In questo articolo viene descritto come impostare le autorizzazioni minime necessarie per un dedicato Internet Information Services (IIS) 5.0, IIS 5.1 o server Web IIS 6.0.
La limitazione di questo articolo
Avviso Questo articolo è valido solo per i server Web dedicati che utilizzano le funzionalità di base di IIS, ad esempio il contenuto HTML statico contenuto o semplici pagine ASP (ASP). I requisiti di autorizzazione descritti in questo articolo sono specifici solo di autorizzazioni di base per un server Web dedicato che esegue IIS 5. x o IIS 6.0. In questo articolo non considera altri prodotti Microsoft e terze parti che possono richiedere autorizzazioni diverse. È possibile esaminare la documentazione di server e applicazioni per specifiche esigenze di protezione. Si consiglia di Rivedere gli articoli correlati che sono specifici per i ruoli del server Web.
Test passaggi prima che le configurazioni di autorizzazioni in un ambiente di produzione
Prima di apportare modifiche alle autorizzazioni su un server Web di produzione, si consiglia di eseguire le seguenti operazioni:
-
Eseguire la versione più recente dello strumento IIS Lockdown. I seguenti programmi e servizi sono stati installati come parte di un gruppo di test che è stato utilizzato per verificare la sicurezza del server dopo la concessione delle autorizzazioni descritte in questo articolo:
-
Servizi di indicizzazione
-
Servizi terminal
-
Script Debugger
-
IIS
-
File comuni
-
Documentazione
-
Estensioni del Server di FrontPage 2000
-
Gestione di servizi Internet (HTML)
-
WWW
-
FTP
-
-
-
Eseguire i test funzionali seguenti:
-
Documenti ipertestuali (HTML)
-
Pagine ASP (ASP)
-
Estensioni del Server di FrontPage, quali la connessione, la modifica e il salvataggio, se FPSE è attivata mentre si utilizza lo strumento di blocco
-
Proteggere le connessioni di Socket Layers (SSL)
-
Concedere autorizzazioni e la proprietà all'amministratore e al sistema
A tale scopo, attenersi alla procedura seguente:
-
Aprire Esplora risorse. A tale scopo, fare clic su Start, scegliere programmie quindi fare clic su In Esplora risorse.
-
Espandere risorse del Computer.
-
Destro (si tratta in genere l'unità C) l'unità di sistema e quindi scegliere proprietà.
-
Fare clic sulla scheda protezione e quindi fare clic su Avanzate per aprire la finestra di dialogo Impostazioni controllo di accesso per il disco locale .
-
Fare clic sulla scheda proprietario , fare clic per selezionare la casella di controllo Sostituisci proprietario in Sub contenitori e oggetti e quindi fare clic su Applica. Se viene visualizzato il seguente messaggio di errore, fare clic su Continua:
Si è verificato un errore applicazione informazioni di protezione a %systemdrive%\Pagefile.sys
-
Se viene visualizzato il seguente messaggio di errore, fare clic su Sì:
Non è autorizzato a leggere il contenuto della directory %systemdrive%\System informazioni sul Volume - si desidera sostituire le autorizzazioni della directory, verranno sostituite tutte le autorizzazioni che assegnino il controllo completo
-
Fare clic su OK per chiudere la finestra di dialogo.
-
Fare clic su Aggiungi.
-
Aggiungere i seguenti utenti e concedere loro le autorizzazioni NTFS di controllo completo:
-
Amministratore
-
System
-
Creator Owner
-
-
Dopo aver aggiunto le autorizzazioni NTFS, fare clic su Avanzate, fare clic per selezionare la casella di controllo Reimposta autorizzazioni su tutti gli oggetti figlio e abilita la propagazione delle autorizzazioni ereditabili e quindi fare clic su Applica.
-
Se viene visualizzato il seguente messaggio di errore, fare clic su Continua:
Si è verificato un errore applicazione informazioni di protezione a %systemdrive%\Pagefile.sys
-
Dopo aver reimpostato le autorizzazioni NTFS, fare clic su OK.
-
Selezionare il gruppo Everyone , fare clic su Rimuovie quindi fare clic su OK.
-
Aprire le proprietà della cartella c:\Programmi\File %systemdrive%\Program e quindi fare clic sulla scheda protezione , Aggiungi l'account utilizzato per l'accesso anonimo. Per impostazione predefinita, questo è l'account IUSR _ < nomecomputer >. Quindi, aggiungere il gruppo di utenti. Assicurarsi che siano selezionate solo le seguenti:
-
Lettura ed esecuzione
-
Visualizzazione contenuto cartella
-
Lettura
-
-
Aprire le proprietà della directory principale che contiene contenuto Web. Per impostazione predefinita è la cartella %systemdrive%\Inetpub\Wwwroot. Fare clic sulla scheda protezione , aggiungere l'account IUSR _ < nomecomputer > e il gruppo di utenti e quindi assicurarsi che siano selezionate solo le seguenti:
-
Lettura ed esecuzione
-
Visualizzazione contenuto cartella
-
Lettura
-
-
Se si desidera concedere l'autorizzazione di scrittura NTFS per Inetpub\FTProot o il percorso della directory per il sito FTP o siti, ripetere il passaggio 15. Nota: Si consiglia di non concedere le autorizzazioni di scrittura NTFS per l'account anonimo in qualsiasi directory, incluse le directory utilizzate dal servizio FTP utilizza. Ciò può causare inutili dati da caricare sul server Web.
Disattivare l'ereditarietà nelle directory di sistema
A tale scopo, attenersi alla procedura seguente:
-
Nella cartella %systemroot%\System32, selezionare tutte le cartelle ad eccezione dei seguenti:
-
Inetsrv
-
Certsrv (se presente)
-
COM
-
-
Destro restanti cartelle, fare clic su proprietàe quindi fare clic sulla scheda protezione .
-
Fare clic per deselezionare la casella di controllo Consenti autorizzazioni ereditabili , fare clic su Copiae quindi fare clic su OK.
-
Nella cartella % systemroot %, selezionare tutte le cartelle ad eccezione dei seguenti:
-
Assembly (se presente)
-
File di programma scaricati
-
aiuto
-
Microsoft.NET (se presente)
-
Pagine Web non in linea
-
System32
-
Attività
-
TEMP
-
Web
-
-
Destro restanti cartelle, fare clic su proprietàe quindi fare clic sulla scheda protezione .
-
Fare clic per deselezionare la casella di controllo Consenti autorizzazioni ereditabili , fare clic su Copiae quindi fare clic su OK.
-
Applicare le autorizzazioni per le operazioni seguenti:
-
Aprire le proprietà per la cartella % systemroot %, fare clic sulla scheda protezione , aggiungere gli account IUSR _ < nomecomputer > e IWAM_ < nomecomputer > e il gruppo di utenti e quindi verificare che solo i seguenti selezionato:
-
Lettura ed esecuzione
-
Visualizzazione contenuto cartella
-
Lettura
-
-
Aprire le proprietà della cartella %systemroot%\Temp, selezionare l'account IUSR _ < nomecomputer > (questo account è già presente in quanto eredita dalla cartella Winnt) e quindi fare clic per selezionare la casella di controllo di Modifica . Ripetere questo passaggio per l'account IWAM _ < nomecomputer > e Gruppo di utenti .
-
Se client estensioni Server di FrontPage come FrontPage o Microsoft Visual InterDev sono in uso, aprire le proprietà della cartella %systemdrive%\Inetpub\Wwwroot, selezionare il gruppo Authenticated Users , selezionare le seguenti e quindi fare clic su OK :
-
Modificare
-
Lettura ed esecuzione
-
Visualizzazione contenuto cartella
-
Lettura
-
Scrittura
-
-
Autorizzazioni NTFS
Nella tabella seguente sono elencate le autorizzazioni che verranno applicate quando si esegue la procedura nella sezione "Disattiva l'ereditarietà nelle directory di sistema". Questa tabella è solo per riferimento. Per applicare le autorizzazioni nella tabella seguente, attenersi alla seguente procedura:
-
Aprire Esplora risorse. A tale scopo, fare clic su Start, scegliere programmi, Accessorie quindi fare clic su Esplora.
-
Espandere risorse del Computer.
-
Destro % systemroot %e quindi scegliere proprietà.
-
Fare clic sulla scheda protezione e quindi fare clic su Avanzate.
-
Fare doppio clic su autorizzazionie quindi selezionare l'impostazione appropriata dall'elenco Applica a .
Nota: Nella "colonna applica a", il termine che predefinita fa riferimento a "Questa cartella, sottocartelle e file."
Directory |
Users\Groups |
Autorizzazioni |
Applica a |
---|---|---|---|
%systemroot%\ (c:\winnt) |
Amministratore |
Controllo completo |
Impostazione predefinita |
System |
Controllo completo |
Impostazione predefinita |
|
Utenti |
Lettura, esecuzione |
Impostazione predefinita |
|
%systemroot%\system32 |
Amministratori |
Controllo completo |
Impostazione predefinita |
System |
Controllo completo |
Impostazione predefinita |
|
Utenti |
Lettura, esecuzione |
Impostazione predefinita |
|
%systemroot%\system32\inetsrv |
Amministratori |
Controllo completo |
Impostazione predefinita |
System |
Controllo completo |
Impostazione predefinita |
|
Utenti |
Lettura, esecuzione |
Impostazione predefinita |
|
Inetpub\adminscripts |
Amministratori |
Controllo completo |
Impostazione predefinita |
Inetpub\urlscan (se presente) |
Amministratori |
Controllo completo |
Impostazione predefinita |
System |
Controllo completo |
Impostazione predefinita |
|
%systemroot%\system32\inetsrv\metaback |
Amministratori |
Controllo completo |
Impostazione predefinita |
System |
Controllo completo |
Impostazione predefinita |
|
%systemroot%\help\iishelp\common |
Amministratori |
Controllo completo |
Questa cartella e file |
System |
Controllo completo |
Questa cartella e file |
|
IWAM_<Machinename> |
Lettura, esecuzione |
Questa cartella e file |
|
Rete |
Controllo completo |
Questa cartella e file |
|
Servizio |
Questa cartella e file |
||
Utenti |
Lettura, esecuzione |
Questa cartella e file |
|
Inetpub\Wwwroot (o directory di contenuto) |
Amministratori |
Controllo completo |
Questa cartella e file |
System |
Controllo completo |
Questa cartella e file |
|
IWAM_<MachineName> |
Lettura, esecuzione |
Questa cartella e file |
|
Servizio |
Lettura, esecuzione |
Questa cartella e file |
|
Rete |
Lettura, esecuzione |
Questa cartella e file |
|
Optional**: |
Utenti |
Lettura, esecuzione |
Questa cartella e file |
Nota: Se si utilizza le estensioni del Server di FrontPage, Authenticated Users o del gruppo utenti disponga dell'autorizzazione NTFS Modifica per creare, rinominare, scrivere o per fornire la funzionalità che potrebbe essere uno sviluppatore di disporre di un tipo di FrontPage del client, ad esempio Visual InterDev 6.0 o FrontPage 2002.
Concedere le autorizzazioni del Registro di sistema
-
Fare clic su Start, scegliere Esegui, digitare regedt32 e quindi fare clic su OK. Non utilizzare l'Editor del Registro di sistema perché esso non è possibile modificare le autorizzazioni in Windows 2000.
-
Nell'Editor del Registro di sistema individuare e selezionare HKEY_LOCAL_MACHINE.
-
Espandere System, CurrentControlSetespandere e quindi espandere servizi.
-
Selezionare la chiave IISADMIN , fare clic su protezione (o premere ALT + S), quindi selezionare Autorizzazioni (o premere MAIUSC + F12).
-
Fare clic per deselezionare la casella di controllo Consenti autorizzazioni ereditabili dal padre di propagare a questo oggetto , fare clic su Copiae quindi rimuovere tutti gli utenti ad eccezione di:
-
Amministratori (Consenti lettura e controllo completo)
-
Sistema (Consenti lettura e controllo completo)
-
-
Scegliere OK.
-
Ripetere i passaggi per la chiave MSFTPSVC .
-
Selezionare la chiave W3SVC , fare clic su protezionee quindi fare clic su autorizzazioni.
-
Fare clic per deselezionare la casella di controllo Consenti autorizzazioni ereditabili dal padre di propagare a questo oggetto e quindi rimuovere tutte le voci ad eccezione di:
-
Amministratori (Consenti lettura e controllo completo)
-
Sistema (Consenti lettura e controllo completo)
-
Rete (lettura)
-
Servizio (lettura)
-
IWAM _ < nomecomputer > (lettura)
-
-
Scegliere OK.
Registro di sistema
Nella tabella seguente sono elencate le autorizzazioni che verranno applicate quando si esegue la procedura nella sezione "Concessione di autorizzazioni nel Registro di sistema". Questa tabella è solo per riferimento. Nota: L'acronimo HKLM è l'acronimo di HKEY_LOCAL_MACHINE.
Posizione |
Users\Groups |
Autorizzazioni |
---|---|---|
HKLM\System\CurrentControlSet\Services\IISAdmin |
Amministratori |
Controllo completo |
System |
Controllo completo |
|
HKLM\System\CurrentControlSet\Services\MsFtpSvc |
Amministratori |
Controllo completo |
System |
Controllo completo |
|
HKLM\System\CurrentControlSet\Services\w3svc |
Amministratori |
Controllo completo |
System |
Controllo completo |
|
IWAM_<MachineName> |
Lettura |
Concedere diritti nel criterio di protezione locale
-
Fare clic su Start, scegliere Impostazionie quindi fare clic su Pannello di controllo.
-
Fare doppio clic su Strumenti di amministrazionee quindi fare doppio clic su Criteri di protezione locali.
-
Nella finestra di dialogo Impostazioni protezione locale , espandere Criteri localie quindi fare clic su Assegnazione diritti utente.
-
Modificare il criterio appropriato:
-
Fare doppio clic sul criterio.
-
Selezionare e quindi fare clic su Rimuovi per tutti gli utenti non elencati nella tabella.
-
Aggiungere tutti gli utenti che non è elencato. A tale scopo, fare clic su Aggiungie quindi selezionare l'utente nella finestra di dialogo Seleziona utenti o gruppi .
-
Si noti che poiché un criterio controller di dominio esegue l'override del criterio locale, è necessario assicurarsi che Criterio valido corrisponda Impostazioni criteri locali.
Criteri
Nella tabella seguente sono elencate le autorizzazioni che verranno applicate quando si esegue la procedura nella sezione "Concessione di diritti nel criterio di protezione locale".
Criterio |
Utenti |
---|---|
Accesso locale |
Amministratori |
IUSR _ < nomecomputer > (anonimi) |
|
Utenti (autenticazione necessaria) |
|
Accesso al computer dalla rete |
Amministratori |
ASPNet (.NET Framework) |
|
IUSR _ < nomecomputer > (anonimi) |
|
IWAM_<MachineName> |
|
Utenti |
|
L'accesso come processo Batch |
ASPNet |
Rete |
|
IUSR_<MachineName> |
|
IWAM_<MachineName> |
|
Servizio |
|
Accesso come servizio |
ASPNet |
Rete |
|
Ignorare controllo incrociato |
Amministratori |
IUSR _ < nomecomputer > (anonimi) |
|
Utenti (Basic integrato, Digest) |
|
IWAM_<MachineName> |
Riferimenti
Per ulteriori informazioni su come ripristinare le autorizzazioni NTFS predefinite per Windows 2000, fare clic sui numeri per visualizzare gli articoli della Microsoft Knowledge Base riportato di seguito:
266118 come ripristinare le autorizzazioni NTFS per Windows 2000
260985 minimo delle autorizzazioni necessarie per utilizzare CDONTS
324068 come impostare le autorizzazioni di IIS per oggetti specifici
815153 come configurare le autorizzazioni file NTFS per la protezione delle applicazioni ASP.NET Per ulteriori informazioni sulle autorizzazioni necessarie per IIS 6.0, fare clic sul numero riportato di seguito per visualizzare l'articolo della Microsoft Knowledge Base riportato di seguito:
Autorizzazioni e diritti utente per IIS 6.0 812614
Ulteriori informazioni
In questo articolo non fa riferimento a uno dei requisiti di protezione specifici dei seguenti ruoli del server o delle applicazioni:
-
Controller di dominio di Windows 2000
-
Microsoft Exchange 5.5 o Microsoft Exchange 2000 Outlook Web Access
-
Microsoft Small Business Server 2000
-
Microsoft SharePoint Portal o Team Services
-
Microsoft Commerce Server 2000 o Microsoft Commerce Server 2002
-
Microsoft BizTalk Server 2000 o Microsoft BizTalk Server 2002
-
Microsoft Content Management Server 2000 o Microsoft Content Management Server 2002
-
Microsoft Application Center 2000
-
Le applicazioni di terze parti che dipendono dalle autorizzazioni aggiuntive