Cet article décrit comment définir les autorisations minimales qui sont requises pour un dédiée Internet Information Services (IIS) 5.0, IIS 5.1 ou serveur Web IIS 6.0.
La limitation pour cet article
Avertissement Cet article est uniquement valide pour les serveurs Web dédiés utilisant les fonctionnalités ISS de base, comme desservant le contenu HTML statique contenu ou simple Active Server Pages (ASP). Les exigences d’autorisation décrits dans cet article concernent uniquement les autorisations de base pour un serveur Web dédié qui exécute IIS 5. x ou IIS 6.0. Cet article ne tient pas compte des autres produits Microsoft et tiers qui peuvent nécessiter des autorisations différentes. Vous pouvez consulter la documentation du serveur et d’application pour les besoins de sécurité spécifiques. Il est recommandé que vous passez en revue les articles connexes qui sont spécifiques aux rôles de votre serveur Web.
Procédure de test avant la configuration des autorisations dans un environnement de production
Avant d’apporter des modifications d’autorisations sur un serveur Web de production, nous vous recommandons d’effectuer les étapes suivantes :
-
Exécutez la version la plus récente de l’outil IIS Lockdown. Les programmes et les services suivants ont été installés dans le cadre de la suite de tests qui a été utilisée pour tester la sécurité du serveur après l’octroi des autorisations décrites dans cet article :
-
Services d’indexation
-
Services Terminal Server
-
Débogueur de script
-
IIS
-
Fichiers communs
-
Documentation
-
Extensions serveur FrontPage 2000
-
Gestionnaire des Services Internet (HTML)
-
WWW
-
FTP
-
-
-
Effectuer les tests fonctionnels suivants :
-
Documents hypertexte (HTML)
-
Active Server Pages (ASP)
-
Extensions serveur FrontPage, telles que la connexion, la modification et l’enregistrement, si FPSE est activé alors que vous utilisez l’outil Lockdown
-
Sécuriser les connexions de Socket couches (SSL)
-
Accorder la propriété et les autorisations aux administrateurs et au système
Pour cela, procédez comme suit :
-
Ouvrez l’Explorateur Windows. Pour ce faire, cliquez sur Démarrer, pointez sur programmes, puis cliquez sur L’Explorateur Windows.
-
Développez Poste de travail.
-
Cliquez sur le lecteur système (il s’agit généralement du lecteur C), puis cliquez sur Propriétés.
-
Cliquez sur l’onglet sécurité , puis cliquez sur Avancé pour ouvrir la boîte de dialogue Paramètres de contrôle d’accès pour disque Local .
-
Cliquez sur l’onglet propriétaire , activez la case à cocher Remplacer le propriétaire des sous-conteneurs et des objets , puis cliquez sur Appliquer. Si le message d’erreur suivant s’affiche, cliquez sur Continuer:
Une erreur s’est produite l’application des informations de sécurité à %systemdrive%\Pagefile.sys
-
Si le message d’erreur suivant s’affiche, cliquez sur Oui:
Vous n’avez pas l’autorisation de lire le contenu du répertoire %systemdrive%\System Volume Information - Voulez-vous remplacer les autorisations du répertoire - seront remplacée toutes les autorisations vous accordant le contrôle total
-
Cliquez sur OK pour fermer la boîte de dialogue.
-
Cliquez sur Ajouter.
-
Ajouter les utilisateurs suivants, puis accordez-leur l’autorisation NTFS contrôle total :
-
Administrateur
-
Système
-
Créateur propriétaire
-
-
Après avoir ajouté des autorisations NTFS, cliquez sur Avancé, puis activez la case à cocher Réinitialiser les autorisations sur tous les objets enfants et permettre la propagation des autorisations pouvant être héritées , puis cliquez sur Appliquer.
-
Si le message d’erreur suivant s’affiche, cliquez sur Continuer:
Une erreur s’est produite l’application des informations de sécurité à %systemdrive%\Pagefile.sys
-
Après avoir réinitialisé les autorisations NTFS, cliquez sur OK.
-
Cliquez sur le groupe tout le monde et cliquez sur Supprimer, puis cliquez sur OK.
-
Ouvrez les propriétés pour le dossier %systemdrive%\Program Files\fichiers, puis cliquez sur l’onglet sécurité ajouter le compte qui est utilisé pour l’accès anonyme. Par défaut, il s’agit du compte IUSR_ < MachineName >. Ensuite, ajoutez le groupe utilisateurs. Assurez-vous que seuls les éléments suivants sont sélectionnés :
-
Lire & exécuter
-
Affichage du contenu du dossier
-
Lecture
-
-
Ouvrez les propriétés du répertoire racine qui détient votre contenu Web. Par défaut, il s’agit du dossier %SystemDrive%\Inetpub\Wwwroot. Cliquez sur l’onglet sécurité , ajoutez le compte IUSR_ < MachineName > et du groupe utilisateurs et assurez-vous que seuls les éléments suivants sont sélectionnés :
-
Lire & exécuter
-
Affichage du contenu du dossier
-
Lecture
-
-
Si vous souhaitez accorder l’autorisation NTFS écriture à Inetpub\FTProot ou le chemin d’accès du répertoire de votre site FTP ou les sites, répétez l’étape 15. Remarque Nous ne recommandons pas que vous accordez des autorisations NTFS écriture à des comptes anonymes dans tous les répertoires, y compris les répertoires utilisés par le service FTP utilise. Cela peut entraîner des données inutiles doivent être téléchargées sur votre serveur Web.
Désactiver l’héritage dans les répertoires système
Pour cela, procédez comme suit :
-
Dans le dossier %systemroot%\System32, sélectionnez tous les dossiers hormis les suivants :
-
Inetsrv
-
Certsrv (si présent)
-
COM
-
-
Cliquez sur les dossiers restants et cliquez sur Propriétés, puis cliquez sur l’onglet sécurité .
-
Cliquez sur pour effacer la case à cocher permettre aux autorisations pouvant être héritées , cliquez sur Copier, puis cliquez sur OK.
-
Dans le dossier % SystemRoot%, sélectionnez tous les dossiers hormis les suivants :
-
Assembly (si présent)
-
Fichiers programmes téléchargés
-
Aide
-
Microsoft.NET (si présent)
-
Pages Web hors connexion
-
System32
-
Tâches
-
TEMP
-
Web
-
-
Cliquez sur les dossiers restants et cliquez sur Propriétés, puis cliquez sur l’onglet sécurité .
-
Cliquez sur pour effacer la case à cocher permettre aux autorisations pouvant être héritées , cliquez sur Copier, puis cliquez sur OK.
-
Appliquer des autorisations à ce qui suit :
-
Ouvrez les propriétés pour le dossier % SystemRoot%, cliquez sur l’onglet sécurité , ajoutez les comptes IUSR_ < MachineName > et IWAM_ < nomordinateur > et du groupe utilisateurs et puis assurez-vous que seuls les éléments suivants sont sélectionné :
-
Lire & exécuter
-
Affichage du contenu du dossier
-
Lecture
-
-
Ouvrez les propriétés pour le dossier %systemroot%\Temp, sélectionnez le compte IUSR_ < MachineName > (ce compte est déjà présent car il hérite du dossier Winnt), puis cliquez sur pour sélectionner la case à cocher Modifier . Répétez cette étape pour le compte IWAM_ < MachineName > et Groupe d’utilisateurs .
-
Si FrontPage Server Extension Clients comme FrontPage ou Microsoft Visual InterDev sont utilisés, ouvrez les propriétés pour le dossier %SystemDrive%\Inetpub\Wwwroot, sélectionnez le groupe Utilisateurs authentifiés , sélectionnez ce qui suit, puis cliquez sur OK :
-
Modifier
-
Lire & exécuter
-
Affichage du contenu du dossier
-
Lecture
-
Écriture
-
-
Autorisations NTFS
Le tableau suivant répertorie les autorisations qui seront appliquées lorsque vous suivez les étapes décrites dans la section « Désactivation de l’héritage dans des répertoires système ». Cette table est uniquement pour référence. Pour appliquer les autorisations dans le tableau suivant, procédez comme suit :
-
Ouvrez l’Explorateur Windows. Pour ce faire, cliquez sur Démarrer, sur programmes, sur Accessoires, puis cliquez sur Explorateur Windows.
-
Développez Poste de travail.
-
Cliquez droit sur le dossier % racine_système %, puis cliquez sur Propriétés.
-
Cliquez sur l’onglet sécurité , puis cliquez sur Avancé.
-
Double-cliquez sur autorisation, puis sélectionnez le paramètre approprié dans la liste Appliquer à .
Remarque Dans le « colonne appliquer à », le terme par défaut fait référence à « Ce dossier, les sous-dossiers et les fichiers. »
Répertoire |
Users\Groups |
Autorisations |
S’applique à |
---|---|---|---|
%systemroot%\ (c:\winnt) |
Administrateur |
Contrôle total |
Valeur par défaut |
Système |
Contrôle total |
Valeur par défaut |
|
Utilisateurs |
Lecture, exécution |
Valeur par défaut |
|
%systemroot%\system32 |
Administrateurs |
Contrôle total |
Valeur par défaut |
Système |
Contrôle total |
Valeur par défaut |
|
Utilisateurs |
Lecture, exécution |
Valeur par défaut |
|
%systemroot%\system32\inetsrv |
Administrateurs |
Contrôle total |
Valeur par défaut |
Système |
Contrôle total |
Valeur par défaut |
|
Utilisateurs |
Lecture, exécution |
Valeur par défaut |
|
Inetpub\adminscripts |
Administrateurs |
Contrôle total |
Valeur par défaut |
Inetpub\urlscan (si présent) |
Administrateurs |
Contrôle total |
Valeur par défaut |
Système |
Contrôle total |
Valeur par défaut |
|
%systemroot%\system32\inetsrv\metaback |
Administrateurs |
Contrôle total |
Valeur par défaut |
Système |
Contrôle total |
Valeur par défaut |
|
%systemroot%\help\iishelp\common |
Administrateurs |
Contrôle total |
Ce dossier et les fichiers |
Système |
Contrôle total |
Ce dossier et les fichiers |
|
IWAM_<Machinename> |
Lecture, exécution |
Ce dossier et les fichiers |
|
Réseau |
Contrôle total |
Ce dossier et les fichiers |
|
Service |
Ce dossier et les fichiers |
||
Utilisateurs |
Lecture, exécution |
Ce dossier et les fichiers |
|
Inetpub\wwwroot (ou répertoires de contenu) |
Administrateurs |
Contrôle total |
Ce dossier et les fichiers |
Système |
Contrôle total |
Ce dossier et les fichiers |
|
IWAM_<MachineName> |
Lecture, exécution |
Ce dossier et les fichiers |
|
Service |
Lecture, exécution |
Ce dossier et les fichiers |
|
Réseau |
Lecture, exécution |
Ce dossier et les fichiers |
|
Optional**: |
Utilisateurs |
Lecture, exécution |
Ce dossier et les fichiers |
Remarque Si vous utilisez les Extensions serveur FrontPage, les utilisateurs authentifiés ou le groupe d’utilisateurs doit avoir l’autorisation NTFS modification pour créer, renommer, écrire ou pour fournir la fonctionnalité dont un développeur pourrait avoir besoin à partir d’un client de type FrontPage, comme Visual InterDev 6.0 ou FrontPage 2002.
Accorder des autorisations dans le Registre
-
Cliquez sur Démarrer, sur exécuter, tapez regedt32, puis cliquez sur OK. N’utilisez pas l’Éditeur du Registre, car il ne vous permet pas de modifier les autorisations dans Windows 2000.
-
Dans l’Éditeur du Registre, recherchez et sélectionnez HKEY_LOCAL_MACHINE.
-
Développez système, développez CurrentControlSetet puis cliquez sur Services.
-
Sélectionnez la clé IISADMIN , cliquez sur sécurité (ou appuyez sur ALT + S), puis sélectionnez Autorisations (ou appuyez sur P).
-
Cliquez pour désactiver la case à cocher permettre aux autorisations pouvant être héritées du parent d’être propagées à cet objet et cliquez sur Copier, puis supprimez tous les utilisateurs , à l’exception:
-
Administrateurs (lecture et contrôle total autorisés)
-
Système (lecture et contrôle total autorisés)
-
-
Cliquez sur OK.
-
Répétez les étapes pour la clé MSFTPSVC .
-
Sélectionnez la clé W3SVC et cliquez sur sécurité, puis cliquez sur autorisations.
-
Désactivez la case à cocher permettre aux autorisations pouvant être héritées du parent d’être propagées à cet objet et supprimez toutes les entrées , à l’exception:
-
Administrateurs (lecture et contrôle total autorisés)
-
Système (lecture et contrôle total autorisés)
-
Réseau (lecture)
-
Service (lecture)
-
IWAM_ < nomordinateur > (lecture)
-
-
Cliquez sur OK.
Registre
Le tableau suivant répertorie les autorisations qui seront appliquées lorsque vous suivez les étapes décrites dans la section « Octroi d’autorisations dans le Registre ». Cette table est uniquement pour référence. Remarque L’acronyme HKLM signifie HKEY_LOCAL_MACHINE.
Location |
Users\Groups |
Autorisations |
---|---|---|
HKLM\System\CurrentControlSet\Services\IISAdmin |
Administrateurs |
Contrôle total |
Système |
Contrôle total |
|
HKLM\System\CurrentControlSet\Services\MsFtpSvc |
Administrateurs |
Contrôle total |
Système |
Contrôle total |
|
HKLM\System\CurrentControlSet\Services\w3svc |
Administrateurs |
Contrôle total |
Système |
Contrôle total |
|
IWAM_<MachineName> |
Lecture |
Octroi de droits dans la stratégie de sécurité locale
-
Cliquez sur Démarrer, cliquez sur paramètres, puis cliquez sur Panneau de configuration.
-
Double-cliquez sur Outils d’administration, puis double-cliquez sur Stratégie de sécurité locale.
-
Dans la boîte de dialogue Paramètres de sécurité locaux , développez Stratégies locales, puis cliquez sur Attribution des droits utilisateur.
-
Modifiez la stratégie appropriée :
-
Double-cliquez sur la stratégie.
-
Sélectionnez, puis cliquez sur Supprimer pour un utilisateur non répertorié dans le tableau.
-
Ajoutez tout utilisateur qui n’est pas répertorié. Pour ce faire, cliquez sur Ajouteret sélectionnez l’utilisateur dans la boîte de dialogue Sélectionnez utilisateurs ou groupes .
-
Notez que dans la mesure où une stratégie de contrôleur de domaine remplace la stratégie locale, vous devez vous assurer que les Paramètres de stratégie effectif correspond à Paramètre de stratégie locale.
Stratégies de
Le tableau suivant répertorie les autorisations qui seront appliquées lorsque vous suivez les étapes décrites dans la section « Octroi de droits dans la stratégie de sécurité locale ».
Politique |
Utilisateurs |
---|---|
Ouvrir une session localement |
Administrateurs |
IUSR_ < MachineName > (anonyme) |
|
Utilisateurs (authentification requise) |
|
Accéder à cet ordinateur à partir du réseau |
Administrateurs |
ASPNet (.NET Framework) |
|
IUSR_ < MachineName > (anonyme) |
|
IWAM_<MachineName> |
|
Utilisateurs |
|
Ouvrez une session en tant que traitement par lots |
ASPNet |
Réseau |
|
IUSR_<MachineName> |
|
IWAM_<MachineName> |
|
Service |
|
Ouverture de session en tant que Service |
ASPNet |
Réseau |
|
Outrepasser le contrôle de |
Administrateurs |
IUSR_ < MachineName > (anonyme) |
|
Utilisateurs (Basic, intégré, Digest) |
|
IWAM_<MachineName> |
Références
Pour plus d’informations sur la façon de restaurer les autorisations NTFS par défaut pour Windows 2000, cliquez sur les numéros ci-dessous pour afficher les articles correspondants dans la Base de connaissances Microsoft :
266118 comment restaurer les autorisations NTFS par défaut pour Windows 2000
260985 les autorisations NTFS minimales requises pour utiliser CDONTS
324068 comment définir des autorisations pour des objets spécifiques
815153 comment configurer les autorisations de fichiers NTFS pour la sécurité des applications d’ASP.NET Pour plus d’informations sur les autorisations requises pour IIS 6.0, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :
Les autorisations par défaut et les droits d’utilisateur pour IIS 6.0 812614
Informations supplémentaires
Cet article ne traite pas de l’une des exigences de sécurité spécifiques des applications ou les rôles de serveur suivants :
-
Contrôleur de domaine Windows 2000
-
Microsoft Exchange 5.5 ou Microsoft Exchange 2000 Outlook Web Access
-
Microsoft Small Business Server 2000
-
Microsoft SharePoint Portal ou Team Services
-
Microsoft Commerce Server 2000 ou Microsoft Commerce Server 2002
-
Microsoft BizTalk Server 2000 ou Microsoft BizTalk Server 2002
-
Microsoft Content Management Server 2000 ou Microsoft Content Management Server 2002
-
Microsoft Application Center 2000
-
Les applications tierces qui dépendent d’autorisations supplémentaires