Comment faire pour définir les autorisations NTFS requises et les droits d'utilisateur pour un serveur Web IIS 5.0

Cet article décrit pas à pas les autorisations minimales nécessaires pour un serveur Web Internet Information Services (IIS) 5.0 dédié.

Avertissement Cet article ne vaut que pour les serveurs Web dédiés utilisant les fonctionnalités ISS de base, telles que la diffusion de contenu statique HTML ou de contenu ASP (Active Server Pages) simple. Les exigences en matière d'autorisations décrites dans cet article font UNIQUEMENT référence aux autorisations de base d'un serveur Web dédié exécutant Microsoft Windows 2000 et IIS 5.0. Cet article ne prend pas en considération les autres produits Microsoft et les produits d'éditeurs tiers pouvant exiger des autorisations différentes. Nous vous recommandons de consulter les articles spécifiques aux rôles de votre serveur Web et d'effectuer des tests avant de modifier les autorisations sur un serveur Web de production. Vous trouverez des liens vers des articles relatifs à d'autres produits Microsoft dans la section « Références ».

Si vous appliquez ces autorisations à un serveur IIS qui assure d'autres rôles, tels que Microsoft Exchange Server 5.5, Microsoft Exchange Server 2000 ou des applications tierces qui dépendent d'autorisations supplémentaires, ces produits risquent de ne pas fonctionner comme prévu.

Remarque Cet article concerne uniquement IIS 5.0. Il ne s'applique pas aux autres versions d'ISS.

Pour plus d'informations sur les autorisations requises pour IIS 4.0, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft. Pour plus d'informations sur les autorisations requises pour IIS 6.0, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft. Les tests associés à ce document incluent les tests fonctionnels suivants :

• Documents hypertexte (HTML)
• Pages ASP (Active Server Pages)
• Extensions serveur FrontPage (ou FPSE), telles que la connexion, la modification et l'enregistrement, si FPSE est activé alors que vous utilisez l'outil Lockdown
• Connexions SSL (Secure Sockets Layer)

Ce document ne traite d'aucun besoin spécifique en matière de sécurité des rôles ou applications suivantes :

• Contrôleur de domaine Windows 2000
• Microsoft Exchange 5.5 ou Microsoft Exchange 2000 Outlook Web Access
• Microsoft Small Business Server 2000
• Microsoft SharePoint Portal ou les services SharePoint Team
• Microsoft Commerce Server 2000 ou Microsoft Commerce Server 2002
• Microsoft BizTalk Server 2000 ou Microsoft BizTalk Server 2002
• Microsoft Content Management Server 2000 ou Microsoft Content Management Server 2002
• Microsoft Application Center 2000

Reportez-vous à la documentation du serveur ou de l'application pour plus d'informations sur les exigences spécifiques en matière de sécurité. Les liens se rapportant aux articles de la Base de connaissances sont fournis dans la section « Références ».

Avant d'appliquer les autorisations présentées dans cet article, nous vous recommandons d'exécuter la version la plus actuelle de l'outil IIS Lockdown. Pour plus d'informations sur cet outil, reportez-vous au site Web de Microsoft à l'adresse suivante (en anglais) : Les services et programmes suivants ont été installés dans le cadre des tests qui ont servi à tester la sécurité du serveur après l'octroi des autorisations décrites dans cet article :

• Services d'indexation
• Services Terminal Server
• Débogueur de script
• IIS
  • Fichiers communs
  • Documentation
  • Extensions serveur FrontPage 2000
  • Gestionnaire de services Internet (HTML)
  • WWW
  • FTP

Octroi de la propriété et des autorisations aux administrateurs et au système

Pour attribuer les autorisations au système :

1. Ouvrez l'Explorateur Windows. Pour cela, cliquez sur Démarrer, sur Programmes, puis sur Explorateur Windows.
2. Développez Poste de travail.
3. Cliquez avec le bouton droit sur le lecteur système (il s'agit généralement du lecteur C), puis cliquez sur Propriétés.
4. Cliquez sur l'onglet Sécurité, puis cliquez sur Avancé pour ouvrir la boîte de dialogue Paramètres de contrôle d'accès pour Disque local.
5. Cliquez sur l'onglet Propriétaire, activez la case à cocher Remplacer le propriétaire des sous-conteneurs et des objets, puis cliquez sur Appliquer.
   
   Si le message d'erreur suivant s'affiche, cliquez sur Continuer :
   Une erreur s'est produite lors de l'application des informations de sécurité à %systemdrive%:\Pagefile.sys
6. Si le message d'erreur suivant s'affiche, cliquez sur Oui :
   Vous ne disposez pas de l'autorisation de lire le contenu du répertoire %systemdrive%:\System Volume Information - Voulez-vous remplacer les autorisations du répertoire par des autorisations vous accordant le contrôle total ?
7. Cliquez sur OK pour refermer la boîte de dialogue.
8. Cliquez sur Ajouter.
9. Ajoutez les utilisateurs suivants, puis accordez-leur l'autorisation NTFS Contrôle total :
   • Administrateur
   • .
   • Créateur propriétaire
10. Après avoir ajouté des autorisations NTFS, cliquez sur Avancé, activez la case à cocher Réinitialiser les autorisations sur tous les objets enfants et permettre la propagation des autorisations pouvant être héritées, puis cliquez sur Appliquer.
11. Si le message d'erreur suivant s'affiche, cliquez sur Continuer :
    Une erreur s'est produite lors de l'application des informations de sécurité à %systemdrive%:\Pagefile.sys
12. Une fois les autorisations NTFS réinitialisées, cliquez sur OK.
13. Cliquez sur le groupe Tout le monde, sur Supprimer, puis cliquez sur OK.
14. Ouvrez les propriétés pour le dossier %systemdrive%\Program Files\Fichiers communs, puis cliquez sur Sécurité Ajoutez le compte utilisé pour l'accès anonyme. Par défaut, il s'agit du compte IUSR_<Nom_Machine>. Ajoutez ensuite le groupe Utilisateurs. Assurez-vous que seuls les éléments suivants sont sélectionnés :
    • Lecture et exécution
    • Affichage du contenu du dossier
    • Lecture
15. Ouvrez les propriétés du répertoire racine où réside votre contenu Web. Par défaut, il s'agit du dossier %systemdrive%\Inetpub\Wwwroot. Cliquez sur l'onglet Sécurité, ajoutez le compte IUSR_<Nom_Machine> et le groupe Utilisateurs, puis vérifiez que seuls les éléments suivants sont sélectionnés :
    • Read & Execute
    • List Folder Contents
    • Read
16. Pour accorder l'autorisation NTFS Écriture à Inetpub\FTProot ou le chemin du répertoire associé à votre site FTP ou à vos sites, répétez l'étape 15.
    
    Remarque Nous déconseillons d'accorder des autorisations NTFS Écriture à des comptes anonymes dans quelque répertoire que ce soit, y compris les répertoires utilisés par les services FTP. Ceci peut provoquer le chargement de données inutiles sur votre serveur Web.

Désactivation de l'héritage dans les répertoires système

1. Dans le dossier %systemroot%\System32, sélectionnez tous les dossiers hormis les suivants :
   • Inetsrv
   • Certsrv (si présent)
   • COM
2. Cliquez avec le bouton droit sur les dossiers restants, cliquez sur Propriétés, puis cliquez sur l'onglet Sécurité.
3. Désactivez la case à cocher Permettre aux autorisations pouvant être héritées du parent d'être propagées à cet objet, puis cliquez sur Copier, puis sur OK.
4. Dans le dossier %systemroot%, sélectionnez tous les dossiers hormis les suivants :
   • Assembly (si présent)
   • Fichiers programmes téléchargés
   • Aide
   • Microsoft .NET (si présent)
   • Offline Web Pages
   • System32
   • Tâches
   • Temp
   • Web
5. Cliquez avec le bouton droit sur les dossiers restants, cliquez sur Propriétés, puis cliquez sur l'onglet Sécurité.
6. Désactivez la case à cocher Permettre aux autorisations pouvant être héritées du parent d'être propagées à cet objet, puis cliquez sur Copier, puis sur OK.
7. Appliquez des autorisations comme suit :
   1. Ouvrez les propriétés du dossier %systemroot%, cliquez sur l'onglet Sécurité, ajoutez les comptes IUSR_<Nom_Machine> et IWAM_<Nom_Machine> ainsi que le groupe Utilisateurs, puis assurez-vous que seuls les éléments suivants sont sélectionnés :
      • Lecture et exécution
      • Affichage du contenu du dossier
      • Lecture
   2. Ouvrez les propriétés du dossier %systemroot%\Temp, sélectionnez le compte IUSR_<Nom_Machine> (ce compte est déjà présent car il hérite du dossier Winnt), puis activez la case à cocher Modifier. Répétez cette étape pour le compte IWAM_<Nom_machine> et le groupe Utilisateurs.
   3. Si des clients des extensions serveur FrontPage comme FrontPage ou Microsoft Visual InterDev sont utilisés, ouvrez les propriétés pour le dossier %systemdrive%\Inetpub\Wwwroot, sélectionnez le groupe Utilisateurs authentifiés, sélectionnez ce qui suit, puis cliquez sur OK :
      • Modifier
      • Lecture et exécution
      • Afficher le contenu du dossier
      • Lecture
      • Écrire

Autorisations NTFS

Le tableau ci-après répertorie les autorisations qui seront appliquées en suivant les étapes de la section « Désactivation de l'héritage dans des répertoires système ». Ce tableau est uniquement fourni à titre de référence.

Pour appliquer les autorisations dans le tableau suivant :

1. Ouvrez l'Explorateur Windows. Pour cela, cliquez sur Démarrer, sur Programmes, sur Accessoires, puis sur Explorateur Windows.
2. Développez Poste de travail.
3. Cliquez avec le bouton droit sur %systemroot%, puis cliquez sur Propriétés.
4. Cliquez sur l'onglet Sécurité, puis sur Avancé.
5. Double-cliquez sur Autorisations, puis sélectionnez le paramètre approprié pour la liste Appliquer à.

Remarque Dans la colonne « Appliquer à », le terme par défaut fait référence à « ce dossier, ces sous-dossiers et ces fichiers ».
** Si vous employez des extensions serveur FrontPage, le groupe Utilisateurs authentifiés ou le groupe Utilisateurs doit avoir l'autorisation NTFS Modification pour créer, renommer, écrire ou fournir la fonctionnalité dont un développeur pourrait avoir besoin à partir d'un client de type FrontPage, comme Visual InterDev 6.0 ou FrontPage 2002.

Octroi d'autorisations dans le Registre

1. Cliquez sur Démarrer, sur Exécuter, tapez regedt32, puis cliquez sur OK. N'utilisez pas l'Éditeur du Registre car il ne vous permet pas de modifier des autorisations dans Windows 2000.
2. Dans l'Éditeur du Registre, recherchez et sélectionnez HKEY_LOCAL_MACHINE.
3. Développez System, développez CurrentControlSet, puis Services.
4. Sélectionnez la clé IISADMIN, cliquez sur Security (ou appuyez sur ALT+S), puis sélectionnez Permissions (ou appuyez sur P).
5. Désactivez la case à cocher Permettre aux autorisations pouvant être héritées du parent d'être propagées à cet objet, cliquez sur Copier, puis supprimez tous les utilisateurs à l'exception des suivants :
   • Administrateurs (Lecture et Contrôle total autorisés)
   • Système (Lecture et Contrôle total autorisés)
6. Cliquez sur OK.
7. Répétez les étapes pour la clé MSFTPSVC.
8. Sélectionnez la clé W3SVC, cliquez sur Security, puis sur Permissions.
9. Désactivez la case à cocher Permettre aux autorisations pouvant être héritées du parent d'être propagées à cet objet, puis supprimez toutes les entrées à l'exception des suivantes :
   • Administrateurs (Lecture et Contrôle total autorisés)
   • Système (Lecture et Contrôle total autorisés)
   • Réseau (Lecture)
   • Service (Lecture)
   • IWAM_<Nom_Machine> (Lecture)
10. Cliquez sur OK.

Registre

Le tableau ci-après répertorie les autorisations qui seront appliquées en suivant les étapes de la section « Octroi d'autorisations dans le Registre ». Ce tableau est uniquement fourni à titre de référence.

Remarque L'acronyme HKLM signifie HKEY_LOCAL_MACHINE.

Octroi de droits dans la stratégie de sécurité locale

1. Cliquez sur Démarrer, sur Paramètres, puis sur Panneau de configuration.
2. Double-cliquez sur Outils d'administration, puis sur Stratégie de sécurité locale.
3. Dans la boîte de dialogue Paramètres de sécurité locaux, développez Stratégies locales, puis cliquez sur Attribution des droits utilisateur.
4. Modifiez la stratégie appropriée :
   1. Double-cliquez sur la stratégie.
   2. Sélectionnez, puis cliquez sur Supprimer pour tout utilisateur qui n'est pas répertorié dans le tableau.
   3. Ajoutez tout utilisateur qui n'est pas répertorié. Pour cela, cliquez sur Ajouter, puis sélectionnez l'utilisateur dans la boîte de dialogue Sélectionner les utilisateurs ou les groupes.

Notez que parce qu'une stratégie de contrôleur de domaine se substitue à la stratégie locale, vous devez vous assurer que l'attribut Paramètres de stratégie effectif correspond à l'attribut Paramètre de stratégie locale.

Stratégies

Le tableau suivant répertorie les autorisations qui seront appliquées en suivant les étapes de la section « Octroi de droits dans la stratégie de sécurité locale ».

Services requis

Pour plus d'informations sur les services dont vous devez disposer pour IIS 4.0, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.

Pour plus d'informations sur la procédure de restauration des autorisations NTFS par défaut pour Windows 2000, cliquez sur les numéros ci-dessous pour afficher les articles correspondants dans la Base de connaissances Microsoft :