Como definir permissões NTFS mínimas e direitos de utilizador para o IIS 5. x ou no IIS 6.0

Traduções de Artigos Traduções de Artigos
Este artigo descreve como definir as permissões mínimas necessárias para um servidor IIS 6.0 Web, IIS 5.1 ou dedicado Internet Information Services (IIS) 5.0.
O limite para este artigo
Aviso Este artigo é apenas válido para servidores Web dedicados, que utilizam a funcionalidade básica do IIS, tal como servir conteúdo a HTML estático conteúdo ou simples Active Server Pages (ASP). Os requisitos de permissões que são descritos neste artigo são específicos apenas as permissões de base para um servidor Web dedicado que esteja a executar o IIS 5.x ou IIS 6.0. Este artigo não se considera outros Microsoft e produtos de outros fabricantes que podem exigir permissões diferentes. Pode rever documentação de servidor e a aplicação de requisitos específicos de segurança. Recomenda-se que é rever os artigos relacionados que são específicas para as funções do servidor Web.
Passos antes das configurações de permissões de teste num ambiente de produção
Antes de efectuar alterações de permissões no servidor Web de produção, recomendamos que efectue os seguintes passos:
  1. Executar a versão mais recente da ferramenta IIS Lockdown. Os seguintes programas e serviços foram instalados como parte do conjunto de ensaio que foi utilizado para testar a segurança do servidor após a concessão das permissões descritas neste artigo:
    • Serviços de indexação
    • Serviços de terminal
    • Depurador de scripts
    • IIS
      • Ficheiros comuns
      • Documentação
      • Extensões de servidor do FrontPage 2000
      • Gestor de serviços Internet (HTML)
      • WWW
      • FTP
  2. Execute os seguintes testes de funcionalidade:
    • Documentos de hipertexto (HTML)
    • Active Server Pages (ASP)
    • Extensões de servidor do FrontPage, tais como ligar, editar, andsaving, se o FPSE estiver activado enquanto utiliza a ferramenta de bloqueio
    • Proteger ligações de camadas (SSL) do Socket

Neste artigo

Show all imageMostrar todosHide all imageOcultar todos

Conceder permissão e de propriedade e para o administrador do sistema

Para tal, siga estes passos:
  1. Abra o Explorador do Windows. Para tal, clique emIniciar, clique em programase, em seguida, clique emExplorador do Windows.
  2. Expanda o computador.
  3. Botão direito do rato na unidade de sistema (normalmente é a unidade C) e, em seguida, clique em Propriedades.
  4. Clique no separador segurança e, em seguida, clique emAvançadas para abrir a caixa de diálogo Definições de controlo de acesso para LocalDisk .
  5. Clique no separador proprietário , clique para seleccionar a caixa de verificaçãoSubstituir proprietário em contentores de Sub e objectos andthen em Aplicar.

    Se receber o seguinte ' errorMessage ', clique em continuar:
    Um hasoccurred de erro aplicar segurança informações to%systemdrive%\Pagefile.sys
  6. Se receber a seguinte mensagem de erro, clique emSim:
    Não tem permissão para readthe conteúdo do directório %systemdrive%\System informações de Volume - é wantto substituir a permissão de directório - todas as permissões serão substituída grantingyou controlo total
  7. Clique em OK para fechar a caixa de diálogo.
  8. Clique em Adicionar.
  9. Adicione os seguintes utilizadores e, em seguida, conceder-lhes a permissão de NTFS FullControl]:
    • Administrador
    • Sistema
    • Proprietário criador
  10. Depois de ter adicionado estas permissões de NTFS, clique emAvançadas, clique para seleccionar a caixa de verificação de permissão em objectos de allchild de repor e permitir a propagação de permissões herdáveis e, em seguida, clique em Aplicar.
  11. Se receber a seguinte mensagem de erro, clique emcontinuar:
    Ocorreu um erro informações de applyingsecurity para %systemdrive%\Pagefile.sys
  12. Depois de repor as permissões de NTFS, clique emOK.
  13. Clique no grupo todos os utilizadores , clique emRemovere, em seguida, clique em OK.
  14. Abra as propriedades para a pasta de ficheiros de %systemdrive%\ProgramFiles\Common e, em seguida, clique no separador segurança .Adicione a conta que é utilizada para acesso anónimo. Por predefinição, esta é theIUSR_<MachineName> conta. Em seguida, adicione o grupo de utilizadores. Certifique-se de que thatonly estão seleccionadas as seguintes:<b00> </b00> </MachineName>
    • Ler & executar
    • Listar conteúdo das pastas
    • Leitura
  15. Abra as propriedades para o directório de raiz que contém o conteúdo de yourWeb. Por predefinição, esta é a pasta de %systemdrive%\inetpub\wwwroot..Clique no separador segurança , adicionar a IUSR _<MachineName>conta e os utilizadores, grupo e, em seguida, certifique-se de que apenas o seguinte areselected:<b00> </b00> </MachineName>
    • Ler & executar
    • Listar conteúdo das pastas
    • Leitura
  16. Se pretender conceder forInetpub\FTProot de permissão de NTFS de escrita ou o caminho do directório para o local de FTP ou Web sites, repita o step15.

    Nota Não recomendamos que conceda a permissionsto NTFS escrever a conta anónima em quaisquer directórios, incluindo directórios utilizados pelo utilizada pelo serviço FTP. Estes dados desnecessários cancause para serem enviados para o servidor Web.

Desactivar herança de directórios de sistema

Para tal, siga estes passos:
  1. Na pasta %systemroot%\System32, seleccione allfolders excepto os seguintes:
    • Inetsrv
    • Certsrv (se existir)
    • COM
  2. As restantes pastas com o botão direito, clique emPropriedadese, em seguida, clique no separador segurança.
  3. Clique para desmarcar a caixa de verificação Permitir inheritablepermissions , clique em Copiare, em seguida, clique emOK.
  4. Na pasta % systemroot %, seleccione todos os seguinte de exceptthe de pastas:
    • Assemblagem (se existir)
    • Ficheiros de programa transferidos
    • Ajuda
    • Microsoft.NET (se existir)
    • Páginas Web offline
    • System32
    • Tarefas
    • Temp
    • Web
  5. As restantes pastas com o botão direito, clique emPropriedadese, em seguida, clique no separador segurança.
  6. Clique para desmarcar a caixa de verificação Permitir inheritablepermissions , clique em Copiare, em seguida, clique emOK.
  7. Aplica permissões à seguinte:
    1. Abra as propriedades para a pasta % systemroot %, clique no separador segurança , adicionar a IUSR _<MachineName> </MachineName> e IWAM _<MachineName> </MachineName> contas e os utilizadores grupo e, em seguida, certifique-se de que só está seleccionadas:
      • Ler & executar
      • Listar conteúdo das pastas
      • Leitura
    2. Pendente as propriedades para a pasta %systemroot%\Temp, seleccione o IUSR _<MachineName> </MachineName> conta (esta conta já existe uma vez que herda a partir da pasta Winnt) e, em seguida, clique para seleccionar a caixa de verificação de Modificar . Repita este passo para a IWAM _<MachineName> </MachineName> conta e o grupo de utilizadores .
    3. Se os clientes de extensão de servidor do FrontPage tal como estão a ser utilizado o FrontPage ou Microsoft Visual InterDev, abra as propriedades para a pasta %systemdrive%\inetpub\wwwroot., seleccione o grupo de Utilizadores autenticados , seleccione o seguinte e, em seguida, clique em OK:
      • Modificar
      • Ler & executar
      • Listar conteúdo das pastas
      • Leitura
      • Escrita

Permissões de NTFS

A tabela seguinte lista as permissões que serão aplicadas quando seguir os passos na secção "Desactivar herança em directórios de sistema". Esta tabela é apenas para referência.

Para aplicar as permissões na seguinte tabela, siga estes passos:
  1. Abra o Explorador do Windows. Para tal, clique emIniciar, clique em programas, clique emAcessóriose, em seguida, clique em WindowsExplorer.
  2. Expanda o computador.
  3. Botão direito do rato % systemroot %e, em seguida, clique emPropriedades.
  4. Clique no separador segurança e, em seguida, clique emAvançadas.
  5. Clique duas vezes a permissãoe, em seguida, selectthe adequado a definição na lista Aplicar em .
NotaColuna em "aplicar para", o termo que predefinido refere-se "Nesta pasta, subpastas e ficheiros."
Reduzir esta tabelaExpandir esta tabela
DirectórioUsers\GroupsPermissõesAplicar a
%SystemRoot%\ (c:\winnt)AdministradorControlo totalPredefinição
SistemaControlo total Predefinição
UtilizadoresLer, executarPredefinição
%systemroot%\System32.AdministradoresControlo total Predefinição
SistemaControlo totalPredefinição
UtilizadoresLer, executarPredefinição
%systemroot%\system32\inetsrv.AdministradoresControlo totalPredefinição
SistemaControlo total Predefinição
UtilizadoresLer, executarPredefinição
Inetpub\Adminscripts AdministradoresControlo totalPredefinição
Inetpub\urlscan (se existir) AdministradoresControlo totalPredefinição
SistemaControlo totalPredefinição
%systemroot%\System32\inetsrv\MetaBackAdministradoresControlo totalPredefinição
SistemaControlo totalPredefinição
%systemroot%\Help\IisHelp\CommonAdministradoresControlo total Esta pasta e ficheiros
SistemaControlo totalEsta pasta e ficheiros
IWAM _<Machinename></Machinename>Ler, executarEsta pasta e ficheiros
RedeControlo totalEsta pasta e ficheiros
ServiçoEsta pasta e ficheiros
UtilizadoresLer, executarEsta pasta e ficheiros
Inetpub\wwwroot (ou directórios de conteúdo)AdministradoresControlo totalEsta pasta e ficheiros
SistemaControlo totalEsta pasta e ficheiros
IWAM _<MachineName></MachineName>Ler, executarEsta pasta e ficheiros
ServiçoLer, executarEsta pasta e ficheiros
RedeLer, executarEsta pasta e ficheiros
Opcional * *:UtilizadoresLer, executarEsta pasta e ficheiros

Nota Se estiver a utilizar as extensões de servidor do FrontPage, os utilizadores autenticados ou ao grupo utilizadores tem de ter a permissão de NTFS de alteração para criar, mudar o nome, para escrever ou para fornecer a funcionalidade que um programador poderá ter de o ter do FrontPage-tipo de cliente, como Visual InterDev 6.0 ou FrontPage 2002.

Conceder permissões no registo

  1. Clique em Iniciar, clique em Executar, tipo Regedt32e, em seguida, clique em OK. Donot utilizar o Editor de registo porque este não permitem-lhe alterar permissões inWindows 2000.
  2. No Editor de registo, localize e seleccioneHKEY_LOCAL_MACHINE.
  3. Expanda o sistema, expandaCurrentControlSete, em seguida, expanda osServiços.
  4. Seleccionar a chave IISADMIN , clique emsegurança (ou prima ALT + S) e, em seguida, seleccioneas permissões (ou prima P).
  5. Clique para desmarcar a caixa de verificação Permitir principal de permissionsfrom herdáveis se propaguem para este objecto , clique emCopiare, em seguida, remova todos os utilizadores , excepto:
    • Administradores (permitir a leitura e de controlo total)
    • Sistema (permitir a leitura e de controlo total)
  6. Clique em OK.
  7. Repita os passos para a chave MSFTPSVC.
  8. Seleccione a chave de W3SVC , clique emsegurançae, em seguida, clique em permissões.
  9. Clique para desmarcar a caixa de verificação Permitir principal de permissionsfrom herdáveis se propaguem para este objecto e, em seguida, remova allentries, excepto:
    • Administradores (permitir a leitura e de controlo total)
    • Sistema (permitir a leitura e de controlo total)
    • Rede (leitura)
    • Serviço (leitura)
    • IWAM _<MachineName> (leitura)</MachineName>
  10. Clique em OK.

Registo

A tabela seguinte lista as permissões que serão aplicadas quando seguir os passos na secção "Conceder permissões no registo". Esta tabela é apenas para referência.

Nota O acrónimo significa HKLM para HKEY_LOCAL_MACHINE.
Reduzir esta tabelaExpandir esta tabela
LocalizaçãoUsers\GroupsPermissões
HKLM\System\CurrentControlSet\Services\IISAdminAdministradoresControlo total
SistemaControlo total
HKLM\System\CurrentControlSet\Services\MsFtpSvcAdministradoresControlo total
SistemaControlo total
HKLM\System\CurrentControlSet\Services\w3svcAdministradoresControlo total
SistemaControlo total
IWAM _<MachineName></MachineName>Leitura

Concessão de direitos na política de segurança Local

  1. Clique em Iniciar, clique emDefiniçõese, em seguida, clique em Painel de controlo.
  2. Faça duplo clique em Ferramentas administrativas, faça duplo clique em andthen Política de segurança Local.
  3. Na caixa de diálogo Definições de segurança Local , expanda Políticas locaise, em seguida, clique em RightsAssignment de utilizador.
  4. Modificar a política adequada:
    1. Faça duplo clique sobre a política.
    2. Seleccione e, em seguida, clique em Remover para qualquer utilizador que seja não listados na tabela.
    3. Adicione qualquer utilizador que não esteja listado. Para tal, clique em Adicionare, em seguida, seleccione o utilizador na caixa de diálogo Seleccionar utilizadores ou grupos .
Tenha em atenção que uma vez que uma política de controlador de domínio substitui a política local, tem de se certificar que a Definição de política efectiva corresponde à Definição de Política Local.

Políticas

A tabela seguinte lista as permissões que serão aplicadas quando seguir os passos na secção "Concessão de direitos na política de segurança Local".
Reduzir esta tabelaExpandir esta tabela
PolíticaUtilizadores
Iniciar sessão localmenteAdministradores
IUSR _<MachineName> (anónimos)</MachineName>
Utilizadores (autenticação necessária)
Aceder a este computador da redeAdministradores
ASPNet (.NET Framework)
IUSR _<MachineName> (anónimos)</MachineName>
IWAM _<MachineName></MachineName>
Utilizadores
Inicie sessão como tarefa BatchASPNet
Rede
IUSR _<MachineName></MachineName>
IWAM _<MachineName></MachineName>
Serviço
Início de sessão como um serviçoASPNet
Rede
Ignorar verificação transversalAdministradores
IUSR _<MachineName> (anónimos)</MachineName>
Utilizadores (básico, integrado, resumo)
IWAM _<MachineName></MachineName>

Referências

Para mais informações sobre como restaurar permissões de NTFS predefinidas para o Windows 2000, clique nos números de artigo seguinte para visualizar os artigos na Microsoft Knowledge Base:
266118 Como restaurar as permissões de NTFS predefinidas para o Windows 2000
260985 Permissões de NTFS mínimas necessárias para utilizarem CDONTS
324068 Como definir permissões para objectos específicos do IIS
815153 Como configurar permissões de ficheiros NTFS para a segurança de aplicações do ASP.NET

Para mais informações sobre as permissões necessárias para o IIS 6.0, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:
812614 Permissões e direitos de utilizador para o IIS 6.0 predefinidos

Para obter mais informações

Funções de servidor ou aplicações que não sejam tratadas

Este artigo não aborda qualquer um dos requisitos de segurança específica dos seguintes papeis de servidor ou aplicações:
  • Controlador de domínio do Windows 2000
  • Microsoft Exchange 5.5 ou o Microsoft Exchange 2000 ? Outlook Web Access
  • Microsoft Small Business Server 2000
  • Ou o Microsoft SharePoint Portal Team Services
  • Microsoft Commerce Server 2000 ou Microsoft Commerce Server2002
  • Microsoft BizTalk Server 2000 ou o Microsoft BizTalk Server2002
  • Microsoft Content Management Server 2000 ou MicrosoftContent Management Server 2002
  • Microsoft Application Center 2000
  • As aplicações de outros fabricantes que dependem de permissões adicionais

Sobre este artigo

Artigo: 271071
Última revisão: 25 de abril de 2014
A informação contida neste artigo aplica-se a:: Serviços de informação Internet 5.0 da Microsoft, Serviços de informação Internet 5.1 da Microsoft, Microsoft Internet Information Services 6.0
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 271071
Gostaria de comentar este artigo?
 

Get more support from smallbusiness.support.microsoft.com

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.