Comment définir des autorisations NTFS minimales et des droits utilisateur pour IIS 5.x ou IIS 6.0

Cet article décrit comment définir les autorisations minimales qui sont requises pour un dédiée Internet Information Services (IIS) 5.0, IIS 5.1 ou serveur Web IIS 6.0.

La limitation pour cet article

Avertissement Cet article est uniquement valide pour les serveurs Web dédiés utilisant les fonctionnalités ISS de base, comme desservant le contenu HTML statique contenu ou simple Active Server Pages (ASP). Les exigences d’autorisation décrits dans cet article concernent uniquement les autorisations de base pour un serveur Web dédié qui exécute IIS 5. x ou IIS 6.0. Cet article ne tient pas compte des autres produits Microsoft et tiers qui peuvent nécessiter des autorisations différentes. Vous pouvez consulter la documentation du serveur et d’application pour les besoins de sécurité spécifiques. Il est recommandé que vous passez en revue les articles connexes qui sont spécifiques aux rôles de votre serveur Web.

Procédure de test avant la configuration des autorisations dans un environnement de production

Avant d’apporter des modifications d’autorisations sur un serveur Web de production, nous vous recommandons d’effectuer les étapes suivantes :

  1. Exécutez la version la plus récente de l’outil IIS Lockdown. Les programmes et les services suivants ont été installés dans le cadre de la suite de tests qui a été utilisée pour tester la sécurité du serveur après l’octroi des autorisations décrites dans cet article :

    • Services d’indexation

    • Services Terminal Server

    • Débogueur de script

    • IIS

      • Fichiers communs

      • Documentation

      • Extensions serveur FrontPage 2000

      • Gestionnaire des Services Internet (HTML)

      • WWW

      • FTP

  2. Effectuer les tests fonctionnels suivants :

    • Documents hypertexte (HTML)

    • Active Server Pages (ASP)

    • Extensions serveur FrontPage, telles que la connexion, la modification et l’enregistrement, si FPSE est activé alors que vous utilisez l’outil Lockdown

    • Sécuriser les connexions de Socket couches (SSL)

Accorder la propriété et les autorisations aux administrateurs et au système

Pour cela, procédez comme suit :

  1. Ouvrez l’Explorateur Windows. Pour ce faire, cliquez sur Démarrer, pointez sur programmes, puis cliquez sur L’Explorateur Windows.

  2. Développez Poste de travail.

  3. Cliquez sur le lecteur système (il s’agit généralement du lecteur C), puis cliquez sur Propriétés.

  4. Cliquez sur l’onglet sécurité , puis cliquez sur Avancé pour ouvrir la boîte de dialogue Paramètres de contrôle d’accès pour disque Local .

  5. Cliquez sur l’onglet propriétaire , activez la case à cocher Remplacer le propriétaire des sous-conteneurs et des objets , puis cliquez sur Appliquer. Si le message d’erreur suivant s’affiche, cliquez sur Continuer:

    Une erreur s’est produite l’application des informations de sécurité à %systemdrive%\Pagefile.sys

  6. Si le message d’erreur suivant s’affiche, cliquez sur Oui:

    Vous n’avez pas l’autorisation de lire le contenu du répertoire %systemdrive%\System Volume Information - Voulez-vous remplacer les autorisations du répertoire - seront remplacée toutes les autorisations vous accordant le contrôle total

  7. Cliquez sur OK pour fermer la boîte de dialogue.

  8. Cliquez sur Ajouter.

  9. Ajouter les utilisateurs suivants, puis accordez-leur l’autorisation NTFS contrôle total :

    • Administrateur

    • Système

    • Créateur propriétaire

  10. Après avoir ajouté des autorisations NTFS, cliquez sur Avancé, puis activez la case à cocher Réinitialiser les autorisations sur tous les objets enfants et permettre la propagation des autorisations pouvant être héritées , puis cliquez sur Appliquer.

  11. Si le message d’erreur suivant s’affiche, cliquez sur Continuer:

    Une erreur s’est produite l’application des informations de sécurité à %systemdrive%\Pagefile.sys

  12. Après avoir réinitialisé les autorisations NTFS, cliquez sur OK.

  13. Cliquez sur le groupe tout le monde et cliquez sur Supprimer, puis cliquez sur OK.

  14. Ouvrez les propriétés pour le dossier %systemdrive%\Program Files\fichiers, puis cliquez sur l’onglet sécurité ajouter le compte qui est utilisé pour l’accès anonyme. Par défaut, il s’agit du compte IUSR_ < MachineName >. Ensuite, ajoutez le groupe utilisateurs. Assurez-vous que seuls les éléments suivants sont sélectionnés :

    • Lire & exécuter

    • Affichage du contenu du dossier

    • Lecture

  15. Ouvrez les propriétés du répertoire racine qui détient votre contenu Web. Par défaut, il s’agit du dossier %SystemDrive%\Inetpub\Wwwroot. Cliquez sur l’onglet sécurité , ajoutez le compte IUSR_ < MachineName > et du groupe utilisateurs et assurez-vous que seuls les éléments suivants sont sélectionnés :

    • Lire & exécuter

    • Affichage du contenu du dossier

    • Lecture

  16. Si vous souhaitez accorder l’autorisation NTFS écriture à Inetpub\FTProot ou le chemin d’accès du répertoire de votre site FTP ou les sites, répétez l’étape 15. Remarque Nous ne recommandons pas que vous accordez des autorisations NTFS écriture à des comptes anonymes dans tous les répertoires, y compris les répertoires utilisés par le service FTP utilise. Cela peut entraîner des données inutiles doivent être téléchargées sur votre serveur Web.

Désactiver l’héritage dans les répertoires système

Pour cela, procédez comme suit :

  1. Dans le dossier %systemroot%\System32, sélectionnez tous les dossiers hormis les suivants :

    • Inetsrv

    • Certsrv (si présent)

    • COM

  2. Cliquez sur les dossiers restants et cliquez sur Propriétés, puis cliquez sur l’onglet sécurité .

  3. Cliquez sur pour effacer la case à cocher permettre aux autorisations pouvant être héritées , cliquez sur Copier, puis cliquez sur OK.

  4. Dans le dossier % SystemRoot%, sélectionnez tous les dossiers hormis les suivants :

    • Assembly (si présent)

    • Fichiers programmes téléchargés

    • Aide

    • Microsoft.NET (si présent)

    • Pages Web hors connexion

    • System32

    • Tâches

    • TEMP

    • Web

  5. Cliquez sur les dossiers restants et cliquez sur Propriétés, puis cliquez sur l’onglet sécurité .

  6. Cliquez sur pour effacer la case à cocher permettre aux autorisations pouvant être héritées , cliquez sur Copier, puis cliquez sur OK.

  7. Appliquer des autorisations à ce qui suit :

    1. Ouvrez les propriétés pour le dossier % SystemRoot%, cliquez sur l’onglet sécurité , ajoutez les comptes IUSR_ < MachineName > et IWAM_ < nomordinateur > et du groupe utilisateurs et puis assurez-vous que seuls les éléments suivants sont sélectionné :

      • Lire & exécuter

      • Affichage du contenu du dossier

      • Lecture

    2. Ouvrez les propriétés pour le dossier %systemroot%\Temp, sélectionnez le compte IUSR_ < MachineName > (ce compte est déjà présent car il hérite du dossier Winnt), puis cliquez sur pour sélectionner la case à cocher Modifier . Répétez cette étape pour le compte IWAM_ < MachineName > et Groupe d’utilisateurs .

    3. Si FrontPage Server Extension Clients comme FrontPage ou Microsoft Visual InterDev sont utilisés, ouvrez les propriétés pour le dossier %SystemDrive%\Inetpub\Wwwroot, sélectionnez le groupe Utilisateurs authentifiés , sélectionnez ce qui suit, puis cliquez sur OK :

      • Modifier

      • Lire & exécuter

      • Affichage du contenu du dossier

      • Lecture

      • Écriture

Autorisations NTFS

Le tableau suivant répertorie les autorisations qui seront appliquées lorsque vous suivez les étapes décrites dans la section « Désactivation de l’héritage dans des répertoires système ». Cette table est uniquement pour référence. Pour appliquer les autorisations dans le tableau suivant, procédez comme suit :

  1. Ouvrez l’Explorateur Windows. Pour ce faire, cliquez sur Démarrer, sur programmes, sur Accessoires, puis cliquez sur Explorateur Windows.

  2. Développez Poste de travail.

  3. Cliquez droit sur le dossier % racine_système %, puis cliquez sur Propriétés.

  4. Cliquez sur l’onglet sécurité , puis cliquez sur Avancé.

  5. Double-cliquez sur autorisation, puis sélectionnez le paramètre approprié dans la liste Appliquer à .

Remarque  Dans le « colonne appliquer à », le terme par défaut fait référence à « Ce dossier, les sous-dossiers et les fichiers. »

Répertoire

Users\Groups

Autorisations

S’applique à

%systemroot%\ (c:\winnt)

Administrateur

Contrôle total

Valeur par défaut

Système

Contrôle total

Valeur par défaut

Utilisateurs

Lecture, exécution

Valeur par défaut

%systemroot%\system32

Administrateurs

Contrôle total

Valeur par défaut

Système

Contrôle total

Valeur par défaut

Utilisateurs

Lecture, exécution

Valeur par défaut

%systemroot%\system32\inetsrv

Administrateurs

Contrôle total

Valeur par défaut

Système

Contrôle total

Valeur par défaut

Utilisateurs

Lecture, exécution

Valeur par défaut

Inetpub\adminscripts

Administrateurs

Contrôle total

Valeur par défaut

Inetpub\urlscan (si présent)

Administrateurs

Contrôle total

Valeur par défaut

Système

Contrôle total

Valeur par défaut

%systemroot%\system32\inetsrv\metaback

Administrateurs

Contrôle total

Valeur par défaut

Système

Contrôle total

Valeur par défaut

%systemroot%\help\iishelp\common

Administrateurs

Contrôle total

Ce dossier et les fichiers

Système

Contrôle total

Ce dossier et les fichiers

IWAM_<Machinename>

Lecture, exécution

Ce dossier et les fichiers

Réseau

Contrôle total

Ce dossier et les fichiers

Service

Ce dossier et les fichiers

Utilisateurs

Lecture, exécution

Ce dossier et les fichiers

Inetpub\wwwroot (ou répertoires de contenu)

Administrateurs

Contrôle total

Ce dossier et les fichiers

Système

Contrôle total

Ce dossier et les fichiers

IWAM_<MachineName>

Lecture, exécution

Ce dossier et les fichiers

Service

Lecture, exécution

Ce dossier et les fichiers

Réseau

Lecture, exécution

Ce dossier et les fichiers

Optional**:

Utilisateurs

Lecture, exécution

Ce dossier et les fichiers

Remarque Si vous utilisez les Extensions serveur FrontPage, les utilisateurs authentifiés ou le groupe d’utilisateurs doit avoir l’autorisation NTFS modification pour créer, renommer, écrire ou pour fournir la fonctionnalité dont un développeur pourrait avoir besoin à partir d’un client de type FrontPage, comme Visual InterDev 6.0 ou FrontPage 2002.

Accorder des autorisations dans le Registre

  1. Cliquez sur Démarrer, sur exécuter, tapez regedt32, puis cliquez sur OK. N’utilisez pas l’Éditeur du Registre, car il ne vous permet pas de modifier les autorisations dans Windows 2000.

  2. Dans l’Éditeur du Registre, recherchez et sélectionnez HKEY_LOCAL_MACHINE.

  3. Développez système, développez CurrentControlSetet puis cliquez sur Services.

  4. Sélectionnez la clé IISADMIN , cliquez sur sécurité (ou appuyez sur ALT + S), puis sélectionnez Autorisations (ou appuyez sur P).

  5. Cliquez pour désactiver la case à cocher permettre aux autorisations pouvant être héritées du parent d’être propagées à cet objet et cliquez sur Copier, puis supprimez tous les utilisateurs , à l’exception:

    • Administrateurs (lecture et contrôle total autorisés)

    • Système (lecture et contrôle total autorisés)

  6. Cliquez sur OK.

  7. Répétez les étapes pour la clé MSFTPSVC .

  8. Sélectionnez la clé W3SVC et cliquez sur sécurité, puis cliquez sur autorisations.

  9. Désactivez la case à cocher permettre aux autorisations pouvant être héritées du parent d’être propagées à cet objet et supprimez toutes les entrées , à l’exception:

    • Administrateurs (lecture et contrôle total autorisés)

    • Système (lecture et contrôle total autorisés)

    • Réseau (lecture)

    • Service (lecture)

    • IWAM_ < nomordinateur > (lecture)

  10. Cliquez sur OK.

Registre

Le tableau suivant répertorie les autorisations qui seront appliquées lorsque vous suivez les étapes décrites dans la section « Octroi d’autorisations dans le Registre ». Cette table est uniquement pour référence. Remarque L’acronyme HKLM signifie HKEY_LOCAL_MACHINE.

Location

Users\Groups

Autorisations

HKLM\System\CurrentControlSet\Services\IISAdmin

Administrateurs

Contrôle total

Système

Contrôle total

HKLM\System\CurrentControlSet\Services\MsFtpSvc

Administrateurs

Contrôle total

Système

Contrôle total

HKLM\System\CurrentControlSet\Services\w3svc

Administrateurs

Contrôle total

Système

Contrôle total

IWAM_<MachineName>

Lecture

Octroi de droits dans la stratégie de sécurité locale

  1. Cliquez sur Démarrer, cliquez sur paramètres, puis cliquez sur Panneau de configuration.

  2. Double-cliquez sur Outils d’administration, puis double-cliquez sur Stratégie de sécurité locale.

  3. Dans la boîte de dialogue Paramètres de sécurité locaux , développez Stratégies locales, puis cliquez sur Attribution des droits utilisateur.

  4. Modifiez la stratégie appropriée :

    1. Double-cliquez sur la stratégie.

    2. Sélectionnez, puis cliquez sur Supprimer pour un utilisateur non répertorié dans le tableau.

    3. Ajoutez tout utilisateur qui n’est pas répertorié. Pour ce faire, cliquez sur Ajouteret sélectionnez l’utilisateur dans la boîte de dialogue Sélectionnez utilisateurs ou groupes .

Notez que dans la mesure où une stratégie de contrôleur de domaine remplace la stratégie locale, vous devez vous assurer que les Paramètres de stratégie effectif correspond à Paramètre de stratégie locale.

Stratégies de

Le tableau suivant répertorie les autorisations qui seront appliquées lorsque vous suivez les étapes décrites dans la section « Octroi de droits dans la stratégie de sécurité locale ».

Politique

Utilisateurs

Ouvrir une session localement

Administrateurs

IUSR_ < MachineName > (anonyme)

Utilisateurs (authentification requise)

Accéder à cet ordinateur à partir du réseau

Administrateurs

ASPNet (.NET Framework)

IUSR_ < MachineName > (anonyme)

IWAM_<MachineName>

Utilisateurs

Ouvrez une session en tant que traitement par lots

ASPNet

Réseau

IUSR_<MachineName>

IWAM_<MachineName>

Service

Ouverture de session en tant que Service

ASPNet

Réseau

Outrepasser le contrôle de

Administrateurs

IUSR_ < MachineName > (anonyme)

Utilisateurs (Basic, intégré, Digest)

IWAM_<MachineName>

Références

Pour plus d’informations sur la façon de restaurer les autorisations NTFS par défaut pour Windows 2000, cliquez sur les numéros ci-dessous pour afficher les articles correspondants dans la Base de connaissances Microsoft :

266118 comment restaurer les autorisations NTFS par défaut pour Windows 2000

260985 les autorisations NTFS minimales requises pour utiliser CDONTS

324068 comment définir des autorisations pour des objets spécifiques

815153 comment configurer les autorisations de fichiers NTFS pour la sécurité des applications d’ASP.NET Pour plus d’informations sur les autorisations requises pour IIS 6.0, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :

Les autorisations par défaut et les droits d’utilisateur pour IIS 6.0 812614

Informations supplémentaires

Cet article ne traite pas de l’une des exigences de sécurité spécifiques des applications ou les rôles de serveur suivants :

  • Contrôleur de domaine Windows 2000

  • Microsoft Exchange 5.5 ou Microsoft Exchange 2000 Outlook Web Access

  • Microsoft Small Business Server 2000

  • Microsoft SharePoint Portal ou Team Services

  • Microsoft Commerce Server 2000 ou Microsoft Commerce Server 2002

  • Microsoft BizTalk Server 2000 ou Microsoft BizTalk Server 2002

  • Microsoft Content Management Server 2000 ou Microsoft Content Management Server 2002

  • Microsoft Application Center 2000

  • Les applications tierces qui dépendent d’autorisations supplémentaires

Besoin d’aide ?

Développez vos compétences
Découvrez des formations
Accédez aux nouvelles fonctionnalités en avant-première
Rejoindre Microsoft Insider

Ces informations vous ont-elles été utiles ?

Nous vous remercions pour vos commentaires.

Merci pour vos commentaires. Il serait vraisemblablement utile pour vous de contacter l’un de nos agents du support Office.

×