Тази статия се описва как да настроите минималните разрешения, необходими за специализиран Internet Information Services (IIS) 5.0, IIS 5.1 или IIS 6.0 Web сървър.
Ограничение за тази статия
Предупреждение Тази статия е валидна само за уеб сървъри, които използват основните функции на IIS, като например обслужващи HTML статично съдържание или просто Active Server Pages (ASP) съдържание. Разрешение за изискванията, които са описани в тази статия са специфични само за основните разрешения за специален уеб сървър, който изпълнява IIS 5. x или IIS 6.0. Тази статия не разглежда други Microsoft и други продукти , които могат да изискват различни разрешения. Можете да прегледате документацията на сървър и приложение за сигурност на специфични изисквания. Препоръчваме ви Преглед на статии , които са специфични за роли на уеб сървъра.
Тестване стъпки преди конфигурации на разрешенията в производствена среда
Преди да направите промени в разрешенията за производство уеб сървър, препоръчваме да направите следното:
-
Изпълнете най-новата версия на инструмента за заключване на IIS. Следните програми и услуги са инсталирани като част от пакета на тест, който е използван за проверка на защитата на сървъра след даване на разрешения, описани в тази статия:
-
Индекс на услуги
-
Терминални услуги
-
Дебъгер за скриптове
-
IIS
-
Общи файлове
-
Документация
-
Разширения за сървър на FrontPage 2000
-
Диспечер за интернет услуги (HTML)
-
WWW
-
FTP
-
-
-
Извършете следните функционални изпитания:
-
Документи с хипертекст (HTML)
-
Active Server Pages (ASP)
-
Разширенията за сървър на FrontPage, като свързване, редактиране и записване, ако FPSE е разрешено, докато използвате инструмента за заключване
-
Защитени връзки на сокет пластове (SSL)
-
Предоставяне на собственост и права на администратор и на системата
За целта изпълнете следните стъпки:
-
Отворете Windows Explorer. За целта щракнете върху Старт, щракнете върху програмии щракнете върху Windows Explorer.
-
Разширяване на компютъра.
-
Щракнете с десния бутон на системния диск (обикновено това е устройство C) и след това щракнете върху свойства.
-
Щракнете върху раздела защита и щракнете върху Advanced да отворите диалоговия прозорец на Настройките за управление на достъпа на локалния диск .
-
Щракнете върху собственик , поставете отметка в квадратчето Замени собственика на под контейнери и обекти и след това щракнете върху Приложи. Ако се появи следното съобщение за грешка, щракнете върху продължи:
Възникна грешка при прилагането информацията за %systemdrive%\Pagefile.sys защита
-
Ако се появи следното съобщение за грешка, щракнете върху да:
Нямате право да четете съдържанието на директория %systemdrive%\System Volume Information - желаете ли да замените директория разрешение - всички разрешение ще бъдат заменени, ви дават пълен контрол
-
Щракнете върху OK , за да затворите диалоговия прозорец.
-
Щракнете върху Добавяне.
-
Добавяне на следните потребители и след това им предоставят пълен контрол NTFS разрешението:
-
Администратор
-
Система
-
Създател собственик
-
-
След като сте добавили тези NTFS разрешенията, щракнете върху Разширени, поставете отметка в квадратчето нулиране на разрешения за всички обекти наследници и разрешаване разпространяването на наследявани разрешения и след това щракнете върху Приложи.
-
Ако се появи следното съобщение за грешка, щракнете върху продължи:
Възникна грешка при прилагането информацията за %systemdrive%\Pagefile.sys защита
-
След като върнете разрешенията за NTFS, щракнете върху OK.
-
Щракнете върху групата Everyone , щракнете върху Премахнии след това щракнете върху OK.
-
Отворете свойствата на папката за %systemdrive%\Program Files\Common файлове и след това щракнете върху раздела защита добавяне акаунт, който се използва за анонимен достъп. По подразбиране това е IUSR_ < MachineName > акаунт. След това добавете групата на потребители. Уверете се, че само следните са избрани:
-
Четене и изпълнение
-
Списък на съдържанието на папка
-
Четене
-
-
Отваряне на свойствата в главната директория, която съдържа уеб съдържание. По подразбиране това е папката %systemdrive%\Inetpub\Wwwroot. Щракнете върху раздела защита , добавете IUSR_ < MachineName > акаунт и групата потребители и след това се уверете, че само следните са избрани:
-
Четене и изпълнение
-
Списък на съдържанието на папка
-
Четене
-
-
Ако искате да напишете NTFS разрешението за Inetpub\FTProot или път до директорията на FTP сайт или сайтове, повторете тази стъпка 15. Забележка: Не препоръчваме предоставяне на запис на NTFS разрешения за анонимен акаунт във всички директории, включително директории, използвани от услугата FTP използва. Това може да причини ненужно данни да се качат на вашия уеб сървър.
Прекратява наследство в системните директории
За целта изпълнете следните стъпки:
-
В папката %systemroot%\System32 изберете всички папки с изключение на следните:
-
Inetsrv
-
Certsrv (ако е налична)
-
COM
-
-
С десния бутон върху останалите папки, щракнете върху свойстваи след това щракнете върху раздела защита .
-
Поставете отметка в квадратчето Разреши могат да наследяват разрешения , щракнете върху Копирайи щракнете върху OK.
-
В папката % systemroot % изберете всички папки с изключение на следните:
-
Монтаж (ако е налична)
-
Изтеглените програмни файлове
-
Помощ
-
Microsoft.NET (ако е налична)
-
Офлайн Web страници
-
System32
-
Задачи
-
Temp
-
Уеб
-
-
С десния бутон върху останалите папки, щракнете върху свойстваи след това щракнете върху раздела защита .
-
Поставете отметка в квадратчето Разреши могат да наследяват разрешения , щракнете върху Копирайи щракнете върху OK.
-
Приложи разрешения за следното:
-
Отворете свойствата на папката % systemroot %, щракнете върху раздела защита , добавете IUSR_ < MachineName > и IWAM_ < MachineName > акаунти и групата потребители и след това се уверете, че само следните са избрани:
-
Четене и изпълнение
-
Списък на съдържанието на папка
-
Четене
-
-
Отваряне на свойствата на %systemroot%\Temp папка, изберете акаунта IUSR_ < MachineName > (този акаунт вече съществува защото наследява от папката Winnt) и поставете отметка в квадратчето Промяна . Повторете тази стъпка за акаунта на IWAM_ < MachineName > и Група потребители .
-
Ако FrontPage Server разширение на клиентите като се използват FrontPage или Microsoft във Visual InterDev, отворете свойствата на папката %systemdrive%\Inetpub\Wwwroot, изберете групата Удостоверени потребители , изберете и натиснете OK :
-
Промяна
-
Четене и изпълнение
-
Списък на съдържанието на папка
-
Четене
-
Запис
-
-
NTFS разрешенията
Следната таблица показва разрешенията, които ще се прилагат, когато изпълните стъпките в раздела "Забрани наследство в системните директории". Тази таблица е за справка само. За да приложите разрешенията в следната таблица, изпълнете следните стъпки:
-
Отворете Windows Explorer. За да направите това, щракнете върху Старт, програми, принадлежностии след това щракнете върху Windows Explorer.
-
Разширяване на компютъра.
-
С десния бутон върху % systemroot %и след това щракнете върху свойства.
-
Щракнете върху раздела защита и след това щракнете върху Разширени.
-
Щракнете двукратно върху разрешениеи след това изберете съответната настройка от списъка Прилагат върху .
Забележка: В "спрямо" колоната, терминът по подразбиране се отнася към "Тази папка, подпапки и файлове."
Адресна книга |
Users\Groups |
Разрешения |
Спрямо |
---|---|---|---|
%systemroot%\ (c:\winnt) |
Администратор |
Пълен контрол |
По подразбиране |
Система |
Пълен контрол |
По подразбиране |
|
Потребители |
Четене, изпълнение |
По подразбиране |
|
%systemroot%\system32 |
Администратори |
Пълен контрол |
По подразбиране |
Система |
Пълен контрол |
По подразбиране |
|
Потребители |
Четене, изпълнение |
По подразбиране |
|
%systemroot%\system32\inetsrv |
Администратори |
Пълен контрол |
По подразбиране |
Система |
Пълен контрол |
По подразбиране |
|
Потребители |
Четене, изпълнение |
По подразбиране |
|
Inetpub\adminscripts |
Администратори |
Пълен контрол |
По подразбиране |
Inetpub\urlscan (ако е налична) |
Администратори |
Пълен контрол |
По подразбиране |
Система |
Пълен контрол |
По подразбиране |
|
%systemroot%\system32\inetsrv\metaback |
Администратори |
Пълен контрол |
По подразбиране |
Система |
Пълен контрол |
По подразбиране |
|
%systemroot%\help\iishelp\common |
Администратори |
Пълен контрол |
Тази папка и файлове |
Система |
Пълен контрол |
Тази папка и файлове |
|
IWAM_<Machinename> |
Четене, изпълнение |
Тази папка и файлове |
|
Мрежа |
Пълен контрол |
Тази папка и файлове |
|
Услуга |
Тази папка и файлове |
||
Потребители |
Четене, изпълнение |
Тази папка и файлове |
|
Inetpub\wwwroot (или указатели на съдържание) |
Администратори |
Пълен контрол |
Тази папка и файлове |
Система |
Пълен контрол |
Тази папка и файлове |
|
IWAM_<MachineName> |
Четене, изпълнение |
Тази папка и файлове |
|
Услуга |
Четене, изпълнение |
Тази папка и файлове |
|
Мрежа |
Четене, изпълнение |
Тази папка и файлове |
|
Optional**: |
Потребители |
Четене, изпълнение |
Тази папка и файлове |
Забележка: Ако използвате разширения за сървър на FrontPage, удостоверени потребители или групи потребители трябва да има промяна NTFS разрешението за създаване, преименуване, да запише или да осигури функционалност, че разработчикът може да е от тип FrontPage на клиента, като Във Visual InterDev 6.0 или FrontPage 2002.
Даване на разрешения в системния регистър
-
Щракнете върху Старт, щракнете върху изпълнение, въведете regedt32и след това щракнете върху OK. Не използвайте редактора на системния регистър, защото той не ви промените разрешения в Windows 2000.
-
В редактора на системния регистър, намерете и изберете HKEY_LOCAL_MACHINE.
-
Разширяване на системата, разгънете CurrentControlSetи след това разгънете услуги.
-
Изберете IISADMIN ключ, щракнете върху защита (или натиснете ALT + S) и след това изберете Разрешения (или натиснете P).
-
Щракнете, за да махнете отметката от квадратчето Разреши могат да наследяват разрешения от родителя да разпространяват за този обект , щракнете върху Копирайи след премахване на всички потребители с изключение на:
-
Администраторите (позволяват четене и пълен контрол)
-
Система (позволяват четене и пълен контрол)
-
-
Щракнете върху ОК.
-
Повторете стъпките за MSFTPSVC ключ.
-
Изберете W3SVC ключ, щракнете върху защитаи щракнете върху разрешения.
-
Изчистете квадратчето за отметка Разреши могат да наследяват разрешения от родителя да разпространяват за този обект и след това премахнете всички записи с изключение на:
-
Администраторите (позволяват четене и пълен контрол)
-
Система (позволяват четене и пълен контрол)
-
Мрежа (Прочети)
-
Услугата (Прочети)
-
IWAM_ < MachineName > (Прочети)
-
-
Щракнете върху ОК.
Системния регистър
Следната таблица показва разрешенията, които ще се прилагат, когато изпълните стъпките в раздела "Предоставят разрешенията в системния регистър". Тази таблица е за справка само. Забележка: Акронима HKLM означава HKEY_LOCAL_MACHINE.
Местоположение |
Users\Groups |
Разрешения |
---|---|---|
HKLM\System\CurrentControlSet\Services\IISAdmin |
Администратори |
Пълен контрол |
Система |
Пълен контрол |
|
HKLM\System\CurrentControlSet\Services\MsFtpSvc |
Администратори |
Пълен контрол |
Система |
Пълен контрол |
|
HKLM\System\CurrentControlSet\Services\w3svc |
Администратори |
Пълен контрол |
Система |
Пълен контрол |
|
IWAM_<MachineName> |
Четене |
Предоставят права в правила за локалната защита
-
Щракнете върху Старт, щракнете върху Настройкии след това щракнете върху Контролен панел.
-
Щракнете двукратно върху Административни инструментии щракнете двукратно върху Локални правила за защита.
-
В диалоговия прозорец на Локалните настройки за защита разгънете Локални правилаи натиснете Възлагане на потребителски права.
-
Промяна на най-подходящата политика:
-
Щракнете двукратно върху правила.
-
Изберете и щракнете върху Премахни за всеки потребител, който не са изброени в таблицата.
-
Добавяне на всеки потребител, който не е в списъка. За да направите това, щракнете върху Добавянеи след това изберете потребителя в диалоговия прозорец избор на потребители или групи .
-
Обърнете внимание, защото правило за домейнов контролер замества локални правила, трябва да се уверите Ефективна настройка за правилата отговаря на Локални правила за настройка.
Правила
Следната таблица показва разрешенията, които ще се прилагат, когато изпълните стъпките в раздела "Предоставят права в правила за локалната защита".
Правила |
Потребители |
---|---|
Локално влизане в системата |
Администратори |
IUSR_ < MachineName > (Анонимен) |
|
Потребителите (удостоверяване изисква) |
|
Достъп до този компютър от мрежата |
Администратори |
ASPNet (.NET Framework) |
|
IUSR_ < MachineName > (Анонимен) |
|
IWAM_<MachineName> |
|
Потребители |
|
Влезте като пакетно задание |
ASPNet |
Мрежа |
|
IUSR_<MachineName> |
|
IWAM_<MachineName> |
|
Услуга |
|
Влизане като услуга |
ASPNet |
Мрежа |
|
Проверка за байпас напречна |
Администратори |
IUSR_ < MachineName > (Анонимен) |
|
Потребителите (Basic, интегрирани, преглед) |
|
IWAM_<MachineName> |
Препратки
За повече информация как да се възстанови NTFS разрешенията по подразбиране за Windows 2000 щракнете върху следните номера на статии в базата знания на Microsoft:
266118 как да се възстанови NTFS разрешенията по подразбиране за Windows 2000
260985 минимум NTFS разрешенията за използването на CDONTS
324068 как да зададете IIS разрешения за отделни обекти
815153 как да конфигурирате NTFS файлови разрешения за сигурност на ASP.Нето приложения За повече информация относно необходимите разрешения за IIS 6.0 щракнете върху следния номер на статия в базата знания на Microsoft:
812614 Разрешения и потребителски права по подразбиране за IIS 6.0
Повече информация
Тази статия разглежда един от специфичните изисквания за сигурност на следните роли на сървъра или приложения:
-
Windows 2000 домейн контролер
-
Microsoft Exchange 5.5 или Microsoft Exchange 2000 Outlook Web Access
-
Microsoft Small Business Server 2000
-
Microsoft SharePoint Portal или екипа услуги
-
Microsoft Commerce Server 2000 или Microsoft Commerce Server 2002
-
Microsoft BizTalk Server 2000 или Microsoft BizTalk Server 2002
-
Сървър за управление на съдържание на Microsoft 2000 или Microsoft съдържание Management Server 2002
-
Microsoft приложение център 2000
-
Приложенията, които зависят от допълнителни разрешения