توضح هذه المقالة كيفية تعيين الحد الأدنى من الأذونات المطلوبة لخدمات معلومات إنترنت مخصص (IIS) 5.0 أو IIS 5.1 أو ملقم ويب IIS 6.0.
تقييد لهذه المقالة.
تحذير هذه المقالة صالحة فقط لخوادم ويب مخصصة استخدام وظائف IIS الأساسية، مثل خدمة محتوى HTML ثابتة بسيطة أو محتوى صفحات الملقم النشطة (ASP). تعتبر متطلبات الأذونات الموضحة في هذه المقالة خاصة فقط للأذون الأساسية لخادم ويب مخصص يقوم بتشغيل IIS 5. x أو IIS 6.0. لا يعتبر هذا المقال Microsoft ومنتجات الجهات الأخرى التي قد تتطلب أذونات مختلفة. يمكنك مراجعة وثائق الملقم والتطبيق لمتطلبات أمنية محددة. نوصي بأن تقوم مراجعة المقالات ذات الصلة الخاصة لأدوار خادم الويب الخاص بك.
خطوات الاختبار قبل تكوينات الأذونات في بيئة الإنتاج
قبل إجراء تغييرات على الأذونات على خادم ويب إنتاج، نوصي بأن تقوم بالخطوات التالية:
-
قم بتشغيل أحدث إصدار أداة IIS Lockdown. تم تثبيت البرامج والخدمات التالية كجزء من مجموعة الاختبار التي تم استخدامها لاختبار أمان الخادم بعد منح الأذونات الموضحة في هذه المقالة:
-
خدمات الفهرسة
-
خدمات المحطة الطرفية
-
مصحح أخطاء البرنامج النصي
-
IIS
-
الملفات المشتركة
-
الوثائق
-
ملحقات ملقم FrontPage 2000
-
إدارة خدمات إنترنت (HTML)
-
WWW
-
بروتوكول نقل الملفات
-
-
-
تنفيذ الاختبارات الوظيفية التالية:
-
مستندات النص التشعبي (HTML)
-
صفحات الملقم النشطة (ASP)
-
ملحقات ملقم FrontPage، مثل الاتصال وتحريرها وحفظها، إذا تم تمكين FPSE أثناء استخدام أداة تأمين
-
طبقات مأخذ التوصيل الآمنة (SSL) اتصالات
-
منح الملكية وأذن لمدير البرنامج والنظام
للقيام بذلك، اتبع الخطوات التالية:
-
افتح Windows Explorer للقيام بذلك، انقر فوق ابدأ، ثم انقر فوق البرامج، وثم انقر فوق مستكشف Windows.
-
قم بتوسيع جهاز الكمبيوتر.
-
انقر نقراً مزدوجاً فوق محرك أقراص النظام (هذا هو عادة محرك الأقراص C)، ومن ثم انقر فوق خصائص.
-
انقر فوق علامة التبويب أمان ، ومن ثم انقر فوق خيارات متقدمة لفتح مربع الحوار إعدادات التحكم بالوصول "القرص المحلي" .
-
انقر فوق علامة التبويب مالك وانقر لتحديد خانة الاختيار استبدال المالك في الحاويات الفرعية والكائنات ، ومن ثم انقر فوق تطبيق. إذا تلقيت رسالة الخطأ التالية، انقر فوق " متابعة":
حدث خطأ أثناء تطبيق معلومات الأمان على %systemdrive%\Pagefile.sys
-
إذا تلقيت رسالة الخطأ التالية، انقر فوق " نعم":
ليس لديك الإذن بقراءة محتويات الدليل %systemdrive%\System "معلومات وحدة التخزين"-هل تريد استبدال أذونات الدليل-سيتم استبدال كافة الأذونات منح "التحكم الكامل"
-
انقر فوق موافق لإغلاق مربع الحوار.
-
انقر فوق إضافة.
-
إضافة المستخدمين التاليين، ومن ثم منحهم أذونات NTFS للتحكم الكامل:
-
مدير البرنامج
-
النظام
-
مالك منشئ
-
-
بعد قيامك بإضافة هذه أذونات NTFS، انقر فوق خيارات متقدمة، انقر لتحديد خانة الاختيار إعادة تعيين الأذونات في كافة الكائنات التابعة وتمكين انتشار الأذونات القابلة للتوريث ، وثم انقر فوق تطبيق.
-
إذا تلقيت رسالة الخطأ التالية، انقر فوق " متابعة":
حدث خطأ أثناء تطبيق معلومات الأمان على %systemdrive%\Pagefile.sys
-
بعد إعادة تعيين أذونات NTFS، انقر فوق "موافق".
-
انقر فوق مجموعة Everyone ، انقر فوق إزالة، وثم انقر فوق موافق.
-
فتح خصائص مجلد "الملفات المشتركة" %systemdrive%\Program ومن ثم انقر فوق علامة التبويب أمان إضافة حساب المستخدم للوصول المجهول. بشكل افتراضي، هذا الحساب IUSR_ < اسم > الجهاز. ثم إضافة مجموعة المستخدمين. تأكد من أنه تم تحديد ما يلي:
-
القراءة والتنفيذ
-
سرد محتويات المجلد
-
Read
-
-
فتح خصائص الدليل الجذر الذي يحتوي على محتوى صفحة ويب. بشكل افتراضي، هذا هو المجلد %systemdrive%\Inetpub\Wwwroot. انقر فوق علامة التبويب الأمان وإضافة حساب IUSR_ < اسم > الجهاز ومجموعة المستخدمين ثم تأكد من تحديد ما يلي:
-
القراءة والتنفيذ
-
سرد محتويات المجلد
-
Read
-
-
إذا أردت منح أذونات NTFS الكتابة ل Inetpub\FTProot أو مسار الدليل لموقع FTP الخاص بك أو المواقع، كرر الخطوة 15. ملاحظة: لا نوصي بمنح أذونات NTFS الكتابة للحساب المجهول في أية دلائل، بما في ذلك الدلائل المستخدمة باستخدام خدمة FTP. يمكن أن يسبب هذا البيانات غير الضرورية التي يمكن تحميلها على خادم الويب الخاص بك.
تعطيل التوريث في دلائل النظام
للقيام بذلك، اتبع الخطوات التالية:
-
في المجلد %systemroot%\System32، حدد كافة المجلدات فيما عدا ما يلي:
-
Inetsrv
-
Certsrv (أن وجدت)
-
COM
-
-
انقر نقراً مزدوجاً فوق المجلدات المتبقية وانقر فوق خصائصثم انقر فوق علامة التبويب أمان .
-
انقر لإلغاء تحديد خانة الاختيار السماح بانتشار الأذونات القابلة للتوريث وانقر فوق نسخثم انقر فوق موافق.
-
في المجلد % systemroot %، حدد كافة المجلدات فيما عدا ما يلي:
-
التجميع (أن وجدت)
-
ملفات البرامج التي تم تنزيلها
-
تعليمات
-
Microsoft.NET (إذا كان موجوداً)
-
صفحات ويب دون اتصال
-
System32
-
المهام
-
درجة الحرارة
-
ويب
-
-
انقر نقراً مزدوجاً فوق المجلدات المتبقية وانقر فوق خصائصثم انقر فوق علامة التبويب أمان .
-
انقر لإلغاء تحديد خانة الاختيار السماح بانتشار الأذونات القابلة للتوريث وانقر فوق نسخثم انقر فوق موافق.
-
تطبيق الأذونات على ما يلي:
-
فتح خصائص المجلد % systemroot % وانقر فوق علامة التبويب أمان ، إضافة حسابات IUSR_ < اسم الجهاز > و < اسم > الجهاز IWAM_ ومجموعة المستخدمين وثم تأكد من أن ما يلي المحدد:
-
القراءة والتنفيذ
-
سرد محتويات المجلد
-
Read
-
-
فتح خصائص المجلد %systemroot%\Temp وحدد حساب IUSR_ < اسم > الجهاز (هذا الحساب موجود بالفعل لأنه يرث من المجلد Winnt) ثم انقر لتحديد خانة الاختيار تعديل . كرر هذه الخطوة لحساب IWAM_ < اسم الجهاز > و مجموعة المستخدمين .
-
إذا عملاء ملحق ملقم FrontPage مثل استخدام FrontPage أو مواقع ويب Microsoft، افتح خصائص المجلد %systemdrive%\Inetpub\Wwwroot حدد مجموعة Authenticated Users ، حدد ما يلي وثم انقر فوق "موافق" :
-
تعديل
-
القراءة والتنفيذ
-
سرد محتويات المجلد
-
Read
-
الكتابة
-
-
أذونات NTFS
يسرد الجدول التالي الأذونات التي سيتم تطبيقها عند اتباع الخطوات الموجودة في قسم "تعطيل التوريث في دلائل النظام". هذا الجدول للرجوع إليها فقط. لتطبيق الأذونات في الجدول التالي، اتبع الخطوات التالية:
-
افتح Windows Explorer للقيام بذلك، انقر فوق ابدأ، ثم انقر فوق البرامج، انقر فوق البرامج الملحقة، وثم انقر فوق مستكشف Windows.
-
قم بتوسيع جهاز الكمبيوتر.
-
انقر نقراً مزدوجاً فوق المجلد % systemroot %، ومن ثم انقر فوق خصائص.
-
انقر فوق علامة التبويب أمان ، ومن ثم انقر فوق خيارات متقدمة.
-
انقر نقراً مزدوجاً فوق الأذوناتومن ثم حدد الإعداد المناسب من القائمة تطبيق على .
ملاحظة: عمود في "تنطبق على"، مصطلح يشير الافتراضية إلى "هذا المجلد والمجلدات الفرعية والملفات."
|
الدليل |
Users\Groups |
أذونات |
تطبيق على |
|---|---|---|---|
|
%systemroot%\ (c:\winnt) |
مدير البرنامج |
التحكم الكامل |
الافتراضي |
|
النظام |
التحكم الكامل |
الافتراضي |
|
|
المستخدمون |
قراءة وتنفيذ |
الافتراضي |
|
|
%systemroot%\system32 |
Administrators |
التحكم الكامل |
الافتراضي |
|
النظام |
التحكم الكامل |
الافتراضي |
|
|
المستخدمون |
قراءة وتنفيذ |
الافتراضي |
|
|
%systemroot%\system32\inetsrv |
Administrators |
التحكم الكامل |
الافتراضي |
|
النظام |
التحكم الكامل |
الافتراضي |
|
|
المستخدمون |
قراءة وتنفيذ |
الافتراضي |
|
|
Inetpub\adminscripts |
Administrators |
التحكم الكامل |
الافتراضي |
|
Inetpub\urlscan (إذا كان موجوداً) |
Administrators |
التحكم الكامل |
الافتراضي |
|
النظام |
التحكم الكامل |
الافتراضي |
|
|
%systemroot%\system32\inetsrv\metaback |
Administrators |
التحكم الكامل |
الافتراضي |
|
النظام |
التحكم الكامل |
الافتراضي |
|
|
%systemroot%\help\iishelp\common |
Administrators |
التحكم الكامل |
هذا المجلد والملفات |
|
النظام |
التحكم الكامل |
هذا المجلد والملفات |
|
|
IWAM_<Machinename> |
قراءة وتنفيذ |
هذا المجلد والملفات |
|
|
شبكة الاتصال |
التحكم الكامل |
هذا المجلد والملفات |
|
|
خدمة |
هذا المجلد والملفات |
||
|
المستخدمون |
قراءة وتنفيذ |
هذا المجلد والملفات |
|
|
Inetpub\wwwroot (أو الدلائل المحتوى) |
Administrators |
التحكم الكامل |
هذا المجلد والملفات |
|
النظام |
التحكم الكامل |
هذا المجلد والملفات |
|
|
IWAM_<MachineName> |
قراءة وتنفيذ |
هذا المجلد والملفات |
|
|
خدمة |
قراءة وتنفيذ |
هذا المجلد والملفات |
|
|
شبكة الاتصال |
قراءة وتنفيذ |
هذا المجلد والملفات |
|
|
Optional**: |
المستخدمون |
قراءة وتنفيذ |
هذا المجلد والملفات |
ملاحظة: إذا كنت تستخدم ملحقات ملقم FrontPage، يجب أن يكون لديك Authenticated Users أو المجموعة Users أذونات NTFS التغيير لإنشاء أو إعادة تسمية، كتابة أو لتوفير الوظائف التي قد يكون لديك من نوع FrontPage للعميل، مثل مطور مواقع ويب 6.0 أو FrontPage 2002.
منح أذونات في السجل
-
انقر فوق ابدأ، ثم انقر فوق تشغيل، واكتب regedt32وثم انقر فوق موافق. لا تستخدم "محرر التسجيل" لأنه لا يسمح لك بتغيير الأذونات في Windows 2000.
-
في "محرر التسجيل"، حدد موقع وحدد HKEY_LOCAL_MACHINE.
-
توسيع النظام، قم بتوسيع كورينتكونترولسيتثم قم بتوسيع الخدمات.
-
حدد مفتاح IISADMIN ، انقر فوق الأمان (أو اضغط على ALT + S)، ثم حدد أذونات (أو اضغط P).
-
انقر لإلغاء تحديد خانة الاختيار السماح بانتشار الأذونات القابلة للتوريث من الكائن الأصل للنشر إلى هذا الكائن ، انقر فوق نسخوقم بإزالة كافة المستخدمين استثناء:
-
المسؤولين (السماح بالتحكم الكامل، والقراءة)
-
النظام (السماح بالتحكم الكامل، والقراءة)
-
-
انقر فوق موافق.
-
كرر الخطوات لمفتاح MSFTPSVC .
-
حدد مفتاح W3SVC وانقر فوق الأمانثم انقر فوق أذونات.
-
انقر لإلغاء تحديد خانة الاختيار السماح بانتشار الأذونات القابلة للتوريث من الكائن الأصل للنشر إلى هذا الكائن ، ثم قم بإزالة كافة الإدخالات استثناء:
-
المسؤولين (السماح بالتحكم الكامل، والقراءة)
-
النظام (السماح بالتحكم الكامل، والقراءة)
-
الشبكة (قراءة)
-
خدمة (قراءة)
-
IWAM_ < اسم الجهاز > (قراءة)
-
-
انقر فوق موافق.
التسجيل
يسرد الجدول التالي الأذونات التي سيتم تطبيقها عند اتباع الخطوات الموجودة في القسم "منح أذونات في السجل". هذا الجدول للرجوع إليها فقط. ملاحظة: الاختصار تعني HKEY_LOCAL_MACHINE HKLM.
|
موقع |
Users\Groups |
أذونات |
|---|---|---|
|
HKLM\System\CurrentControlSet\Services\IISAdmin |
Administrators |
التحكم الكامل |
|
النظام |
التحكم الكامل |
|
|
HKLM\System\CurrentControlSet\Services\MsFtpSvc |
Administrators |
التحكم الكامل |
|
النظام |
التحكم الكامل |
|
|
HKLM\System\CurrentControlSet\Services\w3svc |
Administrators |
التحكم الكامل |
|
النظام |
التحكم الكامل |
|
|
IWAM_<MachineName> |
Read |
منح حقوق في "نهج الأمان المحلي"
-
انقر فوق ابدأوانقر فوق إعداداتثم انقر فوق لوحة التحكم.
-
انقر نقراً مزدوجاً فوق أدوات إدارية، ومن ثم انقر نقراً مزدوجاً فوق نهج الأمان المحلي.
-
في مربع الحوار إعدادات الأمان المحلي ، قم بتوسيع النهج المحلية، ومن ثم انقر فوق تعيين حقوق المستخدم.
-
تعديل النهج المناسب:
-
انقر نقراً مزدوجاً فوق النهج.
-
انقر فوق إزالة لأي مستخدم غير مسرود في الجدول.
-
قم بإضافة أي مستخدم غير مسرود. للقيام بذلك، انقر فوق إضافة، ومن ثم حدد المستخدم في مربع الحوار تحديد مستخدمين أو مجموعات .
-
لاحظ أن لتتجاوز نهج وحدة تحكم مجال نهج محلي، يجب التأكد من أن النهج الفعالة يطابق النهج المحلي.
نهج
يسرد الجدول التالي الأذونات التي سيتم تطبيقها عند اتباع الخطوات الموجودة في القسم "منح حقوق في نهج الأمان المحلي".
|
السياسة العامة |
المستخدمون |
|---|---|
|
تسجيل الدخول محلياً |
Administrators |
|
IUSR_ < اسم > الجهاز (مجهول) |
|
|
المستخدمين (مطلوب مصادقة) |
|
|
الوصول إلى هذا الكمبيوتر من شبكة الاتصال |
Administrators |
|
شبكة المدارس المنتسبة (.NET Framework) |
|
|
IUSR_ < اسم > الجهاز (مجهول) |
|
|
IWAM_<MachineName> |
|
|
المستخدمون |
|
|
قم بتسجيل الدخول كمهمة دفعية |
شبكة المدارس المنتسبة |
|
شبكة الاتصال |
|
|
IUSR_<MachineName> |
|
|
IWAM_<MachineName> |
|
|
خدمة |
|
|
تسجيل الدخول كخدمة |
شبكة المدارس المنتسبة |
|
شبكة الاتصال |
|
|
تجاوز التدقيق الانتقالي |
Administrators |
|
IUSR_ < اسم > الجهاز (مجهول) |
|
|
المستخدمين (Basic، متكامل، الكلية) |
|
|
IWAM_<MachineName> |
المراجع
لمزيد من المعلومات حول كيفية استعادة أذونات NTFS الافتراضية لنظام التشغيل Windows 2000، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف ل Microsoft":
266118 كيفية استعادة أذونات NTFS الافتراضية لنظام التشغيل Windows 2000
أذونات NTFS الحد الأدنى 260985 المطلوبة لاستخدام CDONTS
كيفية تعيين أذونات IIS لكائنات معينة 324068
كيفية تكوين أذونات الملفات NTFS للأمان لتطبيقات ASP.NET 815153 لمزيد من المعلومات حول الأذونات المطلوبة في IIS 6.0، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف ل Microsoft":
الأذونات الافتراضية وحقوق المستخدم ل IIS 6.0 812614
مزيد من المعلومات
لا تتناول هذه المقالة أحد متطلبات أمنية محددة التالي أدوار الخادم أو تطبيقاته:
-
وحدة تحكم مجال Windows 2000
-
Microsoft Exchange 5.5 أو Microsoft Exchange 2000 Outlook Web Access
-
ملقم الأعمال الصغيرة Microsoft 2000
-
Microsoft SharePoint Portal أو خدمات الفريق
-
الملقم التجاري من Microsoft 2000 أو Microsoft Commerce Server 2002
-
Microsoft BizTalk Server 2000 أو Microsoft BizTalk Server 2002
-
Microsoft Content Management Server 2000 أو Microsoft Content Management Server 2002
-
2000 مركز تطبيق Microsoft
-
تطبيقات الجهات الأخرى التي تعتمد على أذونات إضافية
