Minimaalne NTFS-i õiguste ja kasutajaõiguste seadistamine IIS 5.x või IIS 6.0

Selles artiklis kirjeldatakse, kuidas määrata minimaalsed õigused, mis on vajalikud spetsiaalne Internet Information Services (IIS) 5.0, IIS 5.1 või IIS 6.0 veebiserveri.

See artikkel kehtib

Hoiatus! See artikkel kehtib ainult pühendatud Web servereid, mida kasutada IIS-i põhifunktsioone, nagu teenivad HTML staatilise sisu või lihtne Active Server Pages (ASP) sisu. Õiguse nõuded, mida selles artiklis kirjeldatud on vaid põhilisi õigusi spetsiaalne Web server, kus töötab IIS 5. x või IIS 6.0. See artikkel ei pea muud Microsofti ja kolmanda osapoole teistsuguste õigustega nõudvaid. Saate vaadata konkreetse turvanõuetele server ja rakenduse dokumentatsioonist. Soovitame teil läbi seotud artiklid Web server roles käivad.

Testimise astet enne õiguste konfiguratsioonide tootmiskeskkonnas

Enne muutmisi tootmise veebiserveris, soovitame teha järgmist:

  1. Käivitage IIS Lockdown tööriista värskeimat versiooni. Järgmised programmid ja teenused installiti test suite, kust test serveri turvalisuse pärast käesolevas artiklis kirjeldatud õiguste andmine osana:

    • Indeksi teenused

    • Terminaliteenused

    • Skriptisiluri

    • IIS-I

      • Common Files

      • Dokumentatsioon

      • FrontPage'i serverilaiendid 2000

      • Internet Services Manager (HTML)

      • WWW

      • FTP

  2. Funktsionaalne järgmised katsed sooritada.

    • Hüperteksti dokumendid (HTML)

    • Active Server Pages (ASP)

    • FrontPage Server Extensions, nt ühenduse loomine, redigeerimine ja salvestamine FPSE lubamisel Lockdown tööriista kasutamisel

    • Secure Socket kihti (SSL) Connections

Grant omandiõigus ja õiguste administraator ja süsteemi

Selleks toimige järgmiselt.

  1. Avage Windows Explorer. Selleks klõpsake nuppu Start, käsku programmidja klõpsake Windows Explorer.

  2. Laienda minu arvuti.

  3. Paremklõpsake draivi, kuhu (see on tavaliselt C-draiv) ja seejärel suvandil Atribuudid.

  4. Klõpsake vahekaarti Turvalisus ja klõpsake Täpsemalt avada dialoogiboksi Accessi kontrolli sätted kohalikule kettale .

  5. Klõpsake vahekaarti omanik , märkige Sub ümbrised ja objektide omanik Asenda ruut ja klõpsake nuppu Rakenda. Kui kuvatakse järgmine tõrketeade, klõpsake nuppu Jätka:

    Ilmnes tõrge %systemdrive%\Pagefile.sys teavet rakendamine

  6. Kui kuvatakse järgmine tõrketeade, klõpsake nuppu Jah:

    Teil pole õigust lugeda sisu directory %systemdrive%\System Volume Information - kas soovite asendada kataloogi luba - kõik õigused olema asendatud võimaldab teil täielik kontroll

  7. Klõpsake nuppu OK , et sulgeda dialoogiboks.

  8. Klõpsake nuppu Lisa.

  9. Järgmisi kasutajaid lisada, ja seejärel täielik kontroll NTFS-failisüsteemi õigused:

    • Administraatori

    • Süsteemi

    • Looja omanik

  10. Pärast nende NTFS õigused lisamist klõpsake Täpsemalt, märkige ruut Lähtesta kõigi tütarobjektide õigused ja luba päritavate õiguste ja seejärel klõpsake nuppu Rakenda.

  11. Kui kuvatakse järgmine tõrketeade, klõpsake nuppu Jätka:

    Ilmnes tõrge %systemdrive%\Pagefile.sys teavet rakendamine

  12. Pärast lähtestamist on NTFS-failisüsteemi õigused, klõpsake nuppu OK.

  13. Kõik rühma nuppu Eemaldaning seejärel klõpsake nuppu OK.

  14. Avage %systemdrive%\Program Files\Common Files kausta atribuudid ja seejärel vahekaarti Turvalisus Lisa konto, mida kasutatakse anonüümse juurdepääsu. Vaikimisi on see IUSR_ < MachineName > konto. Seejärel lisage rühmale kasutajad. Veenduge, et ainult järgmised valitud:

    • Lugemis- ja täitmisõigus

    • Kausta sisu loendamine

    • Read

  15. Avage juurkataloog, mis hoiab teie veebisaidi sisu atribuudid. Vaikimisi on %systemdrive%\Inetpub\Wwwroot kaust. Klõpsake vahekaarti Turvalisus , lisada IUSR_ < MachineName > konto ja kasutajate rühma ja veenduge, et ainult järgmised valitud:

    • Lugemis- ja täitmisõigus

    • Kausta sisu loendamine

    • Read

  16. Kui soovite kirjutada NTFS õigused forInetpub\FTProot või FTP-saidi või saite kausta tee, korrake 15. Märkus. Me ei soovita, et annate NTFS kirjutage õigused kõik kataloogid, sealhulgas kasutatavate FTP-teenus kasutab anonüümse konto. See võib põhjustada tarbetute andmete üleslaadimist teie veebiserveris.

Keela pärimise süsteemikaustad

Selleks toimige järgmiselt.

  1. Valige kausta %systemroot%\System32 kõik kaustad peale järgmist:

    • Inetsrv

    • Certsrv (kui see on olemas)

    • COM

  2. Paremklõpsake ülejäänud kaustu, klõpsake nuppu Atribuudidja seejärel vahekaarti Turvalisus .

  3. Klõpsake märkeruudu Luba päritavad õigused , klõpsake Kopeerija seejärel klõpsake nuppu OK.

  4. Kausta % systemroot % valige kõik kaustad peale järgmist:

    • Komplekti (olemasolul)

    • Allalaaditud programmifailide

    • Abi

    • Microsoft.NET (olemasolul)

    • Ühenduseta veebilehed

    • System32

    • Ülesanded

    • Temp

    • Veebi

  5. Paremklõpsake ülejäänud kaustu, klõpsake nuppu Atribuudidja seejärel vahekaarti Turvalisus .

  6. Klõpsake märkeruudu Luba päritavad õigused , klõpsake Kopeerija seejärel klõpsake nuppu OK.

  7. Õigused rakenduvad järgmised:

    1. Avage kausta % systemroot % atribuudid, vahekaarti Turvalisus , lisada < MachineName > IUSR_ ja IWAM_ < MachineName > kontod ja kasutajate rühma ja veenduge, et ainult allpool on toodud valitud:

      • Lugemis- ja täitmisõigus

      • Kausta sisu loendamine

      • Read

    2. Avatud %systemroot%\Temp kausta atribuudid, valige IUSR_ < MachineName > konto (konto on juba olemas sest ta pärib kausta Winnt) ja märkige ruut Muuda . Korrake seda juhist < MachineName > IWAM_ konto ja Kasutajate rühma.

    3. Kui FrontPage Server laiendiga klientide nagu FrontPage või Microsoft Visual InterDev kasutada avatud %systemdrive%\Inetpub\Wwwroot kausta atribuudid, valige Autenditud kasutajate rühmale, valige järgmine ja klõpsake OK :

      • Muuta

      • Lugemis- ja täitmisõigus

      • Kausta sisu loendamine

      • Read

      • Kirjutage

NTFS-failisüsteemi õigused

Järgnevas tabelis on loetletud õiguste kohta, mida rakendatakse, kui te järgige jaotises "Keela pärilus süsteemikaustad". Seda tabelit saab kasutada üksnes viitamiseks. Järgmises tabelis õiguste rakendamist toimige järgmiselt.

  1. Avage Windows Explorer. Selleks klõpsake nuppu Start, käsku programmid, tarvikudja klõpsake Windows Exploreris.

  2. Laienda minu arvuti.

  3. Paremklõpsake % systemroot %ning seejärel klõpsake nuppu Atribuudid.

  4. Klõpsake vahekaarti Turvalisus ja klõpsake nuppu.

  5. Topeltklõpsake õigusja seejärel valige sobiv seade loendist Rakendada peale .

Märkus. Loendis on "suhtes" veerus, termin vaikimisi hõlmab "See kaust, alamkaustad ja failid."

Kataloog

Users\Groups

Õigused

Kehtivad

%systemroot%\ (c:\winnt)

Administraatori

Täielik kasutusõigus

Vaikimisi

Süsteemi

Täielik kasutusõigus

Vaikimisi

Kasutajatele

Lugeda, täita

Vaikimisi

%systemroot%\system32

Administraatorid

Täielik kasutusõigus

Vaikimisi

Süsteemi

Täielik kasutusõigus

Vaikimisi

Kasutajatele

Lugeda, täita

Vaikimisi

%systemroot%\system32\inetsrv

Administraatorid

Täielik kasutusõigus

Vaikimisi

Süsteemi

Täielik kasutusõigus

Vaikimisi

Kasutajatele

Lugeda, täita

Vaikimisi

Inetpub\adminscripts

Administraatorid

Täielik kasutusõigus

Vaikimisi

Inetpub\urlscan (kui see on olemas)

Administraatorid

Täielik kasutusõigus

Vaikimisi

Süsteemi

Täielik kasutusõigus

Vaikimisi

%systemroot%\system32\inetsrv\metaback

Administraatorid

Täielik kasutusõigus

Vaikimisi

Süsteemi

Täielik kasutusõigus

Vaikimisi

%systemroot%\help\iishelp\common

Administraatorid

Täielik kasutusõigus

See kaust ja failid

Süsteemi

Täielik kasutusõigus

See kaust ja failid

IWAM_<Machinename>

Lugeda, täita

See kaust ja failid

Võrk

Täielik kasutusõigus

See kaust ja failid

Teenus

See kaust ja failid

Kasutajatele

Lugeda, täita

See kaust ja failid

Inetpub\wwwroot (või sisukataloogid)

Administraatorid

Täielik kasutusõigus

See kaust ja failid

Süsteemi

Täielik kasutusõigus

See kaust ja failid

IWAM_<MachineName>

Lugeda, täita

See kaust ja failid

Teenus

Lugeda, täita

See kaust ja failid

Võrk

Lugeda, täita

See kaust ja failid

Optional**:

Kasutajatele

Lugeda, täita

See kaust ja failid

Märkus. FrontPage Server Extensions kasutamisel autenditud kasutajad või kasutajate rühma peab olema muutus NTFS õigus luua, ümber nimetada, kirjutada või pakkuda funktsioone, mida arendaja võib-olla on FrontPage-tüüpi klient, nagu näiteks Visual InterDev 6.0 või FrontPage 2002.

Andke õigused registri

  1. Klõpsake nuppu Start, käsku Käivita, tippige regedt32ja klõpsake nuppu OK. Kasutage registriredaktorit, sest see ei lase teil muuta permissions opsüsteemis Windows 2000.

  2. Registriredaktoris otsige üles ja valige HKEY_LOCAL_MACHINE.

  3. Laiendage üksust System, laiendage üksust CurrentControlSetja seejärel laiendage teenused.

  4. Valige võtme IISADMIN , klõpsake nuppu Turvalisus (või vajutage klahvikombinatsiooni ALT + S), ja seejärel valige Õigused (või vajutage klahvi P).

  5. Klõpsake märkeruudu Luba päritavate õiguste emaüksuselt tütarobjektidele selle objekti , klõpsake nuppu Kopeerija seejärel eemaldage kõik kasutajad välja arvatud:

    • Administraatorid (võimaldab lugeda ja täielik kontroll)

    • Süsteem (võimaldab lugeda ja täielik kontroll)

  6. Klõpsake nuppu OK.

  7. Korrake samme MSFTPSVCvõti .

  8. Valige W3SVC võti, klõpsake nuppu Turvalisusja seejärel käsku õiguste.

  9. Tühjendage ruut Luba päritavate õiguste emaüksuselt tütarobjektidele selle objekti ja seejärel eemaldage kõik kirjed peale:

    • Administraatorid (võimaldab lugeda ja täielik kontroll)

    • Süsteem (võimaldab lugeda ja täielik kontroll)

    • Võrk (Loe)

    • Teenus (Loe)

    • IWAM_ < MachineName > (Loe)

  10. Klõpsake nuppu OK.

Registri

Järgnevas tabelis on loetletud õiguste kohta, mida rakendatakse, kui te järgige juhiseid jaotises "Registri õiguste andmine". Seda tabelit saab kasutada üksnes viitamiseks. Märkus. Lühendit HKLM tähistab HKEY_LOCAL_MACHINE.

Asukoht

Users\Groups

Õigused

HKLM\System\CurrentControlSet\Services\IISAdmin

Administraatorid

Täielik kasutusõigus

Süsteemi

Täielik kasutusõigus

HKLM\System\CurrentControlSet\Services\MsFtpSvc

Administraatorid

Täielik kasutusõigus

Süsteemi

Täielik kasutusõigus

HKLM\System\CurrentControlSet\Services\w3svc

Administraatorid

Täielik kasutusõigus

Süsteemi

Täielik kasutusõigus

IWAM_<MachineName>

Read

Grant õiguste Kohalik turvapoliitika

  1. Klõpsake nuppu Start, klõpsake suvandit sättedja klõpsake Juhtpaneel.

  2. Topeltklõpsake Haldusriistad, ja seejärel topeltklõpsake Kohalik turvapoliitika.

  3. Kohalikud turvasätted dialoogiboksis, laiendage Kohalikud poliitikadja klõpsake Kasutaja õiguste määramine.

  4. Sobiv poliitika muutmiseks toimige järgmiselt.

    1. Topeltklõpsake poliitikat.

    2. Valige ja klõpsake nuppu Eemalda kasutaja, kes on tabelis loetletud ei ole .

    3. Lisa kasutaja, kes ei ole. Selleks klõpsake Lisamineja seejärel valige kasutaja dialoogiboksis kasutajate või rühmade valimine .

Pange tähele, sest domeeni kontrolleri poliitika alistab kohaliku poliitika, tuleb veenduda, et Tõhus Poliitikasätte kattub Kohaliku Poliitikasätte.

Poliitika

Järgnevas tabelis on loetletud õiguste kohta, mida rakendatakse, kui te järgige juhiseid jaotises "Grant õiguste Kohalik turvapoliitika".

Poliitika

Kasutajatele

Logib end kohalikult

Administraatorid

IUSR_ < MachineName > (anonüümne)

Kasutajad (vajalik autentimine)

Juurdepääs sellele arvutile võrgust

Administraatorid

ASPNet (.NET Framework)

IUSR_ < MachineName > (anonüümne)

IWAM_<MachineName>

Kasutajatele

Pakett-tööna sisselogimine

ASPNet

Võrk

IUSR_<MachineName>

IWAM_<MachineName>

Teenus

Teenusena sisselogimine

ASPNet

Võrk

Ära kasuta ristkontrollimist

Administraatorid

IUSR_ < MachineName > (anonüümne)

Kasutajad (tavaline, integreeritud Digest)

IWAM_<MachineName>

Viited

Kuidas taastada default NTFS õigused Windows 2000 kohta lisateabe saamiseks klõpsake Microsofti teabebaasi (Knowledge Base) artiklite kuvamiseks järgmisi artiklinumbreid:

266118 kuidas taastada default NTFS õigused Windows 2000

260985 minimaalne NTFS õigused kasutama CDONTS

324068 kuidas IIS-i õiguste kindlate objektide jaoks

815153 kuidas konfigureerida NTFS faili õigusi turvalisuse ASP.net-i rakendused IIS 6.0 vajalike õiguste kohta lisateabe saamiseks klõpsake Microsofti teabebaasi (Knowledge Base) artikli kuvamiseks järgmist artiklinumbrit:

812614 Vaikeõigused ja -kasutajaõigused rakenduses IIS 6.0

Lisateave

Käesolevas artiklis ei käsitleta mõne serveri rollid või rakendusi kindlasse turvatsooni nõuetele:

  • Windows 2000 domeenikontroller

  • Microsoft Exchange 5.5 või Microsoft Exchange 2000 Outlook Web Access

  • Microsoft Small Business Server 2000

  • Team Services või Microsoft SharePoint Portal

  • Microsoft Commerce Server 2000 või Microsoft Commerce Server 2002

  • Microsoft BizTalk Server 2000 või Microsoft BizTalk Server 2002

  • Microsoft Content Management Server 2000 või Microsoft Content Management Server 2002

  • Microsoft Application Center 2000

  • Kolmanda osapoole rakendused, mis sõltuvad täiendavaid õigusi

Kas vajate veel abi?

Täiendage oma oskusi
Tutvuge koolitusmaterjalidega
Kasutage uusi funktsioone enne teisi
Liitu Microsofti Insideri programmis osalejad

Kas sellest teabest oli abi?

Täname tagasiside eest!

Täname tagasiside eest! Tundub, et võiksime teid kokku viia ühega meie Office'i tugiagentidest, kes aitab teil probleemi lahendada.

×