
-
Laiendage üksust System, laiendage üksust CurrentControlSetja seejärel laiendage teenused.
-
Valige võtme IISADMIN , klõpsake nuppu Turvalisus (või vajutage klahvikombinatsiooni ALT + S), ja seejärel valige Õigused (või vajutage klahvi P).
-
Klõpsake märkeruudu Luba päritavate õiguste emaüksuselt tütarobjektidele selle objekti , klõpsake nuppu Kopeerija seejärel eemaldage kõik kasutajad välja arvatud:
-
Administraatorid (võimaldab lugeda ja täielik kontroll)
-
Süsteem (võimaldab lugeda ja täielik kontroll)
-
-
Klõpsake nuppu OK.
-
Korrake samme MSFTPSVCvõti .
-
Valige W3SVC võti, klõpsake nuppu Turvalisusja seejärel käsku õiguste.
-
Tühjendage ruut Luba päritavate õiguste emaüksuselt tütarobjektidele selle objekti ja seejärel eemaldage kõik kirjed peale:
-
Administraatorid (võimaldab lugeda ja täielik kontroll)
-
Süsteem (võimaldab lugeda ja täielik kontroll)
-
Võrk (Loe)
-
Teenus (Loe)
-
IWAM_ < MachineName > (Loe)
-
-
Klõpsake nuppu OK.
Registri
Järgnevas tabelis on loetletud õiguste kohta, mida rakendatakse, kui te järgige juhiseid jaotises "Registri õiguste andmine". Seda tabelit saab kasutada üksnes viitamiseks. Märkus. Lühendit HKLM tähistab HKEY_LOCAL_MACHINE.
Asukoht |
Users\Groups |
Õigused |
---|---|---|
HKLM\System\CurrentControlSet\Services\IISAdmin |
Administraatorid |
Täielik kasutusõigus |
Süsteemi |
Täielik kasutusõigus |
|
HKLM\System\CurrentControlSet\Services\MsFtpSvc |
Administraatorid |
Täielik kasutusõigus |
Süsteemi |
Täielik kasutusõigus |
|
HKLM\System\CurrentControlSet\Services\w3svc |
Administraatorid |
Täielik kasutusõigus |
Süsteemi |
Täielik kasutusõigus |
|
IWAM_<MachineName> |
Read |
Grant õiguste Kohalik turvapoliitika
-
Klõpsake nuppu Start, klõpsake suvandit sättedja klõpsake Juhtpaneel.
-
Topeltklõpsake Haldusriistad, ja seejärel topeltklõpsake Kohalik turvapoliitika.
-
Kohalikud turvasätted dialoogiboksis, laiendage Kohalikud poliitikadja klõpsake Kasutaja õiguste määramine.
-
Sobiv poliitika muutmiseks toimige järgmiselt.
-
Topeltklõpsake poliitikat.
-
Valige ja klõpsake nuppu Eemalda kasutaja, kes on tabelis loetletud ei ole .
-
Lisa kasutaja, kes ei ole. Selleks klõpsake Lisamineja seejärel valige kasutaja dialoogiboksis kasutajate või rühmade valimine .
-
Pange tähele, sest domeeni kontrolleri poliitika alistab kohaliku poliitika, tuleb veenduda, et Tõhus Poliitikasätte kattub Kohaliku Poliitikasätte.
Poliitika
Järgnevas tabelis on loetletud õiguste kohta, mida rakendatakse, kui te järgige juhiseid jaotises "Grant õiguste Kohalik turvapoliitika".
Poliitika |
Kasutajatele |
---|---|
Logib end kohalikult |
Administraatorid |
IUSR_ < MachineName > (anonüümne) |
|
Kasutajad (vajalik autentimine) |
|
Juurdepääs sellele arvutile võrgust |
Administraatorid |
ASPNet (.NET Framework) |
|
IUSR_ < MachineName > (anonüümne) |
|
IWAM_<MachineName> |
|
Kasutajatele |
|
Pakett-tööna sisselogimine |
ASPNet |
Võrk |
|
IUSR_<MachineName> |
|
IWAM_<MachineName> |
|
Teenus |
|
Teenusena sisselogimine |
ASPNet |
Võrk |
|
Ära kasuta ristkontrollimist |
Administraatorid |
IUSR_ < MachineName > (anonüümne) |
|
Kasutajad (tavaline, integreeritud Digest) |
|
IWAM_<MachineName> |
Viited
Kuidas taastada default NTFS õigused Windows 2000 kohta lisateabe saamiseks klõpsake Microsofti teabebaasi (Knowledge Base) artiklite kuvamiseks järgmisi artiklinumbreid:
266118 kuidas taastada default NTFS õigused Windows 2000
260985 minimaalne NTFS õigused kasutama CDONTS
324068 kuidas IIS-i õiguste kindlate objektide jaoks
815153 kuidas konfigureerida NTFS faili õigusi turvalisuse ASP.net-i rakendused IIS 6.0 vajalike õiguste kohta lisateabe saamiseks klõpsake Microsofti teabebaasi (Knowledge Base) artikli kuvamiseks järgmist artiklinumbrit:
812614 Vaikeõigused ja -kasutajaõigused rakenduses IIS 6.0
Lisateave
Käesolevas artiklis ei käsitleta mõne serveri rollid või rakendusi kindlasse turvatsooni nõuetele:
-
Windows 2000 domeenikontroller
-
Microsoft Exchange 5.5 või Microsoft Exchange 2000 Outlook Web Access
-
Microsoft Small Business Server 2000
-
Team Services või Microsoft SharePoint Portal
-
Microsoft Commerce Server 2000 või Microsoft Commerce Server 2002
-
Microsoft BizTalk Server 2000 või Microsoft BizTalk Server 2002
-
Microsoft Content Management Server 2000 või Microsoft Content Management Server 2002
-
Microsoft Application Center 2000
-
Kolmanda osapoole rakendused, mis sõltuvad täiendavaid õigusi