Como definir necessárias permissões de NTFS e direitos de utilizador para um servidor de IIS 5.0, IIS 5.1 ou Web do IIS 6.0

Traduções de Artigos Traduções de Artigos
Artigo: 271071 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Nesta página

Sumário

Este artigo passo a passo descreve as permissões mínimas necessárias para uma dedicada (IIS) 5.0, IIS 5.1 ou servidor Web do IIS 6.0.

aviso Este artigo só é válido para servidores da Web dedicados que utilizar a funcionalidade básica do IIS, tal como servir conteúdo HTML estático conteúdo ou simples páginas ASP (Active Server). Os requisitos de permissões que são descritos neste artigo são específicos apenas como as permissões básicas para um servidor Web dedicado com o IIS 5. x ou 6.0 Este artigo não considera outros Microsoft e produtos de outros fabricantes que poderão requerer permissões diferentes. Recomendamos que reveja os artigos que são específicos para as funções do servidor Web e efectuar testes antes de efectuar alterações de permissões no servidor Web de produção. Para obter hiperligações para artigos relacionados para outros produtos da Microsoft, consulte a secção "Referências".

Se aplicar estas permissões a um servidor IIS que serve de outras funções, tais como o Microsoft Exchange Server 5.5, Microsoft Exchange Server 2000 ou aplicações de outros fabricantes que dependem de permissões adicionais, estes produtos poderão não funcionar conforme esperado.

Para obter mais informações sobre as permissões necessárias para o IIS 6.0, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
812614Permissões e direitos de utilizador para o IIS 6.0 predefinidos
Testar para este documento incluídos os seguintes testes funcionais:
  • Documentos de hipertexto (HTML)
  • ASP (Active Server Pages)
  • Extensões de servidor do FrontPage, tais como ligar, editar e guardar, se estiver activado FPSE enquanto utiliza a ferramenta de bloqueio
  • Proteger ligações de camadas (SSL) do socket
Este documento efectua não endereço qualquer um dos requisitos de segurança específica de seguintes funções de servidor de aplicações:
  • Controlador de domínio do Windows 2000
  • Microsoft Exchange 5.5 ou o Outlook Web Access do Microsoft Exchange 2000
  • Microsoft Small Business Server 2000
  • Microsoft SharePoint Portal ou Team Services
  • Microsoft Commerce Server 2000 ou Microsoft Commerce Server 2002
  • Microsoft BizTalk Server 2000 ou o Microsoft BizTalk Server 2002
  • Microsoft Content Management Server 2000 ou o Microsoft Content Management Server 2002
  • Microsoft Application Center 2000
Reveja a documentação servidor e a aplicação para requisitos de segurança específica. São fornecidas hiperligações para artigos da base de dados de conhecimento da relacionadas na secção "Referências".

Antes de aplicar as permissões neste artigo, recomendamos que execute a versão mais recente da ferramenta IIS Lockdown. Para obter informações adicionais sobre esta ferramenta, visite o seguinte Web site da Microsoft:
http://www.microsoft.com/technet/security/tools/locktool.mspx
Os seguintes programas e serviços foram instalados como parte do conjunto de teste que foi utilizado para testar a segurança do servidor após a conceder as permissões descritas neste artigo:
  • Serviços de indexação
  • Os serviços de terminal
  • Depurador de scripts
  • IIS
    • Ficheiros comuns
    • Documentação
    • Extensões de servidor do FrontPage 2000
    • Gestor de serviços Internet (HTML)
    • WWW
    • FTP

Conceder permissão e de propriedade para o administrador e o sistema

Para atribuir permissões para o efeito ao sistema:
  1. Abra o Explorador do Windows. Para tal, clique em Iniciar , clique em programas e, em seguida, clique em Explorador do Windows .
  2. Expanda o meu computador .
  3. Clique na unidade de sistema (isto é normalmente a unidade C) com o botão direito do rato e, em seguida, clique em Propriedades .
  4. Clique no separador segurança e, em seguida, clique em Avançadas para abrir a caixa de diálogo Definições de controlo de acesso para o disco local .
  5. Clique no separador proprietário , clique para seleccionar a caixa de verificação Substituir proprietário em sub contentores e objectos e, em seguida, clique em Aplicar .

    Se receber a seguinte mensagem de erro, clique em continuar :
    Ocorreu um erro aplicar informações de segurança para %systemdrive%\Pagefile.sys
  6. Se receber a seguinte mensagem de erro, clique em Sim :
    Não tem permissão para ler o conteúdo do directório %systemdrive%\System Volume Information - deseja substituir a permissão de directório - todas as permissões serão substituídas conceder controlo total
  7. Clique em OK para fechar a caixa de diálogo.
  8. Clique em Adicionar .
  9. Adicione os seguintes utilizadores e, em seguida, conceder-lhes a permissão de NTFS controlo total:
    • Administrador
    • Sistema
    • Proprietário criador
  10. Depois de adicionar estas permissões de NTFS, clique em Avançadas , clique para seleccionar a caixa de verificação Repor permissão em todos os objectos subordinados e permitir a propagação de permissões herdáveis e, em seguida, clique em Aplicar .
  11. Se receber a seguinte mensagem de erro, clique em continuar :
    Ocorreu um erro aplicar informações de segurança para %systemdrive%\Pagefile.sys
  12. Depois de ter repor as permissões de NTFS, clique em OK .
  13. Clique no grupo Todos (Everyone) , clique em Remover e, em seguida, clique em OK .
  14. Abra as propriedades da pasta de ficheiros c:\Programas\Ficheiros %systemdrive%\Programas\Windows e, em seguida, clique no separador segurança . Adicione a conta utilizada para acesso anónimo. Por predefinição, esta é IUSR_ <machinename> conta. Em seguida, adicione o grupo utilizadores. Certifique-se que apenas os seguintes estão seleccionados:
    • Ler & executar
    • Listar conteúdo das pastas
    • Ler
  15. Abra as propriedades para o directório raiz que contém conteúdo da Web. Por predefinição, esta é a pasta %systemdrive%\Inetpub\Wwwroot. Clique no separador segurança , adicionar IUSR_ <machinename> conta e utilizadores do grupo e, em seguida, certifique-se que apenas o seguinte é seleccionado:
    • Ler & executar
    • Listar conteúdo das pastas
    • Ler
  16. Se pretender conceder permissão de escrita NTFS para Inetpub\FTProot ou o caminho do directório para o local de FTP ou sites, repita o passo 15.

    Nota Não recomendamos que permissões NTFS de escrita para a conta anónima em quaisquer directórios, incluindo directórios utilizados pelo utiliza a serviço FTP. Isto pode causar dados desnecessários ser enviados para o servidor Web.

Desactivar herança nos directórios de sistema

  1. Na pasta % SystemRoot%\System32, seleccione todas as pastas excepto o seguinte:
    • Inetsrv
    • Certsrv (se presente)
    • COM
  2. Clique com o botão direito do rato as restantes pastas, clique em Propriedades e, em seguida, clique na segurança separador.
  3. Clique para desmarcar a caixa de verificação Allow inheritable permissions , clique em Copiar e, em seguida, clique em OK .
  4. Na pasta % systemroot %, seleccione todas as pastas excepto o seguinte:
    • Assemblagem (se presente)
    • Ficheiros de programa transferidos
    • Ajuda
    • Microsoft.NET (se presente)
    • Páginas Web offline
    • System32
    • Tarefas
    • Temp
    • Web
  5. Clique com o botão direito do rato as restantes pastas, clique em Propriedades e, em seguida, clique na segurança separador.
  6. Clique para desmarcar a caixa de verificação Allow inheritable permissions , clique em Copiar e, em seguida, clique em OK .
  7. Aplique as permissões para o seguinte:
    1. Abra as propriedades para a pasta % systemroot %, clique no separador segurança , adicionar a IUSR_<machinename> e IWAM_<machinename> contas e utilizadores do grupo e, em seguida, certifique-se que apenas o seguinte é seleccionado:
      • Ler & executar
      • Listar conteúdo das pastas
      • Ler
    2. Abra as propriedades para a pasta %systemroot%\Temp, seleccione o IUSR_<machinename> conta (esta conta já existe uma vez que herda a pasta Winnt) e, em seguida, clique para seleccionar a caixa de verificação Modificar . Repita este passo para o IWAM_<machinename> conta e o grupo de utilizadores .
    3. Se clientes de extensões do servidor de FrontPage como o FrontPage ou Microsoft Visual InterDev forem utilizados, abra as propriedades para a pasta %systemdrive%\Inetpub\Wwwroot, seleccione o grupo Utilizadores autenticados , seleccione o seguinte e, em seguida, clique em OK :
      • Modificar
      • Ler & executar
      • Listar conteúdo das pastas
      • Ler
      • escrever

Permissões de NTFS

A tabela seguinte lista as permissões que serão aplicadas quando seguir os passos na secção 'Desactivar herança nos directórios de sistema'. Esta tabela é apenas para referência.

Para aplicar as permissões na seguinte tabela:
  1. Abra o Explorador do Windows. Para o fazer, clique em Iniciar , clique em programas , clique em Acessórios e, em seguida, clique em Explorador do Windows .
  2. Expanda o meu computador .
  3. Clique com o botão direito do rato em % systemroot % e, em seguida, clique em Propriedades .
  4. Clique no separador segurança e, em seguida, clique em Avançadas .
  5. Faça duplo clique em permissões e, em seguida, seleccione na definição adequada na lista Aplicar em .
Nota No ? aplicar para ? coluna, o termo que predefinido refere-se a ? esta pasta, subpastas e ficheiros. ?
Reduzir esta tabelaExpandir esta tabela
directório Users\Groups permissões Aplicar A
%systemroot%\ (c:\winnt)AdministradorControlo totalPredefinição
SistemaControlo total Predefinição
UtilizadoresLer, executarPredefinição
%systemroot%\System32AdministradoresControlo total Predefinição
SistemaControlo totalPredefinição
UtilizadoresLer, executarPredefinição
% systemroot%\system32\inetsrvAdministradoresControlo totalPredefinição
SistemaControlo total Predefinição
UtilizadoresLer, executarPredefinição
Inetpub\Adminscripts AdministradoresControlo totalPredefinição
Inetpub\urlscan (se presente) AdministradoresControlo totalPredefinição
SistemaControlo totalPredefinição
%systemroot%\System32\inetsrv\MetaBackAdministradoresControlo totalPredefinição
SistemaControlo totalPredefinição
%systemroot%\Help\IisHelp\CommonAdministradoresControlo total Esta pasta e ficheiros
SistemaControlo totalEsta pasta e ficheiros
IWAM_ <machinename>Ler, executarEsta pasta e ficheiros
RedeControlo totalEsta pasta e ficheiros
ServiçoEsta pasta e ficheiros
UtilizadoresLer, executarEsta pasta e ficheiros
Inetpub\wwwroot (ou directórios conteúdos)AdministradoresControlo totalEsta pasta e ficheiros
SistemaControlo totalEsta pasta e ficheiros
IWAM_ <machinename>Ler, executarEsta pasta e ficheiros
ServiçoLer, executarEsta pasta e ficheiros
RedeLer, executarEsta pasta e ficheiros
Opcional **:UtilizadoresLer, executarEsta pasta e ficheiros

** Se estiver a utilizar as extensões de servidor do FrontPage, utilizadores autenticados ou ao grupo utilizadores tem de ter a permissão Alterar NTFS para criar, mudar o nome, para escrever ou para fornecer a funcionalidade que um programador poderão ter de ter do FrontPage-tipo de cliente, como o Visual InterDev 6.0 ou FrontPage 2002.

Conceder permissões no registo

  1. Clique em Iniciar , clique em Executar , escreva regedt32 e, em seguida, clique em OK . Não utilize o Editor de registo porque ele não lhe permite alterar as permissões no Windows 2000.
  2. No Editor de registo, localize e seleccione HKEY_LOCAL_MACHINE .
  3. Expanda sistema , expanda CurrentControlSet e, em seguida, expanda Serviços .
  4. Seleccione a chave IISADMIN , clique em segurança (ou prima ALT+S) e, em seguida, seleccione permissões (ou prima P).
  5. Clique para desmarcar a caixa de verificação Allow inheritable permissions from parent to propagate to this object , clique em Copiar e, em seguida, remova todos os utilizadores excepto :
    • Administradores (permitir ler e controlo total)
    • Sistema (permitir ler e controlo total)
  6. Clique em OK .
  7. Repita os passos para MSFTPSVC chave.
  8. Seleccionar chave W3SVC , clique em segurança e, em seguida, clique em permissões .
  9. Clique para desmarcar a caixa de verificação Allow inheritable permissions from parent to propagate to this object e remova todos os movimentos , excepto :
    • Administradores (permitir ler e controlo total)
    • Sistema (permitir ler e controlo total)
    • Rede (leitura)
    • Serviço (leitura)
    • IWAM_ <machinename> (leitura)
  10. Clique em OK .

Registo

A tabela seguinte lista as permissões que serão aplicadas quando seguir os passos na secção "Conceder permissões do registo do". Esta tabela é apenas para referência.

Nota O acrónimo significa HKLM para HKEY_LOCAL_MACHINE.
Reduzir esta tabelaExpandir esta tabela
localização Users\Groups permissões
HKLM\System\CurrentControlSet\Services\IISAdminAdministradoresControlo total
SistemaControlo total
HKLM\System\CurrentControlSet\Services\MsFtpSvcAdministradoresControlo total
SistemaControlo total
HKLM\System\CurrentControlSet\Services\w3svcAdministradoresControlo total
SistemaControlo total
IWAM_ <machinename>Ler

Conceder direitos a política de segurança local

  1. Clique em Iniciar , clique em definições e, em seguida, clique em Painel de controlo .
  2. Faça duplo clique Ferramentas administrativas e, em seguida, faça duplo clique em Política de segurança local .
  3. Na caixa de diálogo Definições de segurança local , expanda Políticas locais (Local Policies) e, em seguida, clique em Atribuição de direitos de utilizador .
  4. Modificar a política adequada:
    1. Faça duplo clique na política.
    2. Seleccione e, em seguida, clique em Remover para qualquer utilizador que não listados na tabela.
    3. Adicione qualquer utilizador que não esteja listado. Para o fazer, clique em Adicionar e, em seguida, seleccione o utilizador na caixa de diálogo Seleccionar utilizadores ou grupos .
Tenha em atenção que porque uma política de controlador de domínio substitui a política local, deve certificar-se que Definição de política efectiva corresponde à Definição de política local .

Políticas

A tabela seguinte lista as permissões que serão aplicadas quando seguir os passos na secção "Conceder direitos de política de segurança local".
Reduzir esta tabelaExpandir esta tabela
política utilizadores
Iniciar sessão localmenteAdministradores
IUSR_ <machinename> (Anonymous)
Utilizadores (autenticação necessária)
Aceder a este computador a partir da redeAdministradores
ASPNet (.NET Framework)
IUSR_ <machinename> (Anonymous)
IWAM_ <machinename>
Utilizadores
Inicie sessão como tarefa batchASPNet
Rede
IUSR_ <machinename>
IWAM_ <machinename>
Serviço
Inicie sessão como um serviçoASPNet
Rede
Ignorar verificação transversalAdministradores
IUSR_ <machinename> (Anonymous)
Utilizadores (Basic, integrado, Resumo)
IWAM_ <machinename>

Serviços necessários

Para obter mais informações sobre os serviços que tem de ter para o IIS 4.0, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
189271Lista de serviços necessários para executar um computador com IIS com segurança melhorada

Referências

Para obter mais informações sobre como restaurar permissões predefinidas de NTFS para o Windows 2000, clique números de artigo que se seguem para visualizar os artigos na base de dados de conhecimento da Microsoft:
266118Como restaurar as permissões de NTFS predefinidas para o Windows 2000
260985Mínimos permissões NTFS necessárias para utilizar CDONTS
324068Como definir permissões para objectos específicos do IIS
815153Como configurar permissões de ficheiros NTFS para a segurança de aplicações do ASP.NET

Propriedades

Artigo: 271071 - Última revisão: 19 de maio de 2009 - Revisão: 16.0
A informação contida neste artigo aplica-se a:
  • Microsoft Internet Information Services 5.0
  • Serviços de informação Internet 5.1 da Microsoft
  • Microsoft Internet Information Services 6.0
Palavras-chave: 
kbmt kbhowtomaster kbhowto kbpending kbprb KB271071 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 271071

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com