Ovaj članak opisuje kako postaviti minimalne dozvole koje su potrebne za namjenski Internet Information Services (IIS) 5.0, IIS 5.1 ili IIS 6.0 web-poslužiteljem.

Ograničenje za ovaj članak

Upozorenje Ovaj članak vrijedi samo za namjenskog web-poslužiteljima koristiti osnovne IIS funkcionalnosti, na primjer posluživanje HTML statički sadržaja ili jednostavno Active Server Pages (ASP) sadržaja. Preduvjeti dozvola koji su opisani u ovom članku posebne su samo za osnovne dozvole namjenskog web-poslužitelju sa sustavom IIS 5. x ili IIS 6.0. Ovaj članak razmislite o drugim Microsoft i proizvodi drugih proizvođača koje možda zahtijevaju različite dozvole. Možete pregledati i poslužitelja aplikacije dokumentaciji određenim sigurnosnim zahtjevima. Preporučujemo da pregledate povezanih članaka koje su specifične za uloge web-poslužitelj.

Testiranje korake prije konfiguracije dozvole u proizvodnom okruženju

Prije nego napravite promjene dozvola na web-poslužitelju proizvodnje, preporučujemo da učinite sljedeće korake:

  1. Pokrenite najnovije verzije alata Lockdown IIS. Kao dio paketa test koji je korišten za testiranje sigurnosti poslužitelja nakon odobravanje dozvole opisani u ovom članku su instalirani sljedeći programi i servisi:

    • Indeks usluge

    • Servis Terminal Services

    • Program za ispravljanje skripta

    • IIS

      • Zajedničke datoteke

      • Dokumentacija

      • Proširenja poslužitelja FrontPage 2000

      • Internet Services Manager (HTML)

      • WWW

      • FTP

  2. Izvođenje sljedeće funkcionalno testova:

    • Hypertext dokumente (HTML)

    • Active Server Pages (ASP)

    • FrontPage Server Extensions, povezivanje, uređivanje i spremanje, ako je omogućen FPSE dok koristite alat Lockdown

    • Secure Socket slojeve veza (SSL)

Dodijeliti vlasništvo i dozvole administratora i sustav

Da biste to učinili, slijedite ove korake:

  1. Otvorite Windows Explorer. Da biste to učinili, kliknite Start, kliknite programe, a zatim Windows Explorer.

  2. Proširi Moje računalo.

  3. Desnom tipkom miša kliknite sistemski pogon (najčešće je to pogon C), a zatim kliknite Svojstva.

  4. Kliknite karticu Sigurnost , a zatim kliknite Napredno da biste otvorili dijaloški okvir Postavke kontrole pristupa za lokalni Disk .

  5. Kliknite karticu vlasnik , kliknite Zamijeni vlasnika na spremnike potključeva i objekte potvrdite okvir i pritisnite Primijeni. Ako primite sljedeću poruku o pogrešci, kliknite Nastavi:

    Pojavila se pogreška primjeni sigurnosnih informacija na %systemdrive%\Pagefile.sys

  6. Ako primite sljedeću poruku o pogrešci, kliknite da:

    Nemate dozvolu za čitanje sadržaja imenika %systemdrive%\System Volume Information - želite li zamijeniti dozvole za imenik - sve dozvole će biti zamijenjen vam daju punu kontrolu

  7. Kliknite u redu da biste zatvorili dijaloški okvir.

  8. Kliknite Dodaj.

  9. Dodajte sljedeće korisnike, a zatim im dodijeliti dozvole Potpuna kontrola NTFS:

    • Administrator

    • Sustav

    • Creator vlasnika

  10. Nakon dodavanja ove dozvole za NTFS, kliknite Napredno, kliknite da biste odabrali potvrdni okvir vratiti dozvole na svim objektima-djeci i omogućiti propagaciju nasljedne dozvole i kliknite Primijeni.

  11. Ako primite sljedeću poruku o pogrešci, kliknite Nastavi:

    Pojavila se pogreška primjeni sigurnosnih informacija na %systemdrive%\Pagefile.sys

  12. Nakon što ste vratiti dozvole za NTFS, kliknite u redu.

  13. Pritisnite grupu svima , kliknite Uklonii kliknite u redu.

  14. Otvorite svojstva mape %systemdrive%\Program Files\Common datoteka, a zatim karticu Sigurnost Dodaj račun koji se koristi za anonimni pristup. Prema zadanim postavkama, to je račun IUSR_ < MachineName >. Zatim dodati grupu korisnika. Provjerite jesu li samo sljedeće:

    • Čitanje i izvršavanje

    • Sadržaj mape

    • Čitanje

  15. Otvorite svojstva korijenski direktorij čekanjima web-sadržaja. Po zadanom, ovo je %systemdrive%\Inetpub\Wwwroot mapa. Kliknite karticu Sigurnost , dodajte račun IUSR_ < MachineName > i grupe korisnici i provjerite jesu li samo sljedeće:

    • Čitanje i izvršavanje

    • Sadržaj mape

    • Čitanje

  16. Ako želite dodijeliti dozvole za NTFS pisanje za Inetpub\FTProot ili put direktorija za FTP-mjesta ili web-mjesta, ponovite korak 15. Napomena Ne preporučujemo dodijelili pisanje NTFS dozvole anonimnog računa bilo direktorija, uključujući koriste FTP koristi uslugu direktorija. To može uzrokovati nepotrebne podatke moguće prenijeti na web-poslužitelju.

Onemogući nasljeđivanje u imenike sustava

Da biste to učinili, slijedite ove korake:

  1. U mapu %systemroot%\System32 odaberite sve mape osim sljedećeg:

    • Inetsrv

    • Certsrv (ako postoje)

    • COM

  2. Desnom tipkom miša kliknite preostale mape, kliknite Svojstva, a zatim karticu Sigurnost .

  3. Klikom poništite potvrdni okvir Dopusti nasljedne dozvole , pritisnite Kopiraji kliknite u redu.

  4. U mapi % systemroot %, odaberite sve mape osim sljedećeg:

    • Sklop (ako postoje)

    • Preuzete programske datoteke

    • Pomoć

    • Microsoft.NET (ako postoje)

    • Izvanmrežne web-stranice

    • System32

    • Zadaci

    • Temp

    • Web

  5. Desnom tipkom miša kliknite preostale mape, kliknite Svojstva, a zatim karticu Sigurnost .

  6. Klikom poništite potvrdni okvir Dopusti nasljedne dozvole , pritisnite Kopiraji kliknite u redu.

  7. Primijeni dozvole na sljedeće:

    1. Otvorite svojstva za mapu % systemroot %, kliknite karticu Sigurnost , dodati račune IUSR_ < MachineName > i < MachineName > IWAM_ i grupe korisnici i zatim provjerite jesu li samo sljedeće odabrane:

      • Čitanje i izvršavanje

      • Sadržaj mape

      • Čitanje

    2. Otvorite svojstva za %systemroot%\Temp mapu, odaberite račun IUSR_ < MachineName > (ovaj račun je već prisutan jer nasljeđuje iz mape Winnt), a zatim potvrdite okvir Izmijeni . Ponovite ovaj korak za račun IWAM_ < MachineName > i Grupa korisnika .

    3. Ako klijenti proširenja poslužitelja FrontPage kao što je FrontPage ili Microsoft Visual InterDev se koriste, otvorite svojstva za %systemdrive%\Inetpub\Wwwroot mapu, odaberite grupu Provjereni korisnici , odabir sljedeće, a zatim u redu :

      • Izmijeni

      • Čitanje i izvršavanje

      • Sadržaj mape

      • Čitanje

      • Pisanje

Dozvole za NTFS

Sljedeća tablica prikazuje dozvole koje će se primijeniti kada slijedite korake u odjeljku "Onemogući Nasljeđe u imenike sustava". Ova tablica je samo za referencu. Da biste primijenili dozvole u sljedećoj tablici, slijedite ove korake:

  1. Otvorite Windows Explorer. Da biste to učinili, kliknite Start, programePomagala, a zatim kliknite Windows Explorer.

  2. Proširi Moje računalo.

  3. Desnom tipkom miša kliknite % systemroot %, a zatim kliknite Svojstva.

  4. Kliknite karticu Sigurnost , a zatim kliknite Napredno.

  5. Dvokliknite dozvolu, a zatim odaberite odgovarajuću postavku s popisa Primijeniti na .

Napomena U u "Primijeni na" stupac, pojam zadani odnosi se na "Ovu mapu, podmape i datoteke."

Imenik

Users\Groups

Dozvole

Primijeni na

%systemroot%\ (c:\winnt)

Administrator

Potpuna kontrola

Zadani

Sustav

Potpuna kontrola

Zadani

Korisnici

Čitanje, izvršavanje

Zadani

%systemroot%\system32

Administratori

Potpuna kontrola

Zadani

Sustav

Potpuna kontrola

Zadani

Korisnici

Čitanje, izvršavanje

Zadani

%systemroot%\system32\inetsrv

Administratori

Potpuna kontrola

Zadani

Sustav

Potpuna kontrola

Zadani

Korisnici

Čitanje, izvršavanje

Zadani

Inetpub\adminscripts

Administratori

Potpuna kontrola

Zadani

Inetpub\urlscan (ako postoje)

Administratori

Potpuna kontrola

Zadani

Sustav

Potpuna kontrola

Zadani

%systemroot%\system32\inetsrv\metaback

Administratori

Potpuna kontrola

Zadani

Sustav

Potpuna kontrola

Zadani

%systemroot%\help\iishelp\common

Administratori

Potpuna kontrola

Ova mapa i datoteke

Sustav

Potpuna kontrola

Ova mapa i datoteke

IWAM_<Machinename>

Čitanje, izvršavanje

Ova mapa i datoteke

Mreža

Potpuna kontrola

Ova mapa i datoteke

Servis

Ova mapa i datoteke

Korisnici

Čitanje, izvršavanje

Ova mapa i datoteke

Inetpub\wwwroot (ili sadržaja direktorija)

Administratori

Potpuna kontrola

Ova mapa i datoteke

Sustav

Potpuna kontrola

Ova mapa i datoteke

IWAM_<MachineName>

Čitanje, izvršavanje

Ova mapa i datoteke

Servis

Čitanje, izvršavanje

Ova mapa i datoteke

Mreža

Čitanje, izvršavanje

Ova mapa i datoteke

Optional**:

Korisnici

Čitanje, izvršavanje

Ova mapa i datoteke

Napomena Ako koristite FrontPage Server Extensions provjereni korisnici ili grupe korisnici morate imati dozvolu NTFS promjena za stvaranje, preimenovanje, pisati ili pružaju funkcionalnost koja programer možda morati imati iz FrontPage-vrsta klijenta, kao što su Visual InterDev 6.0 ili FrontPage 2002.

Dodjela dozvola u registru

  1. Kliknite Start, zatim Run, upišite regedt32i kliknite u redu. Uređivač registra koristite jer omogućuju vam promjenu dozvola u sustavu Windows 2000.

  2. U programu Registry Editor pronađite i odaberite HKEY_LOCAL_MACHINE.

  3. Proširite sustava, proširite CurrentControlSet, a zatim Servisi.

  4. Odaberite SMTPSVC ključ, kliknite Sigurnost (ili pritisnite ALT + S), a zatim odaberite Dozvole (ili pritisnite tipku P).

  5. Klikom poništite potvrdni okvir Dopusti nasljedne dozvole s nadređenog rasprostiranje ovaj objekt , pritisnite Kopiraj, a zatim uklonite sve korisnike osim:

    • Administratori (Dopusti čitanje i Potpuna kontrola)

    • Sustav (Dopusti čitanje i Potpuna kontrola)

  6. Kliknite U redu.

  7. Ponovite korake za ključ MSFTPSVC .

  8. Odaberite W3SVC ključ, kliknite Sigurnosti zatim pritisnite dozvole.

  9. Klikom poništite potvrdni okvir Dopusti nasljedne dozvole s nadređenog rasprostiranje ovaj objekt , a zatim uklonite sve stavke osim:

    • Administratori (Dopusti čitanje i Potpuna kontrola)

    • Sustav (Dopusti čitanje i Potpuna kontrola)

    • Mreža (čitanje)

    • Servis (čitanje)

    • IWAM_ < MachineName > (čitanje)

  10. Kliknite U redu.

Registar

Sljedeća tablica prikazuje dozvole koje će se primijeniti kada slijedite korake u odjeljku "Grant dozvole u registru". Ova tablica je samo za referencu. Napomena Akronim HKLM skraćenica za HKEY_LOCAL_MACHINE.

Mjesto

Users\Groups

Dozvole

HKLM\System\CurrentControlSet\Services\IISAdmin

Administratori

Potpuna kontrola

Sustav

Potpuna kontrola

HKLM\System\CurrentControlSet\Services\MsFtpSvc

Administratori

Potpuna kontrola

Sustav

Potpuna kontrola

HKLM\System\CurrentControlSet\Services\w3svc

Administratori

Potpuna kontrola

Sustav

Potpuna kontrola

IWAM_<MachineName>

Čitanje

Dodjela prava u Lokalna sigurnosna pravila

  1. Kliknite Start, kliknite Postavkei zatim pritisnite Upravljačka ploča.

  2. Dvokliknite Administrativni alati, a zatim Lokalna sigurnosna pravila.

  3. U dijaloškom okviru Lokalne sigurnosne postavke proširite Lokalna pravila, a zatim Dodjela prava korisnika.

  4. Izmijenite odgovarajuća pravila:

    1. Dvokliknite pravila.

    2. Odaberite i zatim pritisnite Ukloni za korisnika koji se ne nalazi u tablici.

    3. Dodavanje korisnika koji nije na popisu. Da biste to učinili, kliknite Dodaj, a zatim odaberite korisnika u dijaloškom okviru Odaberite korisnike ili grupe .

Imajte na umu jer pravila kontrolor domene nadjačava Lokalna pravila, morate provjeriti odgovara li Postavka važeća pravilaLokalne postavke pravila.

Pravila

Sljedeća tablica prikazuje dozvole koje će se primijeniti kada slijedite korake u odjeljku "Grant prava u Lokalna sigurnosna pravila".

Pravila

Korisnici

Log on Locally

Administratori

IUSR_ < MachineName > (anonimno)

Korisnici (Provjera autentičnosti potrebna)

Pristup ovom računalu s mreže

Administratori

ASPNet (.NET Framework)

IUSR_ < MachineName > (anonimno)

IWAM_<MachineName>

Korisnici

Prijavite se kao skupna obrada

ASPNet

Mreža

IUSR_<MachineName>

IWAM_<MachineName>

Servis

Prijava kao usluga

ASPNet

Mreža

Zaobilaženje provjere Traverse

Administratori

IUSR_ < MachineName > (anonimno)

Korisnici (Basic, integrirani, sažetka)

IWAM_<MachineName>

Reference

Dodatne informacije o vraćanju zadane NTFS dozvole za Windows 2000 kliknite sljedeće brojeve članaka u Microsoftovoj bazi znanja:

266118 kako vratiti zadane NTFS dozvole za Windows 2000

260985 NTFS minimalne dozvole potrebne za korištenje CDONTS

324068 kako postaviti IIS dozvole za određenu objekte

815153 kako konfigurirati datoteku dozvole za NTFS za sigurnost ASP.NET aplikacija Dodatne informacije o potrebne dozvole za IIS 6.0 kliknite sljedeći broj članka u Microsoftovoj bazi znanja:

812614 Zadane dozvole i korisnička prava za IIS 6.0

Dodatne informacije

Ovaj članak adresa bilo koju od određenim sigurnosnim zahtjevima sljedeće uloge poslužitelja ili aplikacije:

  • Windows 2000 kontroloru domene

  • Microsoft Exchange 5.5 ili Outlook Web Access za Microsoft Exchange 2000

  • Microsoft Small Business Server 2000

  • Microsoft SharePoint Portal ili Team Services

  • Microsoft Commerce Server 2000 ili Microsoft Commerce Server 2002

  • Microsoft BizTalk Server 2000 ili Microsoft BizTalk Server 2002

  • Microsoft Content Management Server 2000 ili Microsoft Content Management Server 2002

  • Microsoft aplikacije centar 2000

  • Aplikacije trećih strana koji ovise o dodatne dozvole

Potrebna vam je dodatna pomoć?

Proširite svoje vještine
Istražite osposobljavanje
Prvi koristite nove značajke
Pridružite se Microsoft Insidere

Jesu li ove informacije bile korisne?

Koliko ste zadovoljni kvalitetom prijevoda?

Što je utjecalo na vaše iskustvo?

Imate li još povratnih informacija? (Neobavezno)

Hvala vam na povratnim informacijama!

×