Este artigo passo a passo descreve as permissões mínimas necessárias para uma dedicada (IIS) 5.0, IIS 5.1 ou servidor Web do IIS 6.0.
aviso Este artigo só é válido para servidores da Web dedicados que utilizar a funcionalidade básica do IIS, tal como servir conteúdo HTML estático conteúdo ou simples páginas ASP (Active Server). Os requisitos de permissões que são descritos neste artigo são específicos apenas como as permissões básicas para um servidor Web dedicado com o IIS 5. x ou 6.0 Este artigo não considera outros Microsoft e produtos de outros fabricantes que poderão requerer permissões diferentes. Recomendamos que reveja os artigos que são específicos para as funções do servidor Web e efectuar testes antes de efectuar alterações de permissões no servidor Web de produção. Para obter hiperligações para artigos relacionados para outros produtos da Microsoft, consulte a secção "Referências".
Se aplicar estas permissões a um servidor IIS que serve de outras funções, tais como o Microsoft Exchange Server 5.5, Microsoft Exchange Server 2000 ou aplicações de outros fabricantes que dependem de permissões adicionais, estes produtos poderão não funcionar conforme esperado.
Para obter mais informações sobre as permissões necessárias para o IIS 6.0, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
Permissões e direitos de utilizador para o IIS 6.0 predefinidos
Testar para este documento incluídos os seguintes testes funcionais:
Documentos de hipertexto (HTML)
ASP (Active Server Pages)
Extensões de servidor do FrontPage, tais como ligar, editar e guardar, se estiver activado FPSE enquanto utiliza a ferramenta de bloqueio
Proteger ligações de camadas (SSL) do socket
Este documento efectua não endereço qualquer um dos requisitos de segurança específica de seguintes funções de servidor de aplicações:
Controlador de domínio do Windows 2000
Microsoft Exchange 5.5 ou o Outlook Web Access do Microsoft Exchange 2000
Microsoft Small Business Server 2000
Microsoft SharePoint Portal ou Team Services
Microsoft Commerce Server 2000 ou Microsoft Commerce Server 2002
Microsoft BizTalk Server 2000 ou o Microsoft BizTalk Server 2002
Microsoft Content Management Server 2000 ou o Microsoft Content Management Server 2002
Microsoft Application Center 2000
Reveja a documentação servidor e a aplicação para requisitos de segurança específica. São fornecidas hiperligações para artigos da base de dados de conhecimento da relacionadas na secção "Referências".
Antes de aplicar as permissões neste artigo, recomendamos que execute a versão mais recente da ferramenta IIS Lockdown. Para obter informações adicionais sobre esta ferramenta, visite o seguinte Web site da Microsoft:
Os seguintes programas e serviços foram instalados como parte do conjunto de teste que foi utilizado para testar a segurança do servidor após a conceder as permissões descritas neste artigo:
Serviços de indexação
Os serviços de terminal
Depurador de scripts
IIS
Ficheiros comuns
Documentação
Extensões de servidor do FrontPage 2000
Gestor de serviços Internet (HTML)
WWW
FTP
Conceder permissão e de propriedade para o administrador e o sistema
Para atribuir permissões para o efeito ao sistema:
Abra o Explorador do Windows. Para tal, clique em Iniciar , clique em programas e, em seguida, clique em Explorador do Windows .
Expanda o meu computador .
Clique na unidade de sistema (isto é normalmente a unidade C) com o botão direito do rato e, em seguida, clique em Propriedades .
Clique no separador segurança e, em seguida, clique em Avançadas para abrir a caixa de diálogo Definições de controlo de acesso para o disco local .
Clique no separador proprietário , clique para seleccionar a caixa de verificação Substituir proprietário em sub contentores e objectos e, em seguida, clique em Aplicar .
Se receber a seguinte mensagem de erro, clique em continuar :
Ocorreu um erro aplicar informações de segurança para %systemdrive%\Pagefile.sys
Se receber a seguinte mensagem de erro, clique em Sim :
Não tem permissão para ler o conteúdo do directório %systemdrive%\System Volume Information - deseja substituir a permissão de directório - todas as permissões serão substituídas conceder controlo total
Clique em OK para fechar a caixa de diálogo.
Clique em Adicionar .
Adicione os seguintes utilizadores e, em seguida, conceder-lhes a permissão de NTFS controlo total:
Administrador
Sistema
Proprietário criador
Depois de adicionar estas permissões de NTFS, clique em Avançadas , clique para seleccionar a caixa de verificação Repor permissão em todos os objectos subordinados e permitir a propagação de permissões herdáveis e, em seguida, clique em Aplicar .
Se receber a seguinte mensagem de erro, clique em continuar :
Ocorreu um erro aplicar informações de segurança para %systemdrive%\Pagefile.sys
Depois de ter repor as permissões de NTFS, clique em OK .
Clique no grupo Todos (Everyone) , clique em Remover e, em seguida, clique em OK .
Abra as propriedades da pasta de ficheiros c:\Programas\Ficheiros %systemdrive%\Programas\Windows e, em seguida, clique no separador segurança . Adicione a conta utilizada para acesso anónimo. Por predefinição, esta é IUSR_ <machinename> conta. Em seguida, adicione o grupo utilizadores. Certifique-se que apenas os seguintes estão seleccionados:
Ler & executar
Listar conteúdo das pastas
Ler
Abra as propriedades para o directório raiz que contém conteúdo da Web. Por predefinição, esta é a pasta %systemdrive%\Inetpub\Wwwroot. Clique no separador segurança , adicionar IUSR_ <machinename> conta e utilizadores do grupo e, em seguida, certifique-se que apenas o seguinte é seleccionado:
Ler & executar
Listar conteúdo das pastas
Ler
Se pretender conceder permissão de escrita NTFS para Inetpub\FTProot ou o caminho do directório para o local de FTP ou sites, repita o passo 15.
Nota Não recomendamos que permissões NTFS de escrita para a conta anónima em quaisquer directórios, incluindo directórios utilizados pelo utiliza a serviço FTP. Isto pode causar dados desnecessários ser enviados para o servidor Web.
Desactivar herança nos directórios de sistema
Na pasta % SystemRoot%\System32, seleccione todas as pastas excepto o seguinte:
Inetsrv
Certsrv (se presente)
COM
Clique com o botão direito do rato as restantes pastas, clique em Propriedades e, em seguida, clique na segurança separador.
Clique para desmarcar a caixa de verificação Allow inheritable permissions , clique em Copiar e, em seguida, clique em OK .
Na pasta % systemroot %, seleccione todas as pastas excepto o seguinte:
Assemblagem (se presente)
Ficheiros de programa transferidos
Ajuda
Microsoft.NET (se presente)
Páginas Web offline
System32
Tarefas
Temp
Web
Clique com o botão direito do rato as restantes pastas, clique em Propriedades e, em seguida, clique na segurança separador.
Clique para desmarcar a caixa de verificação Allow inheritable permissions , clique em Copiar e, em seguida, clique em OK .
Aplique as permissões para o seguinte:
Abra as propriedades para a pasta % systemroot %, clique no separador segurança , adicionar a IUSR_<machinename> e IWAM_<machinename> contas e utilizadores do grupo e, em seguida, certifique-se que apenas o seguinte é seleccionado:
Ler & executar
Listar conteúdo das pastas
Ler
Abra as propriedades para a pasta %systemroot%\Temp, seleccione o IUSR_<machinename> conta (esta conta já existe uma vez que herda a pasta Winnt) e, em seguida, clique para seleccionar a caixa de verificação Modificar . Repita este passo para o IWAM_<machinename> conta e o grupo de utilizadores .
Se clientes de extensões do servidor de FrontPage como o FrontPage ou Microsoft Visual InterDev forem utilizados, abra as propriedades para a pasta %systemdrive%\Inetpub\Wwwroot, seleccione o grupo Utilizadores autenticados , seleccione o seguinte e, em seguida, clique em OK :
A tabela seguinte lista as permissões que serão aplicadas quando seguir os passos na secção 'Desactivar herança nos directórios de sistema'. Esta tabela é apenas para referência.
Para aplicar as permissões na seguinte tabela:
Abra o Explorador do Windows. Para o fazer, clique em Iniciar , clique em programas , clique em Acessórios e, em seguida, clique em Explorador do Windows .
Expanda o meu computador .
Clique com o botão direito do rato em % systemroot % e, em seguida, clique em Propriedades .
Clique no separador segurança e, em seguida, clique em Avançadas .
Faça duplo clique em permissões e, em seguida, seleccione na definição adequada na lista Aplicar em .
Nota No ? aplicar para ? coluna, o termo que predefinido refere-se a ? esta pasta, subpastas e ficheiros. ?
Reduzir esta tabelaExpandir esta tabela
directório
Users\Groups
permissões
Aplicar A
%systemroot%\ (c:\winnt)
Administrador
Controlo total
Predefinição
Sistema
Controlo total
Predefinição
Utilizadores
Ler, executar
Predefinição
%systemroot%\System32
Administradores
Controlo total
Predefinição
Sistema
Controlo total
Predefinição
Utilizadores
Ler, executar
Predefinição
% systemroot%\system32\inetsrv
Administradores
Controlo total
Predefinição
Sistema
Controlo total
Predefinição
Utilizadores
Ler, executar
Predefinição
Inetpub\Adminscripts
Administradores
Controlo total
Predefinição
Inetpub\urlscan (se presente)
Administradores
Controlo total
Predefinição
Sistema
Controlo total
Predefinição
%systemroot%\System32\inetsrv\MetaBack
Administradores
Controlo total
Predefinição
Sistema
Controlo total
Predefinição
%systemroot%\Help\IisHelp\Common
Administradores
Controlo total
Esta pasta e ficheiros
Sistema
Controlo total
Esta pasta e ficheiros
IWAM_ <machinename>
Ler, executar
Esta pasta e ficheiros
Rede
Controlo total
Esta pasta e ficheiros
Serviço
Esta pasta e ficheiros
Utilizadores
Ler, executar
Esta pasta e ficheiros
Inetpub\wwwroot (ou directórios conteúdos)
Administradores
Controlo total
Esta pasta e ficheiros
Sistema
Controlo total
Esta pasta e ficheiros
IWAM_ <machinename>
Ler, executar
Esta pasta e ficheiros
Serviço
Ler, executar
Esta pasta e ficheiros
Rede
Ler, executar
Esta pasta e ficheiros
Opcional **:
Utilizadores
Ler, executar
Esta pasta e ficheiros
** Se estiver a utilizar as extensões de servidor do FrontPage, utilizadores autenticados ou ao grupo utilizadores tem de ter a permissão Alterar NTFS para criar, mudar o nome, para escrever ou para fornecer a funcionalidade que um programador poderão ter de ter do FrontPage-tipo de cliente, como o Visual InterDev 6.0 ou FrontPage 2002.
Conceder permissões no registo
Clique em Iniciar , clique em Executar , escreva regedt32 e, em seguida, clique em OK . Não utilize o Editor de registo porque ele não lhe permite alterar as permissões no Windows 2000.
No Editor de registo, localize e seleccione HKEY_LOCAL_MACHINE .
Expanda sistema , expanda CurrentControlSet e, em seguida, expanda Serviços .
Seleccione a chave IISADMIN , clique em segurança (ou prima ALT+S) e, em seguida, seleccione permissões (ou prima P).
Clique para desmarcar a caixa de verificação Allow inheritable permissions from parent to propagate to this object , clique em Copiar e, em seguida, remova todos os utilizadores excepto :
Administradores (permitir ler e controlo total)
Sistema (permitir ler e controlo total)
Clique em OK .
Repita os passos para MSFTPSVC chave.
Seleccionar chave W3SVC , clique em segurança e, em seguida, clique em permissões .
Clique para desmarcar a caixa de verificação Allow inheritable permissions from parent to propagate to this object e remova todos os movimentos , excepto :
Administradores (permitir ler e controlo total)
Sistema (permitir ler e controlo total)
Rede (leitura)
Serviço (leitura)
IWAM_ <machinename> (leitura)
Clique em OK .
Registo
A tabela seguinte lista as permissões que serão aplicadas quando seguir os passos na secção "Conceder permissões do registo do". Esta tabela é apenas para referência.
Nota O acrónimo significa HKLM para HKEY_LOCAL_MACHINE.
Reduzir esta tabelaExpandir esta tabela
localização
Users\Groups
permissões
HKLM\System\CurrentControlSet\Services\IISAdmin
Administradores
Controlo total
Sistema
Controlo total
HKLM\System\CurrentControlSet\Services\MsFtpSvc
Administradores
Controlo total
Sistema
Controlo total
HKLM\System\CurrentControlSet\Services\w3svc
Administradores
Controlo total
Sistema
Controlo total
IWAM_ <machinename>
Ler
Conceder direitos a política de segurança local
Clique em Iniciar , clique em definições e, em seguida, clique em Painel de controlo .
Faça duplo clique Ferramentas administrativas e, em seguida, faça duplo clique em Política de segurança local .
Na caixa de diálogo Definições de segurança local , expanda Políticas locais (Local Policies) e, em seguida, clique em Atribuição de direitos de utilizador .
Modificar a política adequada:
Faça duplo clique na política.
Seleccione e, em seguida, clique em Remover para qualquer utilizador que não listados na tabela.
Adicione qualquer utilizador que não esteja listado. Para o fazer, clique em Adicionar e, em seguida, seleccione o utilizador na caixa de diálogo Seleccionar utilizadores ou grupos .
Tenha em atenção que porque uma política de controlador de domínio substitui a política local, deve certificar-se que Definição de política efectiva corresponde à Definição de política local .
Políticas
A tabela seguinte lista as permissões que serão aplicadas quando seguir os passos na secção "Conceder direitos de política de segurança local".
Reduzir esta tabelaExpandir esta tabela
política
utilizadores
Iniciar sessão localmente
Administradores
IUSR_ <machinename> (Anonymous)
Utilizadores (autenticação necessária)
Aceder a este computador a partir da rede
Administradores
ASPNet (.NET Framework)
IUSR_ <machinename> (Anonymous)
IWAM_ <machinename>
Utilizadores
Inicie sessão como tarefa batch
ASPNet
Rede
IUSR_ <machinename>
IWAM_ <machinename>
Serviço
Inicie sessão como um serviço
ASPNet
Rede
Ignorar verificação transversal
Administradores
IUSR_ <machinename> (Anonymous)
Utilizadores (Basic, integrado, Resumo)
IWAM_ <machinename>
Serviços necessários
Para obter mais informações sobre os serviços que tem de ter para o IIS 4.0, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
Para obter mais informações sobre como restaurar permissões predefinidas de NTFS para o Windows 2000, clique números de artigo que se seguem para visualizar os artigos na base de dados de conhecimento da Microsoft:
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 271071
Obrigado! Os seus comentários são utilizados para ajudar-nos a melhorar o conteúdo do nosso suporte. Para obter mais opções de assistência, visite a Home Page de Ajuda e Suporte.
Voltar ao topo
