Como configurar permissões do servidor Web para conteúdo da Web no IIS

Este artigo passo a passo descreve como conceder permissões do servidor Web para conteúdo da Web usando o Internet Information Services (IIS) 5.0.

Você pode conceder permissões do servidor Web para sites da Web, pastas e arquivos em seu servidor específico. Ao contrário das permissões NTFS de sistema de arquivos que se aplicam somente a um usuário específico ou um grupo de usuários que têm uma conta válida do Windows, permissões do servidor Web se aplicam a todos os usuários que acessam seu site, independentemente de seus direitos de acesso específicos.

Permissões de acesso da Web usam a conta IUSR _nome_do_computador conta por padrão. Quando você instala o IIS, o IUSER _nome_do_computador conta é criada e usada como a conta de usuário anônimo padrão. Quando você habilitar o acesso anônimo, o IIS usa o IUSER _nome_do_computador conta de logon de todos os usuários que acessam seu site.

A conta IUSR _nome_do_computador conta recebe permissões de NTFS para as pastas que compõem os sites no servidor. No entanto, você pode alterar as permissões para qualquer pasta ou arquivo no site. Por exemplo, você pode usar permissões do servidor Web para controlar se os visitantes do site da Web são permitidos para exibir uma página da Web específica, carregar informações ou executar scripts.

Quando você configurar permissões do servidor Web e as permissões NTFS do Windows, você pode controlar como os usuários acessam o conteúdo da Web em vários níveis, de todo o site da Web para arquivos individuais.

Você pode atribuir permissões de NTFS de alta seguras para seus recursos. Sistema de arquivos NTFS é mais seguro que o sistema de arquivos FAT ou FAT32. Você também pode atribuir as permissões da Web mais restritivas possíveis. Por exemplo, se o site for usado somente para exibir informações, atribua apenas ler permissões. Se um diretório ou site contiver aplicativos, atribuir Scripts apenas permissões em vez das permissões Scripts e executáveis. Não atribua permissões de acesso de origem de gravação e de Script ou permissões Scripts e executáveis. Use essa combinação com extremo cuidado. Ele pode permitir que um usuário carregue arquivos executáveis potencialmente perigosos para o servidor e os execute.

Como conceder permissões do servidor Web para conteúdo da Web

1. Inicie o Gerenciador de serviços de Internet. Como alternativa, inicie o snap-in do IIS.
2. Clique para expandir * nome do servidor, onde nome do servidor é o nome do servidor.
3. Botão direito do mouse o site, diretório virtual, a pasta ou o arquivo para o qual você deseja conceder permissões e, em seguida, clique em Propriedades.
4. Clique em uma das guias a seguir é apropriado para sua situação:
   • Diretório base
   • Diretório virtual
   • Diretório
   • Arquivo
   
   
5. Clique para selecionar ou clique para desmarcar qualquer uma das seguintes caixas de seleção (se houver) que são apropriadas para o nível de permissões da Web que você deseja conceder:
   • Acesso ao código-fonte do script: conceder essa permissão para permitir que os usuários acessem o código-fonte. Script Source Access inclui código-fonte para scripts, como scripts em programas de Active Server Pages (ASP). Observe que essa permissão só está disponível se você conceder a leitura ou permissões de gravação.
     
     Observação: quando você clicar em Script Source Access, os usuários talvez possam exibir informações confidenciais, como um nome de usuário e uma senha, de scripts em um programa ASP. Eles também são capazes de alterar o código-fonte que é executado em seu servidor, que pode afetar seriamente a segurança e o desempenho do servidor. É recomendável que você trate o acesso a esse tipo de informação e a essas funções usando contas individuais do Windows e autenticação de nível mais alto, como a autenticação integrada do Windows.
   • Leitura: conceder essa permissão para permitir que usuários exibir ou baixar arquivos ou pastas e suas propriedades associadas. Permissões de leitura são selecionadas por padrão.
   • Escrever: conceder essa permissão para permitir aos usuários carregar arquivos e suas propriedades associadas para a pasta ativada no seu servidor ou alterar o conteúdo ou propriedades de um arquivo habilitado para gravação.
   • Pesquisa no diretório: Conceda essa permissão para permitir que usuários exibir uma listagem em hipertexto dos arquivos e subpastas no diretório virtual. Observe que os diretórios virtuais não são exibidos nas listas de pastas; os usuários devem saber o alias do diretório virtual.
     
     Observação: uma mensagem de erro "Acesso proibido" é exibida pelo seu servidor Web no navegador da Web do usuário se o usuário tenta acessar um arquivo ou pasta em seu servidor e as seguintes condições forem verdadeiras:
     • Pesquisa no diretório está desabilitada.
       
       - e -
     • O usuário não especificar um nome de arquivo, como Nome de arquivo. htm na caixa endereço .
   • Criar log de visitantes: Conceda essa permissão para fazer visitas a esta pasta em um arquivo de log. Uma entrada de log é registrada apenas se o log é habilitado para o site.
   • Indexar este recurso: Conceda essa permissão para permitir que o Microsoft Indexing Service incluir esta pasta em um índice de texto completo do site. Ao conceder essa permissão, os usuários podem realizar consultas deste recurso.
6. Na caixa Permissões de execução , escolheu uma configuração para determinar como deseja que os scripts sejam executados no site. As configurações a seguir estão disponíveis:
   • Nenhum: clique nesta configuração se não desejar que os usuários executem scripts ou programas executáveis no servidor. Quando você usar esta configuração, os usuários podem obter acesso somente a arquivos estáticos, como o Hypertext Markup Language (HTML) e arquivos de imagem.
   • Somente scripts: Clique nesta configuração para executar scripts, como programas ASP no servidor.
   • Scripts e executáveis: Clique nesta configuração para executar tanto scripts como programas ASP e programas executáveis no servidor.
7. Clique em OKe feche o Gerenciador de serviços de Internet ou feche o snap-in IIS.

Observações:

• Quando você tenta alterar propriedades de segurança para um site ou diretório virtual, o IIS verifica as configurações existentes em nós filhos (arquivos e diretórios virtuais) que estão contidos no site ou diretório virtual. Se as permissões são definidas nos níveis inferiores forem diferentes, o IIS exibirá uma caixa de diálogo Substituições de herança . Para especificar quais nós filhos devem herdar as permissões definidas no nível superior, clique no nó ou nós na lista Nós filho e clique em OK. O nó filho herda as novas configurações de permissões.
• Se as permissões da Web e as permissões de NTFS são diferentes para uma pasta ou um arquivo, as duas configurações mais restritivas é usada. Por exemplo, se você concede permissões de gravação para uma pasta no IIS e concede permissões de leitura para um determinado grupo no NTFS, os usuários não podem gravar arquivos na pasta porque as permissões de leitura são mais restritivas.
• Se você desabilitar permissões do servidor Web (por exemplo, permissões de leitura) em um recurso, todos os usuários são impedidos de visualizar esse recurso, independentemente das permissões de NTFS são aplicadas às contas desses usuários. Se você ativar permissões do servidor Web (por exemplo, permissões de leitura) em um recurso, todos os usuários podem exibir recurso a menos que também são aplicadas permissões de NTFS para restringem o acesso a ele.

Para obter mais informações sobre como conceder permissões de NTFS para conteúdo da Web e servidor Web, consulte o tópico "Access Control" na seção "Segurança" da documentação Online do IIS 5.0. Para exibir a documentação, inicie o Microsoft Internet Explorer no servidor IIS 5.0 e digite o seguinte endereço na barra de endereços :Para obter mais informações sobre como controlar o acesso a conteúdo da Web, clique nos números abaixo para ler os artigos na Base de dados de Conhecimento da Microsoft:Para obter mais informações sobre segurança do IIS, clique nos números abaixo para ler os artigos na Base de dados de Conhecimento da Microsoft: