Cómo establecer derechos de usuario y permisos NTFS mínimos para IIS 5.x o IIS 6.0


Este artículo describe cómo establecer los permisos mínimos que se requieren para un dedicado Internet Information Services (IIS) 5.0, IIS 5.1 o servidor Web IIS 6.0.

La limitación de este artículo


Advertencia: En este artículo sólo es válido para los servidores Web dedicados que utilizan la funcionalidad básica de IIS, como servir contenido HTML estático contenido o simple páginas Active Server (ASP). Los requisitos de permisos que se describen en este artículo son específicos de los permisos básicos para un servidor Web dedicado que está ejecutando IIS 5. x o IIS 6.0 . En este artículo no tiene en cuenta otros de Microsoft y productos de terceros que pueden requerir permisos diferentes. Puede revisar la documentación de servidor y la aplicación de requisitos específicos de seguridad. Le recomendamos que Revise los artículos relacionados que son específicos de las funciones de su servidor Web.

Pasos de prueba antes de las configuraciones de permisos en un entorno de producción


Antes de realizar cambios de permisos en un servidor Web de producción, se recomienda que siga estos pasos:
  1. Ejecute la versión más reciente de la herramienta IIS Lockdown. Los siguientes programas y servicios se instalaron como parte del conjunto de pruebas que se utilizó para probar la seguridad del servidor después de otorgar los permisos descritos en este artículo:
    • Servicios de Index Server
    • Terminal Services
    • Depurador de secuencias de comandos
    • IIS
      • Archivos comunes
      • Documentación
      • Extensiones de servidor de FrontPage 2000
      • Administrador de servicios Internet (HTML)
      • WWW
      • FTP
  2. Realizar las pruebas funcionales siguientes:
    • Documentos de hipertexto (HTML)
    • Páginas Active Server (ASP)
    • Extensiones de servidor de FrontPage, como conectar, modificar y guardar, si FPSE está habilitado mientras utiliza la herramienta de bloqueo de seguridad
    • Secure Socket Layers (SSL) conexiones

Otorgar propiedad y permisos al administrador y al sistema


Para ello, siga estos pasos:
  1. Abra el Explorador de Windows. Para ello, haga clic en Inicio, haga clic en programasy, a continuación, haga clic en El Explorador de Windows.
  2. Expanda Mi PC.
  3. Haga clic en la unidad del sistema (suele ser la unidad C) y, a continuación, haga clic en Propiedades.
  4. Haga clic en la ficha seguridad y, a continuación, haga clic en Avanzadas para abrir el cuadro de diálogo Configuración de Control de acceso para disco Local .
  5. Haga clic en la ficha propietario , haga clic para activar la casilla de verificación Reemplazar propietario en subcontenedores y objetos y, a continuación, haga clic en Aplicar. Si recibe el siguiente mensaje de error, haga clic en continuar:
    Error al aplicar la información de seguridad a %systemdrive%\Pagefile.sys
  6. Si recibe el siguiente mensaje de error, haga clic en :
    No tiene permiso para leer el contenido del directorio %systemdrive%\System Volumen Information - ¿desea reemplazar los permisos del directorio, se reemplazarán todos los permisos que le otorgan el Control total
  7. Haga clic en Aceptar para cerrar el cuadro de diálogo.
  8. Haga clic en Agregar.
  9. Agregue los siguientes usuarios y concederles el permiso NTFS Control total:
    • Administrador de
    • Sistema
    • Creador propietario
  10. Después de haber agregado estos permisos NTFS, haga clic en Opciones avanzadas, haga clic para activar la casilla de verificación Restablecer permisos en todos los objetos secundarios y habilitar la propagación de permisos heredables de un objeto y, a continuación, haga clic en Aplicar.
  11. Si recibe el siguiente mensaje de error, haga clic en continuar:
    Error al aplicar la información de seguridad a %systemdrive%\Pagefile.sys
  12. Después de restablecer los permisos NTFS, haga clic en Aceptar.
  13. Haga clic en el grupo todos , haga clic en Quitary, a continuación, haga clic en Aceptar.
  14. Abra las propiedades de la carpeta archivos de programa\Archivos comunes %systemdrive%\Program y, a continuación, haga clic en la ficha seguridad agregar la cuenta que se utiliza para el acceso anónimo. De forma predeterminada, esta es la cuenta IUSR_ < nombreEquipo >. A continuación, agregue el grupo usuarios. Asegúrese de que está seleccionada únicamente lo siguiente:
    • Leer y ejecutar
    • Enumerar contenido de carpeta
    • Lectura
  15. Abra las propiedades para el directorio raíz que incluye el contenido Web. De forma predeterminada, ésta es la carpeta de %systemdrive%\Inetpub\Wwwroot. Haga clic en la ficha seguridad , agregue la cuenta IUSR_ < nombreEquipo > y el grupo de usuarios y asegúrese de que está seleccionada únicamente lo siguiente:
    • Leer y ejecutar
    • Enumerar contenido de carpeta
    • Lectura
  16. Si desea conceder permiso NTFS de lectura para Inetpub\FTProot o la ruta del directorio para su sitio o sitios FTP, repita el paso 15. Nota: No se recomienda otorgar permisos NTFS de escritura a la cuenta anónima en cualquier directorio, incluidos los directorios utilizados por el servicio FTP usa. Esto puede producir datos innecesarios para cargarse en el servidor Web.

Deshabilitar la herencia en los directorios del sistema


Para ello, siga estos pasos:
  1. En la carpeta %systemroot%\System32, seleccione todas las carpetas excepto las siguientes:
    • Inetsrv
    • Certsrv (si existe)
    • COM
  2. Haga clic en las demás carpetas, haga clic en Propiedadesy, a continuación, haga clic en la ficha seguridad .
  3. Haga clic para desactivar la casilla de verificación Permitir que los permisos heredables de un objeto , haga clic en Copiary, a continuación, haga clic en Aceptar.
  4. En la carpeta % systemroot %, seleccione todas las carpetas excepto las siguientes:
    • Assembly (si existe)
    • Archivos de programa descargados
    • Ayuda
    • Microsoft.NET (si existe)
    • Páginas Web sin conexión
    • System32
    • Tareas
    • TEMP
    • Web
  5. Haga clic en las demás carpetas, haga clic en Propiedadesy, a continuación, haga clic en la ficha seguridad .
  6. Haga clic para desactivar la casilla de verificación Permitir que los permisos heredables de un objeto , haga clic en Copiary, a continuación, haga clic en Aceptar.
  7. Aplicar permisos a la siguiente:
    1. Abra las propiedades de la carpeta % systemroot %, haga clic en la ficha seguridad , agregue las cuentas IUSR_ < nombreEquipo > y IWAM_ < nombreEquipo > y el grupo de usuarios y asegúrese de que solamente sean seleccionado:
      • Leer y ejecutar
      • Enumerar contenido de carpeta
      • Lectura
    2. Abra las propiedades de la carpeta %systemroot%\Temp, seleccione la cuenta IUSR_ < nombreEquipo > (esta cuenta ya está presente porque se hereda de la carpeta Winnt) y, a continuación, haga clic para seleccionar la casilla de verificación Modificar . Repita este paso para la cuenta IWAM_ < nombreEquipo > y el Grupo de usuarios .
    3. Si clientes de extensiones de servidor de FrontPage como FrontPage o Microsoft Visual InterDev están siendo utilizados, abra las propiedades de la carpeta %systemdrive%\Inetpub\Wwwroot, seleccione el grupo de Usuarios autenticados , seleccione lo siguiente y, a continuación, haga clic en Aceptar de :
      • Modificar
      • Leer y ejecutar
      • Enumerar contenido de carpeta
      • Lectura
      • Escritura

Permisos de NTFS


En la tabla siguiente se enumera los permisos que se aplicarán cuando siga los pasos descritos en la sección "Deshabilitar la herencia en los directorios del sistema". Esta tabla es sólo para referencia.Para aplicar los permisos en la tabla siguiente, siga estos pasos:
  1. Abra el Explorador de Windows. Para ello, haga clic en Inicio, haga clic en programas, haga clic en Accesoriosy, a continuación, haga clic en Explorador de Windows.
  2. Expanda Mi PC.
  3. Haga clic derecho en la carpeta % systemroot %y, a continuación, haga clic en Propiedades.
  4. Haga clic en la ficha seguridad y, a continuación, haga clic en Avanzadas.
  5. Haga doble clic en permisosy, a continuación, seleccione la configuración apropiada de la lista Aplicar a .
Nota: Columna en el "aplicar a", el término que predeterminado se refiere a "Esta carpeta, subcarpetas y archivos."
Directorio Users\Groups Permisos Aplicar a
%systemroot%\ (c:\winnt) Administrador de Control total Valor predeterminado
  Sistema Control total Valor predeterminado
  Usuarios Leer, ejecutar Valor predeterminado
%systemroot%\system32 Administradores Control total Valor predeterminado
  Sistema Control total Valor predeterminado
  Usuarios Leer, ejecutar Valor predeterminado
%systemroot%\system32\inetsrv Administradores Control total Valor predeterminado
  Sistema Control total Valor predeterminado
  Usuarios Leer, ejecutar Valor predeterminado
Inetpub\adminscripts Administradores Control total Valor predeterminado
Inetpub\urlscan (si está presente) está Administradores Control total Valor predeterminado
  Sistema Control total Valor predeterminado
%systemroot%\system32\inetsrv\metaback Administradores Control total Valor predeterminado
  Sistema Control total Valor predeterminado
%systemroot%\help\iishelp\common Administradores Control total Esta carpeta y archivos
  Sistema Control total Esta carpeta y archivos
  IWAM_<Machinename> Leer, ejecutar Esta carpeta y archivos
  Red Control total Esta carpeta y archivos
  Servicio   Esta carpeta y archivos
  Usuarios Leer, ejecutar Esta carpeta y archivos
Inetpub\wwwroot (o directorios de contenido) Administradores Control total Esta carpeta y archivos
  Sistema Control total Esta carpeta y archivos
  IWAM_<MachineName> Leer, ejecutar Esta carpeta y archivos
  Servicio Leer, ejecutar Esta carpeta y archivos
  Red Leer, ejecutar Esta carpeta y archivos
Optional**: Usuarios Leer, ejecutar Esta carpeta y archivos
Nota: Si está utilizando las extensiones de servidor de FrontPage, los usuarios autenticados o el grupo de usuarios debe tener el permiso NTFS de cambio para crear, cambiar el nombre, escribir o para proporcionar la funcionalidad que un programador puede tener de un tipo FrontPage de cliente, como Visual InterDev 6.0 o FrontPage 2002.

Conceder permisos en el registro


  1. Haga clic en Inicio, haga clic en Ejecutar, escriba regedt32y, a continuación, haga clic en Aceptar. No utilice el Editor del registro porque no le permite cambiar los permisos en Windows 2000.
  2. En el Editor del registro, busque y seleccione HKEY_LOCAL_MACHINE.
  3. Expanda sistema, expanda CurrentControlSety, a continuación, expanda Servicios.
  4. Seleccione la clave IISADMIN , haga clic en seguridad (o presione ALT+S) y, a continuación, seleccione Permisos (o presione P).
  5. Haga clic para desactivar la casilla de verificación Permitir que los permisos heredables del primario se propaguen a este objeto , haga clic en Copiary, a continuación, quite todos los usuarios excepto:
    • Administradores (Permitir lectura y Control total)
    • Sistema (Permitir lectura y Control total)
  6. Haga clic en Aceptar.
  7. Repita los pasos para la clave MSFTPSVC .
  8. Seleccione la clave W3SVC , haga clic en seguridady, a continuación, haga clic en permisos.
  9. Haga clic para desactivar la casilla de verificación Permitir que los permisos heredables del primario se propaguen a este objeto y, a continuación, quite todas las entradas excepto:
    • Administradores (Permitir lectura y Control total)
    • Sistema (Permitir lectura y Control total)
    • Red (lectura)
    • Servicio (lectura)
    • IWAM_ < nombreEquipo > (leer)
  10. Haga clic en Aceptar.

Registro

En la tabla siguiente se enumera los permisos que se aplicarán cuando siga los pasos descritos en la sección "Otorgar permisos en el registro". Esta tabla es sólo para referencia.Nota: El acrónimo que significa HKLM para HKEY_LOCAL_MACHINE.
Ubicación Users\Groups Permisos
HKLM\System\CurrentControlSet\Services\IISAdmin Administradores Control total
  Sistema Control total
HKLM\System\CurrentControlSet\Services\MsFtpSvc Administradores Control total
  Sistema Control total
HKLM\System\CurrentControlSet\Services\w3svc Administradores Control total
  Sistema Control total
  IWAM_<MachineName> Lectura

Otorgar derechos en la directiva de seguridad Local


  1. Haga clic en Inicio, elija configuracióny, a continuación, haga clic en Panel de Control.
  2. Haga doble clic en Herramientas administrativasy, a continuación, haga doble clic en Directiva de seguridad Local.
  3. En el cuadro de diálogo Configuración de seguridad Local , expanda Directivas localesy, a continuación, haga clic en Asignación de derechos de usuario.
  4. Modifique la directiva apropiada:
    1. Haga doble clic en la directiva.
    2. Seleccione y, a continuación, haga clic en Quitar para cualquier usuario que no se muestran en la tabla.
    3. Agregue cualquier usuario que no aparece. Para ello, haga clic en Agregary seleccione el usuario en el cuadro de diálogo Seleccionar usuarios o grupos .
Tenga en cuenta que debido a una directiva de controlador de dominio anula la directiva local, debe asegurarse de que La configuración de directiva efectiva coincide con La configuración de directiva Local.

Directivas de

En la tabla siguiente se enumera los permisos que se aplicarán cuando siga los pasos descritos en la sección "Otorgar derechos en la directiva de seguridad Local".
Directiva Usuarios
Iniciar sesión localmente Administradores
  IUSR_ < nombreEquipo > (anónimo)
  Usuarios (autenticación requerida)
Tener acceso a este equipo desde la red Administradores
  ASPNet (.NET Framework)
  IUSR_ < nombreEquipo > (anónimo)
  IWAM_<MachineName>
  Usuarios
Inicie sesión como un trabajo por lotes ASPNet
  Red
  IUSR_<MachineName>
  IWAM_<MachineName>
  Servicio
Iniciar sesión como un servicio ASPNet
  Red
Omitir comprobación de recorrido Administradores
  IUSR_ < nombreEquipo > (anónimo)
  Usuarios (básico, integrado, Digest)
  IWAM_<MachineName>

Referencias


Para obtener más información acerca de cómo restaurar los permisos NTFS predeterminados para Windows 2000, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:
266118 cómo restaurar los permisos NTFS predeterminados para Windows 2000
260985 permisos de NTFS mínimos requeridos para usar CDONTS
324068 cómo configurar en IIS permisos para objetos específicos
815153 cómo configurar permisos de archivos NTFS para la seguridad de aplicaciones ASP.NET
Para obtener más información acerca de los permisos requeridos para IIS 6.0, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
Los permisos predeterminados y derechos de usuario para IIS 6.0 812614

Más información


En este artículo no trata uno de los requisitos de seguridad específicos de las siguientes funciones de servidor o aplicaciones:
  • Controlador de dominio de Windows 2000
  • Microsoft Exchange 5.5 o Microsoft Exchange 2000 Outlook Web Access
  • Microsoft Small Business Server 2000
  • Microsoft SharePoint Portal o Team Services
  • Microsoft Commerce Server 2000 o Microsoft Commerce Server 2002
  • Microsoft BizTalk Server 2000 o Microsoft BizTalk Server 2002
  • Microsoft Content Management Server 2000 o Microsoft Content Management Server 2002
  • Microsoft Application Center 2000
  • Las aplicaciones de terceros que dependen de permisos adicionales