Как установить минимальные разрешения NTFS и права пользователей для служб IIS 5.x или IIS 6.0

Переводы статьи Переводы статьи
В данной статье описывается, как задать минимальный набор разрешений, которые требуются для выделенного Интернета сведения служб (IIS) 5.0, IIS 5.1 и IIS 6.0 веб-сервер.
Ограничения для этой статьи
Предупреждение В данной статье допустим только для выделенных веб-серверов, использующих базовую функциональность IIS, например содержимого HTML статическим содержимым или с простыми ASP (ASP). Необходимые разрешения, описанные в этой статье относятся только к основные разрешения для выделенных веб-сервера, на котором выполняется IIS 5.X или IIS 6.0. В данной статье не рассматриваются. другие Microsoft и продуктов сторонних производителей могут потребоваться различные разрешения. Можно просмотреть сервер и приложение документации специальные требования по безопасности. Мы рекомендуем вам Просмотрите связанные статьи характерные для роли веб-сервера.
Тестирование действия до настройки разрешений в производственной среде
Перед изменением разрешений на производственном веб-сервере, рекомендуется выполнить следующие действия:
  1. Запуск последнюю версию мастера закрытия служб IIS. Как часть набора тестов, который использовался для проверки безопасности сервера после разрешения, описанные в данной статье были установлены следующие программы и службы:
    • Индекс службы
    • Службы терминалов
    • Отладчик сценариев
    • IIS
      • Общие файлы
      • Документация
      • Серверные расширения FrontPage 2000
      • Диспетчер служб Интернета (HTML)
      • WWW
      • FTP
  2. Выполнение следующих функциональных тестов:
    • Гипертекстовых документов (HTML)
    • ASP (ASP)
    • Серверные расширения FrontPage, подключения, редактирования, andsaving FPSE при включении при использовании средство блокировки
    • Безопасные подключения сокета слои (SSL)

В этой статье

Show all imageПоказать всеHide all imageСкрыть все

Прав собственности и разрешений администратора и системы

Чтобы сделать это, выполните следующие действия.
  1. Откройте проводник. Чтобы сделать это, нажмите кнопкуПуск, выберите пункт программыи выберите пунктПроводник Windows.
  2. Разверните узел Мой компьютер.
  3. Щелкните правой кнопкой мыши системного диска (обычно это диск C) и выберите команду Свойства.
  4. Перейдите на вкладку Безопасность и нажмите кнопкуДополнительно , чтобы открыть диалоговое окно Параметры управления доступом для LocalDisk .
  5. Перейдите на вкладку владелец , установите флажокЗаменить владельца Sub контейнеров и объектов , andthen, нажмите кнопку Применить.

    Если появляется следующее сообщение об ошибке, нажмите кнопку " Продолжить":
    Ошибка hasoccurred, применение to%systemdrive%\Pagefile.sys сведения о безопасности
  6. Если появляется следующее сообщение об ошибке, нажмите кнопкуДа.
    У вас разрешение, readthe содержимое каталога %systemdrive%\System сведения о томе - вы wantto Заменить разрешения каталога - все разрешения будут заменены grantingyou полный доступ
  7. Чтобы закрыть диалоговое окно, нажмите кнопку ОК..
  8. Нажмите кнопку Добавить.
  9. Добавление следующих пользователей и предоставить им разрешения NTFS на полный доступ.
    • Администратор
    • System
    • Создатель-владелец
  10. После добавления этих разрешений NTFS, нажмите кнопкуДополнительно, установите флажок Сбросить разрешения для allchild объектов и включить перенос наследуемых разрешений и нажмите кнопку Применить.
  11. Если появляется следующее сообщение об ошибке, нажмите кнопку "Продолжить":
    Произошла ошибка при applyingsecurity сведения о %systemdrive%\Pagefile.sys
  12. После сброса разрешений NTFS, нажмите кнопкуОК.
  13. Выберите группу все , нажмите кнопкуУдалитьи затем нажмите кнопку ОК.
  14. Откройте свойства папки «%systemdrive%\ProgramFiles\Common», а затем перейдите на вкладку Безопасность .Добавление учетной записи, используемой для анонимного доступа. По умолчанию это theIUSR_<MachineName> учетной записи. Затем добавьте группу «Пользователи». Убедитесь, что thatonly выбраны следующие:<b00> </b00> </MachineName>
    • Чтение & выполнение
    • Список содержимого папки
    • Чтение
  15. Откройте окно Свойства для корневого каталога, который содержит содержимое yourWeb. По умолчанию это папка %systemdrive%\Inetpub\Wwwroot.Перейдите на вкладку Безопасность добавить IUSR_<MachineName>учетных записей и пользователей, группы и убедитесь, что только следующие areselected:<b00> </b00> </MachineName>
    • Чтение & выполнение
    • Список содержимого папки
    • Чтение
  16. Если требуется предоставить forInetpub\FTProot разрешение записи NTFS или пути к папке FTP-узла или веб-узлы, повторите step15.

    Примечание Не рекомендуется предоставлять записи NTFS permissionsto анонимной учетной записи в любых каталогов, включая каталоги, используемые использует службы FTP. Это cancause ненужные данные для отправки на веб-сервере.

Отключить наследование в системных каталогах

Чтобы сделать это, выполните следующие действия.
  1. Выберите в папке %systemroot%\System32 allfolders, за исключением следующих:
    • INETSRV
    • Certsrv (при наличии)
    • COM
  2. Остальные папки правой кнопкой мыши, выберите командуСвойстваи перейдите на вкладку Безопасность.
  3. Нажмите эту кнопку, снимите флажок Разрешить inheritablepermissions , нажмите кнопку Копировать, и нажмите кнопкуОК.
  4. В папке % systemroot % выберите все папки exceptthe ниже:
    • Сборки (если есть)
    • Загруженные файлы программ
    • Справка
    • Microsoft.NET (при наличии)
    • Автономные веб-страницы
    • System32
    • Задачи
    • TEMP
    • Web
  5. Остальные папки правой кнопкой мыши, выберите командуСвойстваи перейдите на вкладку Безопасность.
  6. Нажмите эту кнопку, снимите флажок Разрешить inheritablepermissions , нажмите кнопку Копировать, и нажмите кнопкуОК.
  7. Применяются следующие разрешения:
    1. Откройте свойства папки % systemroot %, перейдите на вкладку Безопасность , добавление IUSR_<MachineName> </MachineName> и IWAM_<MachineName> </MachineName> учетными записями и пользователями группы и убедитесь, что выбраны только следующее:
      • Чтение & выполнение
      • Список содержимого папки
      • Чтение
    2. Выберите открыть Свойства папки %systemroot%\Temp IUSR_<MachineName> </MachineName> учетной записи (эта учетная запись уже присутствует, так как он наследует папка Winnt) и установите флажок « Изменить ». Повторите этот шаг для IWAM_<MachineName> </MachineName> учетной записи и группы пользователей .
    3. Если клиентов расширения сервера FrontPage такие как Microsoft FrontPage или Microsoft Visual InterDev используются, откройте свойства папки %systemdrive%\Inetpub\Wwwroot, выберите группу Прошедшие проверку , выберите ниже и нажмите кнопку ОК:
      • Изменить
      • Чтение & выполнение
      • Список содержимого папки
      • Чтение
      • Запись

Разрешения NTFS

В следующей таблице перечислены разрешения, которые будут применяться при выполнении действия, описанные в разделе «Отключить наследование в системных каталогах». Эта таблица является только для справки.

Чтобы применить разрешения в следующей таблице, выполните следующие действия.
  1. Откройте проводник. Для этого нажмите кнопкуПуск, последовательно выберите пункты программы,Стандартныеи выберите WindowsExplorer.
  2. Разверните узел Мой компьютер.
  3. Щелкните правой кнопкой мыши % systemroot %и выберите командуСвойства.
  4. Перейдите на вкладку Безопасность и нажмите кнопкуДополнительно.
  5. Дважды щелкните разрешения, а затем выберите соответствующий параметр в списке Применять .
ПримечаниеСтолбец в «применить», термин, который по умолчанию ссылается на "Этой папки, вложенные папки и файлы."
Свернуть эту таблицуРазвернуть эту таблицу
КаталогUsers\GroupsРазрешенияПрименить к
%systemroot%\ (c:\winnt)АдминистраторПолный доступПо умолчанию
SystemПолный доступ По умолчанию
ПользователиЧтение, выполнениеПо умолчанию
%systemroot%\System32АдминистраторыПолный доступ По умолчанию
SystemПолный доступПо умолчанию
ПользователиЧтение, выполнениеПо умолчанию
%systemroot%\System32\InetsrvАдминистраторыПолный доступПо умолчанию
SystemПолный доступ По умолчанию
ПользователиЧтение, выполнениеПо умолчанию
Inetpub\adminscripts АдминистраторыПолный доступПо умолчанию
Inetpub\urlscan (если есть) АдминистраторыПолный доступПо умолчанию
SystemПолный доступПо умолчанию
%systemroot%\System32\inetsrv\MetaBackАдминистраторыПолный доступПо умолчанию
SystemПолный доступПо умолчанию
%systemroot%\Help\IisHelp\CommonАдминистраторыПолный доступ Эта папка и файлы
SystemПолный доступЭта папка и файлы
IWAM_<Machinename></Machinename>Чтение, выполнениеЭта папка и файлы
СетиПолный доступЭта папка и файлы
СлужбыЭта папка и файлы
ПользователиЧтение, выполнениеЭта папка и файлы
Inetpub\Wwwroot (или содержимое)АдминистраторыПолный доступЭта папка и файлы
SystemПолный доступЭта папка и файлы
IWAM_<MachineName></MachineName>Чтение, выполнениеЭта папка и файлы
СлужбыЧтение, выполнениеЭта папка и файлы
СетиЧтение, выполнениеЭта папка и файлы
Необязательно **:ПользователиЧтение, выполнениеЭта папка и файлы

Примечание При использовании серверных расширений FrontPage, проверенные пользователи или группы пользователей должен иметь разрешение на изменение NTFS для создания, переименования, для записи или для предоставления функциональных возможностей, разработчику может потребоваться от FrontPage тип клиента, например Microsoft FrontPage 2002 или Visual InterDev 6.0.

Предоставление разрешений в реестре

  1. Нажмите кнопку Пуск, выберите пункт выполнить, тип Regedt32, а затем нажмите кнопку ОК. Не будут использовать редактор реестра, так как он не позволяет изменить разрешения вокнах 2000.
  2. В редакторе реестра найдите и выберитераздел HKEY_LOCAL_MACHINE.
  3. Система, развернитеCurrentControlSetи затем разверните узелслужбы.
  4. Выберите ключ IISADMIN , перейдите на вкладкуБезопасность (или нажмите клавиши ALT + S) и затем выберитеразрешения (или нажмите клавишу P).
  5. Нажмите эту кнопку, снимите флажок Разрешить наследование permissionsfrom родительского объекта к этому объекту , нажмите кнопкуКопироватьи затем удалите всех пользователей за исключением:
    • Администраторы (Разрешить полный доступ и чтение)
    • Система (Разрешить полный доступ и чтение)
  6. Нажмите кнопку ОК.
  7. Повторите действия для MSFTPSVCключа.
  8. Выберите ключ W3SVC , перейдите на вкладкуБезопасностьи нажмите кнопку разрешения.
  9. Снимите флажок Разрешить наследование permissionsfrom родительского объекта к этому объекту , а затем удалите allentries, за исключением:
    • Администраторы (Разрешить полный доступ и чтение)
    • Система (Разрешить полный доступ и чтение)
    • Сети (чтение)
    • Служба (чтение)
    • IWAM_<MachineName> (чтение)</MachineName>
  10. Нажмите кнопку ОК.

Реестр

В следующей таблице перечислены разрешения, которые будут применяться при выполнении действия, описанные в разделе «Предоставление разрешений в реестре». Эта таблица является только для справки.

Примечание Аббревиатура HKLM означает HKEY_LOCAL_MACHINE.
Свернуть эту таблицуРазвернуть эту таблицу
РасположениеUsers\GroupsРазрешения
HKLM\System\CurrentControlSet\Services\IISAdminАдминистраторыПолный доступ
SystemПолный доступ
HKLM\System\CurrentControlSet\Services\MsFtpSvcАдминистраторыПолный доступ
SystemПолный доступ
HKLM\System\CurrentControlSet\Services\w3svcАдминистраторыПолный доступ
SystemПолный доступ
IWAM_<MachineName></MachineName>Чтение

Предоставление прав в локальной политике безопасности

  1. Нажмите кнопку Пуск, нажмите кнопкуПараметрыи выберите команду Панель управления.
  2. Дважды щелкните значок Администрирование, andthen, дважды щелкните значок Локальная политика безопасности.
  3. В диалоговом окне Локальные параметры безопасностиЛокальныеполитики и нажмите кнопку RightsAssignment пользователя.
  4. Измените соответствующую политику:
    1. Дважды щелкните политику.
    2. Выберите и нажмите кнопку Удалить для всех пользователей, не перечисленных в таблице.
    3. Добавьте любой пользователь, отсутствует в списке. Чтобы сделать это, нажмите кнопку Добавитьи выберите пользователя в диалоговом окне Выбор пользователей или групп .
Обратите внимание, что поскольку политика контроллера домена переопределяет локальные политики, необходимо убедиться, что Действующая политика соответствует Параметр локальной политики.

Политики

В следующей таблице перечислены разрешения, которые будут применяться при выполнении действия, описанные в разделе «Предоставление прав в локальной политике безопасности».
Свернуть эту таблицуРазвернуть эту таблицу
ПолитикиПользователи
Локальный вход в системуАдминистраторы
IUSR_<MachineName> (анонимный)</MachineName>
Пользователи (требуется проверка подлинности)
Доступ к этому компьютеру из сетиАдминистраторы
ASPNet (платформа.NET Framework)
IUSR_<MachineName> (анонимный)</MachineName>
IWAM_<MachineName></MachineName>
Пользователи
Вход в качестве пакетного заданияASPNet
Сети
IUSR_<MachineName></MachineName>
IWAM_<MachineName></MachineName>
Службы
Вход в качестве службыASPNet
Сети
Обход перекрестной проверкиАдминистраторы
IUSR_<MachineName> (анонимный)</MachineName>
Пользователи (Basic, интегрированный, дайджест)
IWAM_<MachineName></MachineName>

Ссылки

Дополнительные сведения о восстановлении по умолчанию разрешения NTFS для Windows 2000 щелкните следующий номер статьи базы знаний Майкрософт:
266118 Восстановление по умолчанию разрешений NTFS для Windows 2000
260985 Минимальные разрешения NTFS для использования CDONTS
324068 Инструкции по настройке разрешений IIS для отдельных объектов
815153 Настройка файла разрешения NTFS для защиты приложений ASP.NET

Дополнительные сведения о разрешениях, необходимых для IIS 6.0 щелкните следующий номер статьи базы знаний Майкрософт:
812614 По умолчанию разрешения и права пользователей для служб IIS 6.0

Дополнительные сведения

Роли сервера или приложения, которые не рассматриваются

В данной статье не рассматриваются одним из требований безопасности следующие роли сервера или приложения:
  • Контроллер домена Windows 2000
  • OutlookWeb доступа Microsoft Exchange 2000 или Microsoft Exchange 5.5
  • Microsoft Small Business Server 2000
  • Microsoft SharePoint Portal или Team Services
  • Microsoft Commerce Server 2000 или Microsoft Commerce Server2002
  • Microsoft BizTalk Server 2000 или Microsoft BizTalk Server2002
  • Сервер управления содержимым Microsoft 2000 или MicrosoftContent Management Server 2002
  • Microsoft Application Center 2000
  • Сторонних приложений, которые зависят от дополнительных разрешений

Об этой статье

Код статьи: 271071
Последний отзыв: 25 апреля 2014 г.
Информация в данной статье относится к следующим продуктам.: Microsoft Internet Information Services 5.0, Microsoft Internet Information Services 5.1, Microsoft Internet Information Services 6.0
Переведено с помощью машинного перевода
ВНИМАНИЕ! Данная статья переведена с использованием программного обеспечения Майкрософт для машинного перевода и, возможно, отредактирована посредством технологии Community Translation Framework (CTF). Корпорация Майкрософт предлагает вам статьи, обработанные средствами машинного перевода, отредактированные членами сообщества Майкрософт и переведенные профессиональными переводчиками, чтобы вы могли ознакомиться со всеми статьями нашей базы знаний на нескольких языках. Статьи, переведенные с использованием средств машинного перевода и отредактированные сообществом, могут содержать смысловое, синтаксические и (или) грамматические ошибки. Корпорация Майкрософт не несет ответственности за любые неточности, ошибки или ущерб, вызванные неправильным переводом контента или его использованием нашими клиентами. Подробнее об CTF можно узнать по адресу http://support.microsoft.com/gp/machine-translation-corrections/ru.
Эта статья на английском языке: 271071
Вы хотите поделиться отзывом об этой статье?
 

Get more support from smallbusiness.support.microsoft.com

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.