Este artículo describe cómo establecer los permisos mínimos que se requieren para un dedicado Internet Information Services (IIS) 5.0, IIS 5.1 o servidor Web IIS 6.0.
La limitación de este artículo
Advertencia: En este artículo sólo es válido para los servidores Web dedicados que utilizan la funcionalidad básica de IIS, como servir contenido HTML estático contenido o simple páginas Active Server (ASP). Los requisitos de permisos que se describen en este artículo son específicos de los permisos básicos para un servidor Web dedicado que está ejecutando IIS 5. x o IIS 6.0. En este artículo no tiene en cuenta otros de Microsoft y productos de terceros que pueden requerir permisos diferentes. Puede revisar la documentación de servidor y la aplicación de requisitos específicos de seguridad. Le recomendamos que Revise los artículos relacionados que son específicos de las funciones de su servidor Web.
Pasos de prueba antes de las configuraciones de permisos en un entorno de producción
Antes de realizar cambios de permisos en un servidor Web de producción, se recomienda que siga estos pasos:
-
Ejecute la versión más reciente de la herramienta IIS Lockdown. Los siguientes programas y servicios se instalaron como parte del conjunto de pruebas que se utilizó para probar la seguridad del servidor después de otorgar los permisos descritos en este artículo:
-
Servicios de Index Server
-
Terminal Services
-
Depurador de secuencias de comandos
-
IIS
-
Archivos comunes
-
Documentación
-
Extensiones de servidor de FrontPage 2000
-
Administrador de servicios Internet (HTML)
-
WWW
-
FTP
-
-
-
Realizar las pruebas funcionales siguientes:
-
Documentos de hipertexto (HTML)
-
Páginas Active Server (ASP)
-
Extensiones de servidor de FrontPage, como conectar, modificar y guardar, si FPSE está habilitado mientras utiliza la herramienta de bloqueo de seguridad
-
Secure Socket Layers (SSL) conexiones
-
Otorgar propiedad y permisos al administrador y al sistema
Para ello, siga estos pasos:
-
Abra el Explorador de Windows. Para ello, haga clic en Inicio, haga clic en programasy, a continuación, haga clic en El Explorador de Windows.
-
Expanda Mi PC.
-
Haga clic en la unidad del sistema (suele ser la unidad C) y, a continuación, haga clic en Propiedades.
-
Haga clic en la ficha seguridad y, a continuación, haga clic en Avanzadas para abrir el cuadro de diálogo Configuración de Control de acceso para disco Local .
-
Haga clic en la ficha propietario , haga clic para activar la casilla de verificación Reemplazar propietario en subcontenedores y objetos y, a continuación, haga clic en Aplicar. Si recibe el siguiente mensaje de error, haga clic en continuar:
Error al aplicar la información de seguridad a %systemdrive%\Pagefile.sys
-
Si recibe el siguiente mensaje de error, haga clic en Sí:
No tiene permiso para leer el contenido del directorio %systemdrive%\System Volumen Information - ¿desea reemplazar los permisos del directorio, se reemplazarán todos los permisos que le otorgan el Control total
-
Haga clic en Aceptar para cerrar el cuadro de diálogo.
-
Haga clic en Agregar.
-
Agregue los siguientes usuarios y concederles el permiso NTFS Control total:
-
Administrador de
-
Sistema
-
Creador propietario
-
-
Después de haber agregado estos permisos NTFS, haga clic en Opciones avanzadas, haga clic para activar la casilla de verificación Restablecer permisos en todos los objetos secundarios y habilitar la propagación de permisos heredables de un objeto y, a continuación, haga clic en Aplicar.
-
Si recibe el siguiente mensaje de error, haga clic en continuar:
Error al aplicar la información de seguridad a %systemdrive%\Pagefile.sys
-
Después de restablecer los permisos NTFS, haga clic en Aceptar.
-
Haga clic en el grupo todos , haga clic en Quitary, a continuación, haga clic en Aceptar.
-
Abra las propiedades de la carpeta archivos de programa\Archivos comunes %systemdrive%\Program y, a continuación, haga clic en la ficha seguridad agregar la cuenta que se utiliza para el acceso anónimo. De forma predeterminada, esta es la cuenta IUSR_ < nombreEquipo >. A continuación, agregue el grupo usuarios. Asegúrese de que está seleccionada únicamente lo siguiente:
-
Leer y ejecutar
-
Enumerar contenido de carpeta
-
Lectura
-
-
Abra las propiedades para el directorio raíz que incluye el contenido Web. De forma predeterminada, ésta es la carpeta de %systemdrive%\Inetpub\Wwwroot. Haga clic en la ficha seguridad , agregue la cuenta IUSR_ < nombreEquipo > y el grupo de usuarios y asegúrese de que está seleccionada únicamente lo siguiente:
-
Leer y ejecutar
-
Enumerar contenido de carpeta
-
Lectura
-
-
Si desea conceder permiso NTFS de lectura para Inetpub\FTProot o la ruta del directorio para su sitio o sitios FTP, repita el paso 15. Nota: No se recomienda otorgar permisos NTFS de escritura a la cuenta anónima en cualquier directorio, incluidos los directorios utilizados por el servicio FTP usa. Esto puede producir datos innecesarios para cargarse en el servidor Web.
Deshabilitar la herencia en los directorios del sistema
Para ello, siga estos pasos:
-
En la carpeta %systemroot%\System32, seleccione todas las carpetas excepto las siguientes:
-
Inetsrv
-
Certsrv (si existe)
-
COM
-
-
Haga clic en las demás carpetas, haga clic en Propiedadesy, a continuación, haga clic en la ficha seguridad .
-
Haga clic para desactivar la casilla de verificación Permitir que los permisos heredables de un objeto , haga clic en Copiary, a continuación, haga clic en Aceptar.
-
En la carpeta % systemroot %, seleccione todas las carpetas excepto las siguientes:
-
Assembly (si existe)
-
Archivos de programa descargados
-
Ayuda
-
Microsoft.NET (si existe)
-
Páginas Web sin conexión
-
System32
-
Tareas
-
TEMP
-
Web
-
-
Haga clic en las demás carpetas, haga clic en Propiedadesy, a continuación, haga clic en la ficha seguridad .
-
Haga clic para desactivar la casilla de verificación Permitir que los permisos heredables de un objeto , haga clic en Copiary, a continuación, haga clic en Aceptar.
-
Aplicar permisos a la siguiente:
-
Abra las propiedades de la carpeta % systemroot %, haga clic en la ficha seguridad , agregue las cuentas IUSR_ < nombreEquipo > y IWAM_ < nombreEquipo > y el grupo de usuarios y asegúrese de que solamente sean seleccionado:
-
Leer y ejecutar
-
Enumerar contenido de carpeta
-
Lectura
-
-
Abra las propiedades de la carpeta %systemroot%\Temp, seleccione la cuenta IUSR_ < nombreEquipo > (esta cuenta ya está presente porque se hereda de la carpeta Winnt) y, a continuación, haga clic para seleccionar la casilla de verificación Modificar . Repita este paso para la cuenta IWAM_ < nombreEquipo > y el Grupo de usuarios .
-
Si clientes de extensiones de servidor de FrontPage como FrontPage o Microsoft Visual InterDev están siendo utilizados, abra las propiedades de la carpeta %systemdrive%\Inetpub\Wwwroot, seleccione el grupo de Usuarios autenticados , seleccione lo siguiente y, a continuación, haga clic en Aceptar de :
-
Modificar
-
Leer y ejecutar
-
Enumerar contenido de carpeta
-
Lectura
-
Escritura
-
-
Permisos de NTFS
En la tabla siguiente se enumera los permisos que se aplicarán cuando siga los pasos descritos en la sección "Deshabilitar la herencia en los directorios del sistema". Esta tabla es sólo para referencia. Para aplicar los permisos en la tabla siguiente, siga estos pasos:
-
Abra el Explorador de Windows. Para ello, haga clic en Inicio, haga clic en programas, haga clic en Accesoriosy, a continuación, haga clic en Explorador de Windows.
-
Expanda Mi PC.
-
Haga clic derecho en la carpeta % systemroot %y, a continuación, haga clic en Propiedades.
-
Haga clic en la ficha seguridad y, a continuación, haga clic en Avanzadas.
-
Haga doble clic en permisosy, a continuación, seleccione la configuración apropiada de la lista Aplicar a .
Nota: Columna en el "aplicar a", el término que predeterminado se refiere a "Esta carpeta, subcarpetas y archivos."
Directorio |
Users\Groups |
Permisos |
Aplicar a |
---|---|---|---|
%systemroot%\ (c:\winnt) |
Administrador de |
Control total |
Valor predeterminado |
Sistema |
Control total |
Valor predeterminado |
|
Usuarios |
Leer, ejecutar |
Valor predeterminado |
|
%systemroot%\system32 |
Administradores |
Control total |
Valor predeterminado |
Sistema |
Control total |
Valor predeterminado |
|
Usuarios |
Leer, ejecutar |
Valor predeterminado |
|
%systemroot%\system32\inetsrv |
Administradores |
Control total |
Valor predeterminado |
Sistema |
Control total |
Valor predeterminado |
|
Usuarios |
Leer, ejecutar |
Valor predeterminado |
|
Inetpub\adminscripts |
Administradores |
Control total |
Valor predeterminado |
Inetpub\urlscan (si está presente) está |
Administradores |
Control total |
Valor predeterminado |
Sistema |
Control total |
Valor predeterminado |
|
%systemroot%\system32\inetsrv\metaback |
Administradores |
Control total |
Valor predeterminado |
Sistema |
Control total |
Valor predeterminado |
|
%systemroot%\help\iishelp\common |
Administradores |
Control total |
Esta carpeta y archivos |
Sistema |
Control total |
Esta carpeta y archivos |
|
IWAM_<Machinename> |
Leer, ejecutar |
Esta carpeta y archivos |
|
Red |
Control total |
Esta carpeta y archivos |
|
Servicio |
Esta carpeta y archivos |
||
Usuarios |
Leer, ejecutar |
Esta carpeta y archivos |
|
Inetpub\wwwroot (o directorios de contenido) |
Administradores |
Control total |
Esta carpeta y archivos |
Sistema |
Control total |
Esta carpeta y archivos |
|
IWAM_<MachineName> |
Leer, ejecutar |
Esta carpeta y archivos |
|
Servicio |
Leer, ejecutar |
Esta carpeta y archivos |
|
Red |
Leer, ejecutar |
Esta carpeta y archivos |
|
Optional**: |
Usuarios |
Leer, ejecutar |
Esta carpeta y archivos |
Nota: Si está utilizando las extensiones de servidor de FrontPage, los usuarios autenticados o el grupo de usuarios debe tener el permiso NTFS de cambio para crear, cambiar el nombre, escribir o para proporcionar la funcionalidad que un programador puede tener de un tipo FrontPage de cliente, como Visual InterDev 6.0 o FrontPage 2002.
Conceder permisos en el registro
-
Haga clic en Inicio, haga clic en Ejecutar, escriba regedt32y, a continuación, haga clic en Aceptar. No utilice el Editor del registro porque no le permite cambiar los permisos en Windows 2000.
-
En el Editor del registro, busque y seleccione HKEY_LOCAL_MACHINE.
-
Expanda sistema, expanda CurrentControlSety, a continuación, expanda Servicios.
-
Seleccione la clave IISADMIN , haga clic en seguridad (o presione ALT+S) y, a continuación, seleccione Permisos (o presione P).
-
Haga clic para desactivar la casilla de verificación Permitir que los permisos heredables del primario se propaguen a este objeto , haga clic en Copiary, a continuación, quite todos los usuarios excepto:
-
Administradores (Permitir lectura y Control total)
-
Sistema (Permitir lectura y Control total)
-
-
Haga clic en Aceptar.
-
Repita los pasos para la clave MSFTPSVC .
-
Seleccione la clave W3SVC , haga clic en seguridady, a continuación, haga clic en permisos.
-
Haga clic para desactivar la casilla de verificación Permitir que los permisos heredables del primario se propaguen a este objeto y, a continuación, quite todas las entradas excepto:
-
Administradores (Permitir lectura y Control total)
-
Sistema (Permitir lectura y Control total)
-
Red (lectura)
-
Servicio (lectura)
-
IWAM_ < nombreEquipo > (leer)
-
-
Haga clic en Aceptar.
Registro
En la tabla siguiente se enumera los permisos que se aplicarán cuando siga los pasos descritos en la sección "Otorgar permisos en el registro". Esta tabla es sólo para referencia. Nota: El acrónimo que significa HKLM para HKEY_LOCAL_MACHINE.
Ubicación |
Users\Groups |
Permisos |
---|---|---|
HKLM\System\CurrentControlSet\Services\IISAdmin |
Administradores |
Control total |
Sistema |
Control total |
|
HKLM\System\CurrentControlSet\Services\MsFtpSvc |
Administradores |
Control total |
Sistema |
Control total |
|
HKLM\System\CurrentControlSet\Services\w3svc |
Administradores |
Control total |
Sistema |
Control total |
|
IWAM_<MachineName> |
Lectura |
Otorgar derechos en la directiva de seguridad Local
-
Haga clic en Inicio, elija configuracióny, a continuación, haga clic en Panel de Control.
-
Haga doble clic en Herramientas administrativasy, a continuación, haga doble clic en Directiva de seguridad Local.
-
En el cuadro de diálogo Configuración de seguridad Local , expanda Directivas localesy, a continuación, haga clic en Asignación de derechos de usuario.
-
Modifique la directiva apropiada:
-
Haga doble clic en la directiva.
-
Seleccione y, a continuación, haga clic en Quitar para cualquier usuario que no se muestran en la tabla.
-
Agregue cualquier usuario que no aparece. Para ello, haga clic en Agregary seleccione el usuario en el cuadro de diálogo Seleccionar usuarios o grupos .
-
Tenga en cuenta que debido a una directiva de controlador de dominio anula la directiva local, debe asegurarse de que La configuración de directiva efectiva coincide con La configuración de directiva Local.
Directivas de
En la tabla siguiente se enumera los permisos que se aplicarán cuando siga los pasos descritos en la sección "Otorgar derechos en la directiva de seguridad Local".
Directiva |
Usuarios |
---|---|
Iniciar sesión localmente |
Administradores |
IUSR_ < nombreEquipo > (anónimo) |
|
Usuarios (autenticación requerida) |
|
Tener acceso a este equipo desde la red |
Administradores |
ASPNet (.NET Framework) |
|
IUSR_ < nombreEquipo > (anónimo) |
|
IWAM_<MachineName> |
|
Usuarios |
|
Inicie sesión como un trabajo por lotes |
ASPNet |
Red |
|
IUSR_<MachineName> |
|
IWAM_<MachineName> |
|
Servicio |
|
Iniciar sesión como un servicio |
ASPNet |
Red |
|
Omitir comprobación de recorrido |
Administradores |
IUSR_ < nombreEquipo > (anónimo) |
|
Usuarios (básico, integrado, Digest) |
|
IWAM_<MachineName> |
Referencias
Para obtener más información acerca de cómo restaurar los permisos NTFS predeterminados para Windows 2000, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:
266118 cómo restaurar los permisos NTFS predeterminados para Windows 2000
260985 permisos de NTFS mínimos requeridos para usar CDONTS
324068 cómo configurar en IIS permisos para objetos específicos
815153 cómo configurar permisos de archivos NTFS para la seguridad de aplicaciones ASP.NET Para obtener más información acerca de los permisos requeridos para IIS 6.0, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
Los permisos predeterminados y derechos de usuario para IIS 6.0 812614
Más información
En este artículo no trata uno de los requisitos de seguridad específicos de las siguientes funciones de servidor o aplicaciones:
-
Controlador de dominio de Windows 2000
-
Microsoft Exchange 5.5 o Microsoft Exchange 2000 Outlook Web Access
-
Microsoft Small Business Server 2000
-
Microsoft SharePoint Portal o Team Services
-
Microsoft Commerce Server 2000 o Microsoft Commerce Server 2002
-
Microsoft BizTalk Server 2000 o Microsoft BizTalk Server 2002
-
Microsoft Content Management Server 2000 o Microsoft Content Management Server 2002
-
Microsoft Application Center 2000
-
Las aplicaciones de terceros que dependen de permisos adicionales