Ovaj članak opisuje kako postaviti minimalne dozvole koje su potrebne za namjenski Internet Information Services (IIS) 5.0, IIS 5.1 ili IIS 6.0 web-poslužiteljem.
Ograničenje za ovaj članak
Upozorenje Ovaj članak vrijedi samo za namjenskog web-poslužiteljima koristiti osnovne IIS funkcionalnosti, na primjer posluživanje HTML statički sadržaja ili jednostavno Active Server Pages (ASP) sadržaja. Preduvjeti dozvola koji su opisani u ovom članku posebne su samo za osnovne dozvole namjenskog web-poslužitelju sa sustavom IIS 5. x ili IIS 6.0. Ovaj članak razmislite o drugim Microsoft i proizvodi drugih proizvođača koje možda zahtijevaju različite dozvole. Možete pregledati i poslužitelja aplikacije dokumentaciji određenim sigurnosnim zahtjevima. Preporučujemo da pregledate povezanih članaka koje su specifične za uloge web-poslužitelj.
Testiranje korake prije konfiguracije dozvole u proizvodnom okruženju
Prije nego napravite promjene dozvola na web-poslužitelju proizvodnje, preporučujemo da učinite sljedeće korake:
-
Pokrenite najnovije verzije alata Lockdown IIS. Kao dio paketa test koji je korišten za testiranje sigurnosti poslužitelja nakon odobravanje dozvole opisani u ovom članku su instalirani sljedeći programi i servisi:
-
Indeks usluge
-
Servis Terminal Services
-
Program za ispravljanje skripta
-
IIS
-
Zajedničke datoteke
-
Dokumentacija
-
Proširenja poslužitelja FrontPage 2000
-
Internet Services Manager (HTML)
-
WWW
-
FTP
-
-
-
Izvođenje sljedeće funkcionalno testova:
-
Hypertext dokumente (HTML)
-
Active Server Pages (ASP)
-
FrontPage Server Extensions, povezivanje, uređivanje i spremanje, ako je omogućen FPSE dok koristite alat Lockdown
-
Secure Socket slojeve veza (SSL)
-
Dodijeliti vlasništvo i dozvole administratora i sustav
Da biste to učinili, slijedite ove korake:
-
Otvorite Windows Explorer. Da biste to učinili, kliknite Start, kliknite programe, a zatim Windows Explorer.
-
Proširi Moje računalo.
-
Desnom tipkom miša kliknite sistemski pogon (najčešće je to pogon C), a zatim kliknite Svojstva.
-
Kliknite karticu Sigurnost , a zatim kliknite Napredno da biste otvorili dijaloški okvir Postavke kontrole pristupa za lokalni Disk .
-
Kliknite karticu vlasnik , kliknite Zamijeni vlasnika na spremnike potključeva i objekte potvrdite okvir i pritisnite Primijeni. Ako primite sljedeću poruku o pogrešci, kliknite Nastavi:
Pojavila se pogreška primjeni sigurnosnih informacija na %systemdrive%\Pagefile.sys
-
Ako primite sljedeću poruku o pogrešci, kliknite da:
Nemate dozvolu za čitanje sadržaja imenika %systemdrive%\System Volume Information - želite li zamijeniti dozvole za imenik - sve dozvole će biti zamijenjen vam daju punu kontrolu
-
Kliknite u redu da biste zatvorili dijaloški okvir.
-
Kliknite Dodaj.
-
Dodajte sljedeće korisnike, a zatim im dodijeliti dozvole Potpuna kontrola NTFS:
-
Administrator
-
Sustav
-
Creator vlasnika
-
-
Nakon dodavanja ove dozvole za NTFS, kliknite Napredno, kliknite da biste odabrali potvrdni okvir vratiti dozvole na svim objektima-djeci i omogućiti propagaciju nasljedne dozvole i kliknite Primijeni.
-
Ako primite sljedeću poruku o pogrešci, kliknite Nastavi:
Pojavila se pogreška primjeni sigurnosnih informacija na %systemdrive%\Pagefile.sys
-
Nakon što ste vratiti dozvole za NTFS, kliknite u redu.
-
Pritisnite grupu svima , kliknite Uklonii kliknite u redu.
-
Otvorite svojstva mape %systemdrive%\Program Files\Common datoteka, a zatim karticu Sigurnost Dodaj račun koji se koristi za anonimni pristup. Prema zadanim postavkama, to je račun IUSR_ < MachineName >. Zatim dodati grupu korisnika. Provjerite jesu li samo sljedeće:
-
Čitanje i izvršavanje
-
Sadržaj mape
-
Čitanje
-
-
Otvorite svojstva korijenski direktorij čekanjima web-sadržaja. Po zadanom, ovo je %systemdrive%\Inetpub\Wwwroot mapa. Kliknite karticu Sigurnost , dodajte račun IUSR_ < MachineName > i grupe korisnici i provjerite jesu li samo sljedeće:
-
Čitanje i izvršavanje
-
Sadržaj mape
-
Čitanje
-
-
Ako želite dodijeliti dozvole za NTFS pisanje za Inetpub\FTProot ili put direktorija za FTP-mjesta ili web-mjesta, ponovite korak 15. Napomena Ne preporučujemo dodijelili pisanje NTFS dozvole anonimnog računa bilo direktorija, uključujući koriste FTP koristi uslugu direktorija. To može uzrokovati nepotrebne podatke moguće prenijeti na web-poslužitelju.
Onemogući nasljeđivanje u imenike sustava
Da biste to učinili, slijedite ove korake:
-
U mapu %systemroot%\System32 odaberite sve mape osim sljedećeg:
-
Inetsrv
-
Certsrv (ako postoje)
-
COM
-
-
Desnom tipkom miša kliknite preostale mape, kliknite Svojstva, a zatim karticu Sigurnost .
-
Klikom poništite potvrdni okvir Dopusti nasljedne dozvole , pritisnite Kopiraji kliknite u redu.
-
U mapi % systemroot %, odaberite sve mape osim sljedećeg:
-
Sklop (ako postoje)
-
Preuzete programske datoteke
-
Pomoć
-
Microsoft.NET (ako postoje)
-
Izvanmrežne web-stranice
-
System32
-
Zadaci
-
Temp
-
Web
-
-
Desnom tipkom miša kliknite preostale mape, kliknite Svojstva, a zatim karticu Sigurnost .
-
Klikom poništite potvrdni okvir Dopusti nasljedne dozvole , pritisnite Kopiraji kliknite u redu.
-
Primijeni dozvole na sljedeće:
-
Otvorite svojstva za mapu % systemroot %, kliknite karticu Sigurnost , dodati račune IUSR_ < MachineName > i < MachineName > IWAM_ i grupe korisnici i zatim provjerite jesu li samo sljedeće odabrane:
-
Čitanje i izvršavanje
-
Sadržaj mape
-
Čitanje
-
-
Otvorite svojstva za %systemroot%\Temp mapu, odaberite račun IUSR_ < MachineName > (ovaj račun je već prisutan jer nasljeđuje iz mape Winnt), a zatim potvrdite okvir Izmijeni . Ponovite ovaj korak za račun IWAM_ < MachineName > i Grupa korisnika .
-
Ako klijenti proširenja poslužitelja FrontPage kao što je FrontPage ili Microsoft Visual InterDev se koriste, otvorite svojstva za %systemdrive%\Inetpub\Wwwroot mapu, odaberite grupu Provjereni korisnici , odabir sljedeće, a zatim u redu :
-
Izmijeni
-
Čitanje i izvršavanje
-
Sadržaj mape
-
Čitanje
-
Pisanje
-
-
Dozvole za NTFS
Sljedeća tablica prikazuje dozvole koje će se primijeniti kada slijedite korake u odjeljku "Onemogući Nasljeđe u imenike sustava". Ova tablica je samo za referencu. Da biste primijenili dozvole u sljedećoj tablici, slijedite ove korake:
-
Otvorite Windows Explorer. Da biste to učinili, kliknite Start, programePomagala, a zatim kliknite Windows Explorer.
-
Proširi Moje računalo.
-
Desnom tipkom miša kliknite % systemroot %, a zatim kliknite Svojstva.
-
Kliknite karticu Sigurnost , a zatim kliknite Napredno.
-
Dvokliknite dozvolu, a zatim odaberite odgovarajuću postavku s popisa Primijeniti na .
Napomena U u "Primijeni na" stupac, pojam zadani odnosi se na "Ovu mapu, podmape i datoteke."
Imenik |
Users\Groups |
Dozvole |
Primijeni na |
---|---|---|---|
%systemroot%\ (c:\winnt) |
Administrator |
Potpuna kontrola |
Zadani |
Sustav |
Potpuna kontrola |
Zadani |
|
Korisnici |
Čitanje, izvršavanje |
Zadani |
|
%systemroot%\system32 |
Administratori |
Potpuna kontrola |
Zadani |
Sustav |
Potpuna kontrola |
Zadani |
|
Korisnici |
Čitanje, izvršavanje |
Zadani |
|
%systemroot%\system32\inetsrv |
Administratori |
Potpuna kontrola |
Zadani |
Sustav |
Potpuna kontrola |
Zadani |
|
Korisnici |
Čitanje, izvršavanje |
Zadani |
|
Inetpub\adminscripts |
Administratori |
Potpuna kontrola |
Zadani |
Inetpub\urlscan (ako postoje) |
Administratori |
Potpuna kontrola |
Zadani |
Sustav |
Potpuna kontrola |
Zadani |
|
%systemroot%\system32\inetsrv\metaback |
Administratori |
Potpuna kontrola |
Zadani |
Sustav |
Potpuna kontrola |
Zadani |
|
%systemroot%\help\iishelp\common |
Administratori |
Potpuna kontrola |
Ova mapa i datoteke |
Sustav |
Potpuna kontrola |
Ova mapa i datoteke |
|
IWAM_<Machinename> |
Čitanje, izvršavanje |
Ova mapa i datoteke |
|
Mreža |
Potpuna kontrola |
Ova mapa i datoteke |
|
Servis |
Ova mapa i datoteke |
||
Korisnici |
Čitanje, izvršavanje |
Ova mapa i datoteke |
|
Inetpub\wwwroot (ili sadržaja direktorija) |
Administratori |
Potpuna kontrola |
Ova mapa i datoteke |
Sustav |
Potpuna kontrola |
Ova mapa i datoteke |
|
IWAM_<MachineName> |
Čitanje, izvršavanje |
Ova mapa i datoteke |
|
Servis |
Čitanje, izvršavanje |
Ova mapa i datoteke |
|
Mreža |
Čitanje, izvršavanje |
Ova mapa i datoteke |
|
Optional**: |
Korisnici |
Čitanje, izvršavanje |
Ova mapa i datoteke |
Napomena Ako koristite FrontPage Server Extensions provjereni korisnici ili grupe korisnici morate imati dozvolu NTFS promjena za stvaranje, preimenovanje, pisati ili pružaju funkcionalnost koja programer možda morati imati iz FrontPage-vrsta klijenta, kao što su Visual InterDev 6.0 ili FrontPage 2002.
Dodjela dozvola u registru
-
Kliknite Start, zatim Run, upišite regedt32i kliknite u redu. Uređivač registra koristite jer omogućuju vam promjenu dozvola u sustavu Windows 2000.
-
U programu Registry Editor pronađite i odaberite HKEY_LOCAL_MACHINE.
-
Proširite sustava, proširite CurrentControlSet, a zatim Servisi.
-
Odaberite SMTPSVC ključ, kliknite Sigurnost (ili pritisnite ALT + S), a zatim odaberite Dozvole (ili pritisnite tipku P).
-
Klikom poništite potvrdni okvir Dopusti nasljedne dozvole s nadređenog rasprostiranje ovaj objekt , pritisnite Kopiraj, a zatim uklonite sve korisnike osim:
-
Administratori (Dopusti čitanje i Potpuna kontrola)
-
Sustav (Dopusti čitanje i Potpuna kontrola)
-
-
Kliknite U redu.
-
Ponovite korake za ključ MSFTPSVC .
-
Odaberite W3SVC ključ, kliknite Sigurnosti zatim pritisnite dozvole.
-
Klikom poništite potvrdni okvir Dopusti nasljedne dozvole s nadređenog rasprostiranje ovaj objekt , a zatim uklonite sve stavke osim:
-
Administratori (Dopusti čitanje i Potpuna kontrola)
-
Sustav (Dopusti čitanje i Potpuna kontrola)
-
Mreža (čitanje)
-
Servis (čitanje)
-
IWAM_ < MachineName > (čitanje)
-
-
Kliknite U redu.
Registar
Sljedeća tablica prikazuje dozvole koje će se primijeniti kada slijedite korake u odjeljku "Grant dozvole u registru". Ova tablica je samo za referencu. Napomena Akronim HKLM skraćenica za HKEY_LOCAL_MACHINE.
Mjesto |
Users\Groups |
Dozvole |
---|---|---|
HKLM\System\CurrentControlSet\Services\IISAdmin |
Administratori |
Potpuna kontrola |
Sustav |
Potpuna kontrola |
|
HKLM\System\CurrentControlSet\Services\MsFtpSvc |
Administratori |
Potpuna kontrola |
Sustav |
Potpuna kontrola |
|
HKLM\System\CurrentControlSet\Services\w3svc |
Administratori |
Potpuna kontrola |
Sustav |
Potpuna kontrola |
|
IWAM_<MachineName> |
Čitanje |
Dodjela prava u Lokalna sigurnosna pravila
-
Kliknite Start, kliknite Postavkei zatim pritisnite Upravljačka ploča.
-
Dvokliknite Administrativni alati, a zatim Lokalna sigurnosna pravila.
-
U dijaloškom okviru Lokalne sigurnosne postavke proširite Lokalna pravila, a zatim Dodjela prava korisnika.
-
Izmijenite odgovarajuća pravila:
-
Dvokliknite pravila.
-
Odaberite i zatim pritisnite Ukloni za korisnika koji se ne nalazi u tablici.
-
Dodavanje korisnika koji nije na popisu. Da biste to učinili, kliknite Dodaj, a zatim odaberite korisnika u dijaloškom okviru Odaberite korisnike ili grupe .
-
Imajte na umu jer pravila kontrolor domene nadjačava Lokalna pravila, morate provjeriti odgovara li Postavka važeća pravilaLokalne postavke pravila.
Pravila
Sljedeća tablica prikazuje dozvole koje će se primijeniti kada slijedite korake u odjeljku "Grant prava u Lokalna sigurnosna pravila".
Pravila |
Korisnici |
---|---|
Log on Locally |
Administratori |
IUSR_ < MachineName > (anonimno) |
|
Korisnici (Provjera autentičnosti potrebna) |
|
Pristup ovom računalu s mreže |
Administratori |
ASPNet (.NET Framework) |
|
IUSR_ < MachineName > (anonimno) |
|
IWAM_<MachineName> |
|
Korisnici |
|
Prijavite se kao skupna obrada |
ASPNet |
Mreža |
|
IUSR_<MachineName> |
|
IWAM_<MachineName> |
|
Servis |
|
Prijava kao usluga |
ASPNet |
Mreža |
|
Zaobilaženje provjere Traverse |
Administratori |
IUSR_ < MachineName > (anonimno) |
|
Korisnici (Basic, integrirani, sažetka) |
|
IWAM_<MachineName> |
Reference
Dodatne informacije o vraćanju zadane NTFS dozvole za Windows 2000 kliknite sljedeće brojeve članaka u Microsoftovoj bazi znanja:
266118 kako vratiti zadane NTFS dozvole za Windows 2000
260985 NTFS minimalne dozvole potrebne za korištenje CDONTS
324068 kako postaviti IIS dozvole za određenu objekte
815153 kako konfigurirati datoteku dozvole za NTFS za sigurnost ASP.NET aplikacija Dodatne informacije o potrebne dozvole za IIS 6.0 kliknite sljedeći broj članka u Microsoftovoj bazi znanja:
812614 Zadane dozvole i korisnička prava za IIS 6.0
Dodatne informacije
Ovaj članak adresa bilo koju od određenim sigurnosnim zahtjevima sljedeće uloge poslužitelja ili aplikacije:
-
Windows 2000 kontroloru domene
-
Microsoft Exchange 5.5 ili Outlook Web Access za Microsoft Exchange 2000
-
Microsoft Small Business Server 2000
-
Microsoft SharePoint Portal ili Team Services
-
Microsoft Commerce Server 2000 ili Microsoft Commerce Server 2002
-
Microsoft BizTalk Server 2000 ili Microsoft BizTalk Server 2002
-
Microsoft Content Management Server 2000 ili Microsoft Content Management Server 2002
-
Microsoft aplikacije centar 2000
-
Aplikacije trećih strana koji ovise o dodatne dozvole