この資料では、専用インターネット インフォメーション サービス (IIS) 5.0、IIS 5.1 または IIS 6.0 Web サーバーに必要な最小限のアクセス許可を設定する方法について説明します。
この記事の制限
警告: この資料で、HTML 静的コンテンツまたは単純な Active Server Pages (ASP) コンテンツの提供などの基本的な IIS 機能を使用する専用の Web サーバーに対してのみです。この資料に記載されているアクセス許可の要件は、IIS 5 を実行している専用の Web サーバーの基本的なアクセス許可のみに固有です。xまたはIIS 6.0では。この資料Microsoft とサード ・ パーティ製品の他のさまざまなアクセス許可が必要な可能性がありますは考慮されません。固有のセキュリティ要件を満たすサーバーおよびアプリケーションのマニュアルを確認することができます。お勧めする関連の記事を確認Web サーバーの役割に固有のものです。
運用環境でのアクセス許可の構成の前にテスト手順を実行します。
運用 Web サーバーにアクセス許可の変更を行う前に、次の手順を実行することお勧めします。
-
IIS Lockdown ツールの最新バージョンを実行します。次のプログラムおよびサービスは、この資料に記載されているアクセス許可を付与した後、サーバーのセキュリティをテストするために使用されたテスト スイートの一部としてインストールされました。
-
インデックス サービス
-
ターミナル サービス
-
スクリプト デバッガー
-
IIS
-
共通ファイル
-
マニュアル
-
2000 の FrontPage サーバー拡張機能
-
インターネット サービス マネージャー (HTML)
-
WWW
-
FTP
-
-
-
次の機能テストを実行します。
-
ハイパー テキスト ドキュメント (HTML)
-
Active Server Pages (ASP)
-
FrontPage サーバー拡張機能の接続、編集、および保存すると、ロックダウン ツールを使用している間に、FPSE が有効になっている場合など
-
ソケット レイヤー (SSL) 接続をセキュリティで保護します。
-
管理者およびシステムの所有権とアクセス許可を与える
これを行うには、以下の手順を実行します。
-
Windows エクスプ ローラーを開きます。これを行うには、[スタート] ボタン、[プログラム] をクリックし、 Windows エクスプ ローラー。
-
マイ コンピューターを展開します。
-
(これは通常ドライブ C)、システム ドライブを右クリックし、し、[プロパティ] をクリックします。
-
[セキュリティ] タブをクリックしを開くには、ローカル ディスクのアクセス制御の設定] ダイアログ ボックスの詳細設定] をクリックします。
-
[所有者] タブをクリックして、[サブコンテナーとオブジェクトの所有者を置き換える] チェック ボックスを選択するのには、し、[適用] をクリックします。 場合は、次のエラー メッセージが表示されたら、[続行を] をクリックします。
セキュリティ情報 %systemdrive%\Pagefile.sys を適用できませんでした。
-
次のエラー メッセージが表示されたら、[はい] をクリックします。
ディレクトリ %systemdrive%\System ボリューム情報の内容を読み取るアクセス許可がないディレクトリのアクセス許可を置換する - フル コントロールを付与するすべてのアクセス許可が置き換えられます
-
[OK]をクリックして、ダイアログ ボックスを閉じます。
-
[追加] をクリックします。
-
次のユーザーを追加し、フル コントロール NTFS アクセス許可を付与し、します。
-
管理者
-
システム
-
Creator Owner
-
-
これらの NTFS アクセス許可を追加した後は、[詳細設定] をクリックし、[子オブジェクトすべてのアクセス許可をリセットしアクセス許可の継承を有効にする] チェック ボックスをオンにし、[適用] をクリックします。
-
場合は、次のエラー メッセージが表示されたら、[続行を] をクリックします。
セキュリティ情報 %systemdrive%\Pagefile.sys を適用できませんでした。
-
NTFS アクセス許可をリセットした後は、 [ok]をクリックします。
-
Everyoneグループをクリックして、削除を、] をクリックし、[ OK] をクリックします。
-
%Systemdrive%\Program ファイルのファイル フォルダーのプロパティを開き、[セキュリティ] タブの匿名アクセスに使用されるアカウントの追加] をクリックします。既定では、これは、iusr _ < コンピューター名 > アカウントです。次に、Users グループを追加します。次の項目だけが選択されていることを確認します。
-
読み取りし、実行
-
フォルダー内容の一覧
-
読み取り
-
-
Web のコンテンツを保持しているルート ディレクトリのプロパティを開きます。既定では、これは、%systemdrive%\Inetpub\Wwwroot フォルダーです。[セキュリティ] タブをクリックして、iusr _ < コンピューター名 > アカウントとユーザー グループを追加して次の項目だけが選択されていることを確認します。
-
読み取りし、実行
-
フォルダー内容の一覧
-
読み取り
-
-
Inetpub\FTProot に対する書き込みの NTFS アクセス許可、または FTP サイトまたはサイトのディレクトリ パスを許可する場合は、手順 15 を繰り返します。
-
FTP サービスの使用方法で使用するディレクトリを含む、すべてのディレクトリの匿名アカウントに NTFS の書き込み] アクセス許可を付与することはお勧めしません。不要なデータを Web サーバーにアップロードする原因になります。