Como definir as permissões NTFS necessárias e os direitos de usuário para um servidor Web IIS 5.0

Este artigo descreve detalhadamente as permissões mínimas necessárias para um servidor Web IIS (Internet Information Services) 5.0 dedicado.

Aviso Este artigo é válido apenas para os servidores Web dedicados que usam funcionalidade IIS básica, como a apresentação de conteúdo estático HTML ou conteúdo ASP (Active Server Pages) simples. Os requisitos de permissão descritos neste artigo são específicos SOMENTE para as permissões básicas para um servidor da Web dedicado, executando o Microsoft Windows 2000 e o IIS 5.0. Este artigo não considera outros produtos da Microsoft e produtos de terceiros que possam exigir permissões diferentes. É aconselhável fazer a revisão dos artigos específicos para as funções do seu servidor Web e realizar testes antes de fazer as alterações nas permissões em um servidor Web de produção. Para obter links para artigos relacionados de outros produtos da Microsoft, consulte a seção "Referências".

Se você aplicar estas permissões em um servidor IIS que serve outras funções, como o Microsoft Exchange Server 5.5, o Microsoft Exchange Server 2000 ou aplicativos de terceiros que dependem de permissões adicionais, esses produtos podem não operar como o esperado.

Observação Este artigo se aplica somente ao IIS 5.0. Este artigo não se aplica a nenhuma outra versão do IIS.

Para obter mais informações sobre as permissões necessárias para o IIS 4.0, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês): Para obter mais informações sobre as permissões necessárias para o IIS 6.0, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês): O teste para este documento está incluído nos seguintes testes funcionais:

• Documentos HTML
• ASP (Active Server Pages)
• Extensões de servidor do FrontPage, como conexão, edição e gravação, se o FPSE estiver ativado ao usar a ferramenta Lockdown
• Conexões SSL (Secure Socket Layers)

Este documento não aborda nenhuma das necessidades específicas de segurança dos seguintes aplicativos ou das funções de servidor:

• Controlador de domínio do Windows 2000
• Microsoft Exchange 5.5 ou Microsoft Exchange 2000 Outlook Web Access
• Microsoft Small Business Server 2000
• Microsoft SharePoint Portal ou Team Services
• Microsoft Commerce Server 2000 ou Microsoft Commerce Server 2002
• Microsoft BizTalk Server 2000 ou Microsoft BizTalk Server 2002
• Microsoft Content Management Server 2000 ou Microsoft Content Management Server 2002
• Microsoft Application Center 2000

Revise a documentação referente aos aplicativos e servidores para requisitos específicos de segurança. Os links para os artigos da Base de Dados de Conhecimento Microsoft foram fornecidos na seção "Referências".

Antes de aplicar as permissões deste artigo, recomendamos a execução da versão mais recente da ferramenta IIS Lockdown. Para obter informações adicionais sobre esta ferramenta, visite o seguinte site da Microsoft (em inglês): Os seguintes programas e serviços foram instalados como parte do conjunto de testes utilizado para testar a segurança do servidor depois de aplicar as permissões mencionadas neste artigo:

• Serviços de índice
• Serviços de terminal
• Depurador de script
• IIS
  • Arquivos comuns
  • Documentação
  • FrontPage Server Extensions 2000
  • Gerenciador de serviços de Internet (HTML)
  • WWW
  • FTP

Atribuir propriedade e permissão para o administrador e para o sistema

Para atribuir permissões ao sistema:

1. Abra o Windows Explorer. Para fazer isso, clique em Iniciar, em Programas e em Windows Explorer.
2. Abra Meu Computador.
3. Clique com o botão direito na unidade de sistema (geralmente, unidade C) e clique em Propriedades.
4. Clique na guia Segurança e em Avançado para abrir a caixa de diálogo Acessar configurações de controle para disco local.
5. Clique na guia Proprietário, marque a caixa de seleção Substituir o proprietário em sub-recipientes e objetos e clique em Aplicar.
   
   Se a seguinte mensagem de erro for exibida, clique em Continuar:
   Erro ao aplicar as informações de segurança para %systemdrive%\Pagefile.sys
6. Se a seguinte mensagem de erro for exibida, clique em Sim:
   Você não tem permissão para ler o conteúdo da pasta %systemdrive%\System Volume Information - Deseja substituir a permissão da pasta - Todas as permissões serão substituídas concedendo Controle Total
7. Clique em OK para fechar a caixa de diálogo.
8. Clique em Adicionar.
9. Adicione os seguintes usuários e conceda-lhes a permissão NTFS de Controle total:
   • Administrador
   • Sistema
   • Proprietário criador
10. Após adicionar estas permissões NTFS, clique em Avançado, marque a caixa de seleção Redefinir permissões em todos os objetos filho e permitir a propagação de permissões herdadas e clique em Aplicar.
11. Se a seguinte mensagem de erro for exibida, clique em Continuar:
    Erro ao aplicar as informações de segurança para %systemdrive%\Pagefile.sys
12. Após redefinir as permissões NTFS, clique em OK.
13. Clique no grupo Todos, em Remover e em OK.
14. Abra as propriedades da pasta %systemdrive%\Arquivos de programas\Common Files e clique na guia Segurança. Adicione a conta usada para acesso anônimo. Por padrão, esta é a conta IUSR_<nome_do_computador>. Em seguida, adicione o grupo Usuários. Verifique se apenas o seguinte está selecionado:
    • Ler & Executar
    • Listar conteúdo da pasta
    • Leitura
15. Abra as propriedades para o diretório raiz que mantém o conteúdo da Web. Por padrão, esta é a pasta %systemdrive%\Inetpub\Wwwroot. Clique na guia Segurança, adicione a conta IUSR_<Nome_do_computador> e o grupo Usuários e verifique se apenas o seguinte está selecionado:
    • Ler & Executar
    • Listar conteúdo da pasta
    • Leitura
16. Se você quiser conceder permissão NTFS Write para Inetpub\FTProot ou o caminho de diretório do(s) site(s) FTP, repita a etapa 15.
    
    Observação Não recomendamos a concessão de permissões NTFS Write para contas anônimas em qualquer diretório, incluindo os usados pelos serviços FTP. Isto pode causar o carregamento de dados desnecessários no servidor Web.

Desabilitar a herança em diretórios de sistema

1. Na pasta %systemroot%\System32, selecione todas as pastas, exceto as seguintes:
   • Inetsrv
   • Certsrv (se houver)
   • COM
2. Clique com o botão direito nas demais pastas, clique em Propriedades e clique na guia Segurança.
3. Desmarque a caixa de seleção Permitir permissões herdadas, clique em Copiar e em OK.
4. Na pasta %systemroot%, selecione todas as pastas, exceto as seguintes:
   • Assembly (se houver)
   • Downloaded Program Files
   • Ajuda
   • Microsoft.NET (se houver)
   • Offline Web Pages
   • System32
   • Tarefas
   • Temp
   • Web
5. Clique com o botão direito nas demais pastas, clique em Propriedades e clique na guia Segurança.
6. Desmarque a caixa de seleção Permitir permissões herdadas, clique em Copiar e em OK.
7. Aplique as permissões ao seguinte:
   1. Abra as propriedades da pasta %systemroot%, clique na guia Segurança, adicione as contas IUSR_<Nome_do_computador> e IWAM_<nome_do_computador> e o grupo Usuários e verifique se apenas o seguinte está selecionado:
      • Ler & Executar
      • Listar conteúdo da pasta
      • Leitura
   2. Abra as propriedades da pasta %systemroot%\Temp, selecione a conta IUSR_<nome_do_computador> (essa conta já existe porque ela é herdada da pasta Winnt) e marque a caixa de seleção Modificar. Repita essa etapa para a conta IWAM_<nome_do_computador> e o grupo Usuários.
   3. Se os Clientes das extensões de servidor do FrontPage, como FrontPage ou Microsoft Visual InterDev, estiverem sendo usados, abra as propriedades da pasta %systemdrive%\Inetpub\Wwwroot, escolha o grupo Usuários autenticados, selecione o seguinte e clique em OK:
      • Modificar
      • Ler & Executar
      • Listar conteúdo da pasta
      • Leitura
      • Gravar

Permissões NTFS

A tabela a seguir mostra as permissões que serão aplicadas ao executar as etapas na seção "Desativar herança nos diretórios de sistema". Esta tabela serve apenas como referência.

Para aplicar as permissões na tabela a seguir:

1. Abra o Windows Explorer. Para fazer isso, clique em Iniciar, em Programas, em Acessórios e em Windows Explorer.
2. Abra Meu Computador.
3. Clique com o botão direito do mouse em %systemroot% e clique em Propriedades.
4. Clique na guia Segurança e em Avançado.
5. Clique duas vezes em Permissões e selecione a configuração apropriada da lista Aplicar.

Observação Na coluna ?Aplicar em?, o termo Padrão se refere a ?Esta pasta, subpastas e arquivos?.
** Se você estiver usando as extensões de servidor do FrontPage, o grupo Usuários autenticados ou Usuários deverá ter a permissão Alterar NTFS para criar, renomear, gravar ou fornecer o recurso de que um desenvolvedor pode precisar de um tipo FrontPage do cliente, como o Visual InterDev 6.0 ou o FrontPage 2002.

Conceder permissões no Registro

1. Clique em Iniciar, em Executar, digite regedt32 e clique em OK. Não use o Editor do Registro porque ele não permite alterar permissões no Windows 2000.
2. No Editor do Registro, localize e selecione HKEY_LOCAL_MACHINE.
3. Expanda System, CurrentControlSet e Services.
4. Selecione a chave IISADMIN, clique em Segurança (ou pressione ALT+S) e selecione Permissões (ou pressione P).
5. Desmarque a caixa de seleção Permitir que as permissões herdáveis do pai sejam propagadas a este objeto, clique em Copiar e remova todos os usuários exceto:
   • Administradores (Permitir leitura e controle total)
   • Sistema (Permitir leitura e controle total)
6. Clique em OK.
7. Execute novamente as etapas para a chave MSFTPSVC.
8. Selecione a chave W3SVC, clique em Segurança e em Permissões.
9. Desmarque a caixa de seleção Permitir que as permissões herdáveis do pai sejam propagadas a este objeto e remova todas as entradas exceto:
   • Administradores (Permitir leitura e controle total)
   • Sistema (Permitir leitura e controle total)
   • Network (Leitura)
   • Service (Leitura)
   • IWAM_<Nome_do_computador> (Leitura)
10. Clique em OK.

Registro

A tabela a seguir mostra as permissões que serão aplicadas ao executar as etapas na seção "Conceder permissões no Registro". Esta tabela serve apenas como referência.

Observação O acrônimo HKLM significa HKEY_LOCAL_MACHINE.

Conceder direitos na Diretiva de segurança local

1. Clique em Iniciar, em Configurações e em Painel de controle.
2. Clique duas vezes em Ferramentas administrativas e em Diretiva de segurança local.
3. Na caixa de diálogo Configurações de segurança local, expanda Diretivas locais e clique em Atribuição de direitos de usuário.
4. Modifique a diretiva apropriada:
   1. Clique duas vezes na diretiva.
   2. Selecione e clique em Remover para qualquer usuário que não estiver aparecendo na tabela.
   3. Adicione qualquer usuário que não estiver aparecendo. Para fazer isto, clique em Adicionar e escolha o usuário na caixa de diálogo Selecionar Usuários ou Grupos.

Observe que, pelo fato de uma diretiva de controlador de domínio substituir a diretiva local, você terá de verificar se Configuração de diretiva efetiva corresponde com Configuração de diretiva local.

Diretivas

A seguinte tabela lista as permissões que serão aplicadas ao executar as etapas na seção "Conceder direitos na diretiva de segurança local".

Serviços necessários

Para obter mais informações sobre os serviços necessários para o IIS 4.0, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):

Para obter mais informações sobre como restaurar as permissões NTFS padrão para o Windows 2000, clique nos números abaixo para ler os artigos na Base de Dados de Conhecimento Microsoft (alguns artigos podem estar em inglês):