Como definir direitos de usuário e permissões NTFS mínimas para IIS 5. x ou IIS 6.0

Traduções deste artigo Traduções deste artigo
Este artigo descreve como definir as permissões mínimas necessárias para um dedicado Internet Information Services (IIS) 5.0, IIS 5.1 ou servidor Web IIS 6.0.
A limitação para este artigo
Aviso Este artigo só é válido para servidores Web dedicados que usam funcionalidade IIS básica, como a apresentação de conteúdo HTML estático simples ou conteúdo Active Server Pages (ASP). Os requisitos de permissão descritos nesse artigo são específicos apenas para as permissões básicas para um servidor Web dedicado que esteja executando o IIS 5.x ou IIS 6.0. Este artigo não considera outros produtos da Microsoft e outros fornecedores que possam exigir permissões diferentes. Você pode examinar a documentação de aplicativos e servidores para requisitos específicos de segurança. Recomendamos que você revisar os artigos relacionados que são específicos para as funções do seu servidor Web.
Etapas de testes antes das configurações de permissões em um ambiente de produção
Antes de fazer alterações de permissão em um servidor Web de produção, recomendamos que você execute as seguintes etapas:
  1. Executar a versão mais recente da ferramenta IIS Lockdown. Os seguintes programas e serviços foram instalados como parte da suíte de testes que foi usada para testar a segurança do servidor depois de aplicar as permissões mencionadas neste artigo:
    • Serviços de indexação
    • Serviços de terminal
    • Depurador de scripts
    • IIS
      • Arquivos comuns
      • Documentação
      • Extensões de servidor do FrontPage 2000
      • Gerenciador de serviços de Internet (HTML)
      • WWW
      • FTP
  2. Execute os seguintes testes funcionais:
    • Documentos de hipertexto (HTML)
    • Active Server Pages (ASP)
    • Extensões de servidor do FrontPage, como conexão, edição, andsaving, se o FPSE estiver ativado ao usar a ferramenta Lockdown
    • Soquete segura (SSL) conexões-camadas

Neste artigo

Show all imageMostrar tudoHide all imageOcultar tudo

Oferecer propriedade e permissão para o administrador e para o sistema

Para fazer isso, execute as seguintes etapas:
  1. Abra o Windows Explorer. Para fazer isso, clique emIniciar, clique em programase, em seguida, clique emWindows Explorer.
  2. Expanda Meu computador.
  3. Clique com botão direito a unidade do sistema (geralmente é a unidade C) e, em seguida, clique em Propriedades.
  4. Clique na guia segurança e, em seguida, clique emAvançado para abrir a caixa de diálogo Access Control Settings for LocalDisk .
  5. Clique na guia proprietário , clique para selecionar a caixa de seleçãoSubstituir o proprietário em sub-recipientes e objetos e clique em Aplicar.

    Se você receber a seguinte errormessage, clique em continuar:
    Uma hasoccurred de erro aplicando segurança informações to%systemdrive%\Pagefile.sys
  6. Se você receber a seguinte mensagem de erro, clique emSim:
    Você não tem permissão readthe o conteúdo da pasta %systemdrive%\System Volume Information - deseja wantto substituir a permissão de diretório - todas as permissões serão substituída grantingyou controle total
  7. Clique em OK para fechar a caixa de diálogo.
  8. Clique em Adicionar.
  9. Adicione os seguintes usuários e conceda-lhes a permissão NTFS de FullControl:
    • Administrador
    • Sistema
    • Proprietário criador
  10. Após adicionar essas permissões NTFS, clique emAvançado, clique para selecionar a caixa de seleção Redefinir permissões em objetos do allchild e permitir a propagação de permissões herdadas e, em seguida, clique em Aplicar.
  11. Se você receber a seguinte mensagem de erro, clique emcontinuar:
    Erro ao obter informações de applyingsecurity para %systemdrive%\Pagefile.sys
  12. Depois de redefinir as permissões de NTFS, clique emOK.
  13. Clique no grupo todos , clique emRemovere, em seguida, clique em OK.
  14. Abra as propriedades da pasta de arquivos de %systemdrive%\ProgramFiles\Common e, em seguida, clique na guia segurança .Adicione a conta usada para acesso anônimo. Por padrão, isso é theIUSR_<MachineName> conta. Em seguida, adicione o grupo usuários. Certifique-se de que thatonly o seguinte está selecionado:<b00> </b00> </MachineName>
    • Ler & executar
    • Listar conteúdo de pastas
    • Leitura
  15. Abra as propriedades para o diretório raiz que contém o conteúdo de yourWeb. Por padrão, essa é a pasta %systemdrive%\Inetpub\Wwwroot..Clique na guia segurança , adicione a conta IUSR _<MachineName>conta e os usuários no grupo e, em seguida, certifique-se de que somente o seguinte areselected:<b00> </b00> </MachineName>
    • Ler & executar
    • Listar conteúdo de pastas
    • Leitura
  16. Se você quiser conceder forInetpub\FTProot de permissão NTFS Write ou o caminho do diretório para o site ou sites FTP, repita a step15.

    Observação Não é recomendável que você conceda permissionsto NTFS Write contas anônimas em qualquer diretório, incluindo os usados pelos serviços FTP. Este podeimpactar os dados desnecessários sejam carregados para o servidor Web.

Desativar herança nos diretórios de sistema

Para fazer isso, execute as seguintes etapas:
  1. Na pasta %systemroot%\System32, selecione allfolders, exceto os seguintes:
    • Inetsrv
    • Certsrv (se houver)
    • COM
  2. Clique com botão direito das pastas restantes, clique emPropriedadese, em seguida, clique na guia segurança.
  3. Clique para desmarcar a caixa de seleção Permitir inheritablepermissions , clique em Copiare, em seguida, clique emOK.
  4. Na pasta % systemroot %, selecione todos os procedimentos de exceptthe de pastas:
    • Assembly (se houver)
    • Arquivos de programa baixados
    • Ajuda
    • Microsoft.NET (se houver)
    • Páginas da Web offline
    • System32
    • Tarefas
    • Temp
    • Na Web
  5. Clique com botão direito das pastas restantes, clique emPropriedadese, em seguida, clique na guia segurança.
  6. Clique para desmarcar a caixa de seleção Permitir inheritablepermissions , clique em Copiare, em seguida, clique emOK.
  7. Aplica permissões para o seguinte:
    1. Abra as propriedades para a pasta % systemroot %, clique na guia segurança , adicione o IUSR _<MachineName> </MachineName> e IWAM _<MachineName> </MachineName> contas e usuários do grupo e, em seguida, certifique-se de que apenas o seguinte está selecionado:
      • Ler & executar
      • Listar conteúdo de pastas
      • Leitura
    2. Abra as propriedades da pasta %systemroot%\Temp, selecione a IUSR _<MachineName> </MachineName> conta (essa conta já está presente porque ela é herdada da pasta Winnt) e, em seguida, clique para selecionar a caixa de seleção Modificar . Repita essa etapa para a IWAM _<MachineName> </MachineName> conta e o grupo de usuários .
    3. Se os clientes de extensão de servidor do FrontPage, como FrontPage ou Microsoft Visual InterDev estiverem sendo usados, abra as propriedades da pasta %systemdrive%\Inetpub\Wwwroot, selecione o grupo Usuários autenticados , selecione o seguinte e, em seguida, clique em OK:
      • Modificar
      • Ler & executar
      • Listar conteúdo de pastas
      • Leitura
      • Gravação

Permissões de NTFS

A tabela a seguir lista as permissões que serão aplicadas quando você seguir as etapas na seção "Desativar herança nos diretórios de sistema". Esta tabela é somente para referência.

Para aplicar as permissões na tabela a seguir, execute as seguintes etapas:
  1. Abra o Windows Explorer. Para fazer isso, clique emIniciar, clique em programas, emAcessóriose, em seguida, clique em WindowsExplorer.
  2. Expanda Meu computador.
  3. Clique com botão direito % systemroot %e, em seguida, clique emPropriedades.
  4. Clique na guia segurança e, em seguida, clique emAvançado.
  5. Clique duas vezes em permissãoe, em seguida, selecione apropriado da lista Para aplicar a configuração.
ObservaçãoColuna em "aplicar a", o termo que Default se refere a "Esta pasta, subpastas e arquivos."
Recolher esta tabelaExpandir esta tabela
DiretórioUsers\GroupsPermissõesAplicam-se a
%systemroot%\ (c:\winnt)AdministradorControle totalPadrão
SistemaControle total Padrão
UsuáriosLer, executarPadrão
%systemroot%\System32.AdministradoresControle total Padrão
SistemaControle totalPadrão
UsuáriosLer, executarPadrão
%systemroot%\system32\inetsrv.AdministradoresControle totalPadrão
SistemaControle total Padrão
UsuáriosLer, executarPadrão
Inetpub\adminscripts AdministradoresControle totalPadrão
Inetpub\urlscan (se houver) AdministradoresControle totalPadrão
SistemaControle totalPadrão
%SystemRoot%\System32\Inetsrv\MetaBack.AdministradoresControle totalPadrão
SistemaControle totalPadrão
%systemroot%\Help\IisHelp\CommonAdministradoresControle total Esta pasta e arquivos
SistemaControle totalEsta pasta e arquivos
IWAM _<Machinename></Machinename>Ler, executarEsta pasta e arquivos
RedeControle totalEsta pasta e arquivos
ServiçoEsta pasta e arquivos
UsuáriosLer, executarEsta pasta e arquivos
Inetpub\wwwroot (ou diretórios de conteúdo)AdministradoresControle totalEsta pasta e arquivos
SistemaControle totalEsta pasta e arquivos
IWAM _<MachineName></MachineName>Ler, executarEsta pasta e arquivos
ServiçoLer, executarEsta pasta e arquivos
RedeLer, executarEsta pasta e arquivos
Opcional * *:UsuáriosLer, executarEsta pasta e arquivos

Observação Se você estiver usando as extensões de servidor do FrontPage, usuários autenticados ou o grupo de usuários deve ter a permissão Alterar NTFS para criar, renomear, gravar ou fornecer a funcionalidade que um desenvolvedor pode precisar de um tipo FrontPage do cliente, como o Visual InterDev 6.0 ou o FrontPage 2002.

Conceder permissões no registro

  1. Clique em Iniciar, Executar, tipo Regedt32e, em seguida, clique em OK. Donot usar o Editor do registro porque ele não lhe permite alterar permissões inWindows 2000.
  2. No Editor do registro, localize e selecioneHKEY_LOCAL_MACHINE.
  3. Expanda sistema, expandaCurrentControlSeteServiços.
  4. Selecione a chave IISADMIN , clique emsegurança (ou pressione ALT + S) e selecionepermissões (ou pressione P).
  5. Clique para desmarcar a caixa de seleção Allow inheritable permissionsfrom pai se propaguem para este objeto , clique emCopiare, em seguida, remova todos os usuários, exceto:
    • Administrators (Permitir leitura e controle total)
    • System (Permitir leitura e controle total)
  6. Clique em OK.
  7. Repita as etapas para a chave MSFTPSVC.
  8. Selecione a chave W3SVC , clique emsegurançae, em seguida, clique em permissões.
  9. Clique para desmarcar a caixa de seleção Allow inheritable permissionsfrom pai se propaguem para este objeto e, em seguida, remova allentries, exceto:
    • Administrators (Permitir leitura e controle total)
    • System (Permitir leitura e controle total)
    • Network (leitura)
    • Service (leitura)
    • IWAM _<MachineName> (leitura)</MachineName>
  10. Clique em OK.

Registro

A tabela a seguir lista as permissões que serão aplicadas quando você seguir as etapas na seção "Conceder permissões no registro". Esta tabela é somente para referência.

Observação O acrônimo HKLM significa HKEY_LOCAL_MACHINE.
Recolher esta tabelaExpandir esta tabela
LocalUsers\GroupsPermissões
HKLM\System\CurrentControlSet\Services\IISAdminAdministradoresControle total
SistemaControle total
HKLM\System\CurrentControlSet\Services\MsFtpSvcAdministradoresControle total
SistemaControle total
HKLM\System\CurrentControlSet\Services\w3svcAdministradoresControle total
SistemaControle total
IWAM _<MachineName></MachineName>Leitura

Conceder direitos na diretiva de segurança Local

  1. Clique em Iniciar, clique emconfiguraçõese, em seguida, clique em ControlPanel.
  2. Clique duas vezes em Ferramentas administrativase clique duas vezes em Diretiva de segurança Local.
  3. Na caixa de diálogo Configurações locais de segurança , expanda Diretivas locaise, em seguida, clique em RightsAssignment do usuário.
  4. Modifique a diretiva apropriada:
    1. Clique duas vezes na diretiva.
    2. Selecione e, em seguida, clique em Remover para qualquer usuário que não está listado na tabela.
    3. Adicione qualquer usuário que não está listado. Para fazer isso, clique em Adicionare, em seguida, selecione o usuário na caixa de diálogo Selecionar usuários ou grupos .
Observe que como uma diretiva de controlador de domínio substitui a diretiva local, você deve garantir que a Configuração de diretiva efetiva coincide com a Configuração da diretiva Local.

Diretivas

A tabela a seguir lista as permissões que serão aplicadas quando você seguir as etapas na seção "Conceder direitos na diretiva de segurança Local".
Recolher esta tabelaExpandir esta tabela
DiretivaUsuários
Faça logon localmenteAdministradores
IUSR _<MachineName> (anônimo)</MachineName>
Usuários (autenticação necessária)
Acesso a este computador pela redeAdministradores
ASPNet (.NET Framework)
IUSR _<MachineName> (anônimo)</MachineName>
IWAM _<MachineName></MachineName>
Usuários
Faça logon como um trabalho em lotesASPNet
Rede
IUSR _<MachineName></MachineName>
IWAM _<MachineName></MachineName>
Serviço
Faça logon como um serviçoASPNet
Rede
Ignorar a verificação completaAdministradores
IUSR _<MachineName> (anônimo)</MachineName>
Usuários (Basic, integrado, síntese)
IWAM _<MachineName></MachineName>

Referências

Para obter mais informações sobre como restaurar as permissões NTFS padrão para o Windows 2000, clique nos números abaixo para ler os artigos na Base de dados de Conhecimento Microsoft:
266118 Como restaurar as permissões de NTFS padrão para Windows 2000
260985 Permissões NTFS mínimas necessárias para usar o CDONTS
324068 Como configurar as permissões IIS para objetos específicos
815153 Como configurar permissões de arquivo NTFS para segurança de aplicativos ASP.NET

Para obter mais informações sobre as permissões necessárias para o IIS 6.0, clique no número abaixo para ler o artigo na Base de dados de Conhecimento Microsoft:
812614 Permissões padrão e direitos do usuário para o IIS 6.0

Para obter mais informações

Funções de servidor ou de aplicativos que não são abordados

Este artigo não aborda qualquer uma das necessidades específicas de segurança dos aplicativos ou funções de servidor a seguir:
  • Controlador de domínio do Windows 2000
  • Microsoft Exchange 5.5 ou o Microsoft Exchange 2000 OutlookWeb Access
  • Microsoft Small Business Server 2000
  • Microsoft SharePoint Portal ou Team Services
  • Microsoft Commerce Server 2000 ou Microsoft Commerce Server2002
  • Microsoft BizTalk Server 2000 ou Microsoft BizTalk Server2002
  • Microsoft Content Management Server 2000 ou o MicrosoftContent Management Server 2002
  • Microsoft Application Center 2000
  • Os aplicativos de terceiros que dependem de permissões adicionais

Sobre este artigo

ID do artigo: 271071
Última revisão: sexta-feira, 25 de abril de 2014
A informação contida neste artigo aplica-se a:: Microsoft Internet Information Services 5.0, Microsoft Internet Information Services 5.1, Microsoft Internet Information Services 6.0
Tradução automática
IMPORTANTE: Este artigo foi traduzido pelo software de tradução automática da Microsoft e eventualmente pode ter sido editado pela Microsoft Community através da tecnologia Community Translation Framework (CTF) ou por um tradutor profissional. A Microsoft oferece artigos traduzidos automaticamente por software, por tradutores profissionais e editados pela comunidade para que você tenha acesso a todos os artigos de nossa Base de Conhecimento em diversos idiomas. No entanto, um artigo traduzido pode conter erros de vocabulário, sintaxe e/ou gramática. A Microsoft não é responsável por qualquer inexatidão, erro ou dano causado por qualquer tradução imprecisa do conteúdo ou por seu uso pelos nossos clientes.
Clique aqui para ver a versão em Inglês deste artigo: 271071
Você gostaria de ter comentários sobre este artigo?
 

Get more support from smallbusiness.support.microsoft.com

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.