Tento článek popisuje, jak nastavit minimální oprávnění, které jsou požadovány pro vyhrazená Internetová informační služba (IIS) 5.0, IIS 5.1 nebo IIS 6.0 webového serveru.
Omezení pro tento článek
Upozornění: V tomto článku platí pouze pro vyhrazenými webovými servery, které používají základní funkce služby IIS, jako je například funkce obsahu HTML statického obsahu nebo jednoduché stránky ASP (Active Server). Požadavky oprávnění, které jsou popsány v tomto článku jsou určeny pouze pro základní oprávnění pro vyhrazený webový server se službou IIS 5. x nebo IIS 6.0. V tomto článku nebere v úvahu ostatní společnosti Microsoft a produkty jiných výrobců , které mohou vyžadovat jiné oprávnění. Můžete zkontrolovat dokumentaci k serveru a aplikace pro specifické požadavky na zabezpečení. Doporučujeme Zkontrolovat související články , které jsou specifické pro role webového serveru.
Kroky před konfigurací oprávnění při testování ve výrobním prostředí
Než změníte oprávnění na provozním webovém serveru, doporučujeme provést následující kroky:
-
Spusťte poslední verzi nástroje IIS Lockdown. Následující programy a služby byly nainstalovány jako součást sady test, který byl použit pro testování zabezpečení serveru po udělení oprávnění uvedených v tomto článku:
-
Rejstřík služeb
-
Terminálové služby
-
Ladicí prostředek skriptů
-
SLUŽBA IIS
-
Společné soubory
-
Dokumentace
-
Rozšíření FrontPage Server Extensions 2000
-
Správce služeb sítě Internet (HTML)
-
WWW
-
FTP
-
-
-
Proveďte následující funkční testy:
-
Dokumenty Hypertext (HTML)
-
Active Server Pages (ASP)
-
Rozšíření FrontPage Server Extensions, například připojení, úpravy a ukládání, pokud je povoleno rozšíření FPSE, při použití nástroje Lockdown
-
Zabezpečená připojení soketu vrstvy (SSL)
-
Přidělit vlastnictví a oprávnění správce a systému
Postupujte takto:
-
Spusťte Průzkumníka Windows. Klepněte na tlačítko Start, přejděte na příkaz programya potom klepněte na tlačítko V programu Průzkumník Windows.
-
Rozbalte položku Tento počítač.
-
Klepněte pravým tlačítkem myši systémové jednotky (obvykle je to jednotka C) a potom klepněte na příkaz Vlastnosti.
-
Klepněte na kartu zabezpečení a potom klepněte na tlačítko Upřesnit otevřete dialogové okno Nastavení řízení přístupu pro místní Disk .
-
Klepněte na kartu vlastník , zaškrtněte políčko Nahradit vlastníka v dílčích kontejnerech a objektech a potom klepněte na tlačítko použít. Pokud se zobrazí následující chybová zpráva, klepněte na tlačítko pokračovat:
Došlo k chybě použít zabezpečovací informace pro %systemdrive%\Pagefile.sys
-
Pokud se zobrazí následující chybová zpráva, klepněte na tlačítko Ano:
Nemáte oprávnění ke čtení obsahu adresáře %systemdrive%\System Volume Information - chcete nahradit oprávnění k adresáři - budou nahrazena všechna oprávnění přidělit oprávnění Úplné řízení
-
Klepnutím na tlačítko OK zavřete dialogové okno.
-
Klepněte na tlačítko Přidat.
-
Přidat tyto uživatele a udělit jim oprávnění systému NTFS k úplnému řízení:
-
Správce
-
Systém
-
Creator Owner
-
-
Po přidání těchto oprávnění systému souborů NTFS, klepněte na tlačítko Upřesnit, zaškrtněte políčko obnovit oprávnění pro všechny podřízené objekty a povolit šíření dědičných oprávnění a potom klepněte na tlačítko použít.
-
Pokud se zobrazí následující chybová zpráva, klepněte na tlačítko pokračovat:
Došlo k chybě použít zabezpečovací informace pro %systemdrive%\Pagefile.sys
-
Poté, co nastavíte oprávnění systému souborů NTFS, klepněte na tlačítko OK.
-
Klepněte na skupinu Everyone , klepněte na tlačítko Odebrata potom klepněte na tlačítko OK.
-
Otevřít vlastnosti pro složku %systemdrive%\Program Files\Common Files a potom klepněte na kartu zabezpečení , přidejte účet používaný pro anonymní přístup. Ve výchozím nastavení toto je účet IUSR_ < název_počítače >. Pak přidejte skupiny uživatelů. Ujistěte se, zda jsou vybrány pouze následující:
-
Číst a spouštět
-
Zobrazovat obsah složky
-
Pro čtení
-
-
Otevřete vlastnosti pro kořenový adresář, který obsahuje obsahu webu. Ve výchozím nastavení toto je složce %systemdrive%\Inetpub\Wwwroot. Klepněte na kartu zabezpečení , přidejte účet IUSR_ < název_počítače > a skupiny uživatelů a ujistěte se, zda jsou vybrány pouze následující:
-
Číst a spouštět
-
Zobrazovat obsah složky
-
Pro čtení
-
-
Pokud chcete udělit oprávnění Zápis NTFS \Inetpub\Ftproot nebo cestu k adresáři serveru FTP nebo weby, opakujte krok 15. Poznámka: Společnost Microsoft nedoporučuje, že udělíte oprávnění k zápisu souborů NTFS pro anonymní účet ve všech adresářích, včetně adresářů používaných FTP služba používá. To může způsobit zbytečné data, která mají být odeslány na webový server.
Zakázat dědičnost v systémových adresářů
Postupujte takto:
-
Ve složce %systemroot%\System32 vyberete všechny složky kromě následujících:
-
Inetsrv
-
Certsrv (pokud existuje)
-
CZ
-
-
Zbývajících složek klepněte pravým tlačítkem myši, klepněte na příkaz Vlastnostia potom klepněte na kartu zabezpečení .
-
Klepnutím zrušte zaškrtnutí políčka Povolit přenesení dědičných oprávnění , klepněte na tlačítko Kopírovata potom klepněte na tlačítko OK.
-
Ve složce % systemroot % vyberte všechny složky kromě následujících:
-
Sestavení (pokud existuje)
-
Stažené soubory programů
-
Pomoc
-
Microsoft.NET (pokud existuje)
-
Webové stránky offline
-
System32
-
Úkoly
-
Temp
-
Web
-
-
Zbývajících složek klepněte pravým tlačítkem myši, klepněte na příkaz Vlastnostia potom klepněte na kartu zabezpečení .
-
Klepnutím zrušte zaškrtnutí políčka Povolit přenesení dědičných oprávnění , klepněte na tlačítko Kopírovata potom klepněte na tlačítko OK.
-
Použít následující oprávnění:
-
Otevřít vlastnosti složky % systemroot %, klepněte na kartu zabezpečení , přidejte < název_počítače > IUSR_ a IWAM_ < název_počítače > účty a skupiny uživatelů a ujistěte se, že jsou pouze následující vybrané:
-
Číst a spouštět
-
Zobrazovat obsah složky
-
Pro čtení
-
-
Otevřít vlastnosti pro složku %systemroot%\Temp, vyberte účet IUSR_ < název_počítače > (Tento účet již existuje protože dědí ze složky Winnt) a poté klepnutím vyberte zaškrtávací pole změnit . Opakujte tento krok pro účet IWAM_ < název_počítače > a Skupina uživatelů .
-
Pokud klienti rozšíření FrontPage Server, jako jsou používány aplikace FrontPage nebo aplikace Microsoft Visual InterDev, otevřete dialogové okno Vlastnosti pro složce %systemdrive%\Inetpub\Wwwroot, vyberte skupinu Authenticated Users , vyberte následující volby a klepněte na tlačítko OK :
-
Upravit
-
Číst a spouštět
-
Zobrazovat obsah složky
-
Pro čtení
-
Zápis
-
-
Oprávnění systému souborů NTFS
Následující tabulka obsahuje seznam oprávnění, které budou použity při provedení kroků v části "Zakázat dědičnost v systémových adresářů". Tato tabulka je pouze pro referenci. Chcete-li použít oprávnění v tabulce, postupujte takto:
-
Spusťte Průzkumníka Windows. Klepněte na tlačítko Start, přejděte na příkaz programy, na položku Příslušenstvía klepněte na položku Průzkumník Windows.
-
Rozbalte položku Tento počítač.
-
% Systemroot %klepněte pravým tlačítkem myši a potom klepněte na příkaz Vlastnosti.
-
Klepněte na kartu zabezpečení a potom klepněte na tlačítko Upřesnit.
-
Poklepejte na položku oprávněnía potom vyberte příslušné nastavení v seznamu Použít .
Poznámka: V "vztahuje na" sloupec, termín, který odkazuje výchozí "Tato složka, podsložky a soubory."
Adresář |
Users\Groups |
Oprávnění |
Platí pro |
---|---|---|---|
%systemroot%\ (c:\winnt) |
Správce |
Úplné řízení |
Výchozí hodnota |
Systém |
Úplné řízení |
Výchozí hodnota |
|
Uživatelé |
Čtení, spouštění |
Výchozí hodnota |
|
%systemroot%\system32 |
Správci |
Úplné řízení |
Výchozí hodnota |
Systém |
Úplné řízení |
Výchozí hodnota |
|
Uživatelé |
Čtení, spouštění |
Výchozí hodnota |
|
%systemroot%\system32\inetsrv |
Správci |
Úplné řízení |
Výchozí hodnota |
Systém |
Úplné řízení |
Výchozí hodnota |
|
Uživatelé |
Čtení, spouštění |
Výchozí hodnota |
|
Inetpub\adminscripts |
Správci |
Úplné řízení |
Výchozí hodnota |
Inetpub\urlscan (pokud existuje) |
Správci |
Úplné řízení |
Výchozí hodnota |
Systém |
Úplné řízení |
Výchozí hodnota |
|
%systemroot%\system32\inetsrv\metaback |
Správci |
Úplné řízení |
Výchozí hodnota |
Systém |
Úplné řízení |
Výchozí hodnota |
|
%systemroot%\help\iishelp\common |
Správci |
Úplné řízení |
Tato složka a soubory |
Systém |
Úplné řízení |
Tato složka a soubory |
|
IWAM_<Machinename> |
Čtení, spouštění |
Tato složka a soubory |
|
Sítě |
Úplné řízení |
Tato složka a soubory |
|
Služby |
Tato složka a soubory |
||
Uživatelé |
Čtení, spouštění |
Tato složka a soubory |
|
Inetpub\Wwwroot (nebo obsahu adresáře) |
Správci |
Úplné řízení |
Tato složka a soubory |
Systém |
Úplné řízení |
Tato složka a soubory |
|
IWAM_<MachineName> |
Čtení, spouštění |
Tato složka a soubory |
|
Služby |
Čtení, spouštění |
Tato složka a soubory |
|
Sítě |
Čtení, spouštění |
Tato složka a soubory |
|
Optional**: |
Uživatelé |
Čtení, spouštění |
Tato složka a soubory |
Poznámka: Pokud používáte rozšíření FrontPage Server Extensions, Authenticated Users nebo Users musí mít oprávnění NTFS změnit, vytvořit, přejmenovat, napište nebo poskytují funkce, které vývojář pravděpodobně muset mít z aplikace FrontPage typu klienta, jako je například Visual InterDev 6.0 nebo FrontPage 2002.
Udělit oprávnění v registru
-
Klepněte na tlačítko Start, klepněte na příkaz Spustit, zadejte příkaz regedt32a klepněte na tlačítko OK. Editor registru nepoužívá, protože to neumožňuje změnit oprávnění v systému Windows 2000.
-
V editoru registru vyhledejte a vyberte HKEY_LOCAL_MACHINE.
-
Rozbalte položku systém, rozbalte položku CurrentControlSeta poté rozbalte položku služby.
-
Vyberte klíč IISADMIN , klepněte na položku zabezpečení (nebo stiskněte klávesy ALT + S) a potom vyberte Oprávnění (nebo stiskněte klávesu P).
-
Klepnutím zrušte zaškrtnutí políčka Povolit přenesení dědičných oprávnění z nadřazeného objektu na tento objekt , klepněte na tlačítko Kopírovata potom odeberte všechny uživatele s výjimkou:
-
Správci (povolit čtení a úplné řízení)
-
Systém (povolit čtení a úplné řízení)
-
-
Klikněte na tlačítko OK.
-
Opakujte kroky pro klíče MSFTPSVC .
-
Vyberte klíče W3SVC , klepněte na kartu zabezpečenía potom klepněte na tlačítko oprávnění.
-
Klepnutím zrušte zaškrtnutí políčka Povolit přenesení dědičných oprávnění z nadřazeného objektu na tento objekt a potom odeberte všechny položky s výjimkou:
-
Správci (povolit čtení a úplné řízení)
-
Systém (povolit čtení a úplné řízení)
-
V síti (čtení)
-
Služby (čtení)
-
IWAM_ < název_počítače > (čtení)
-
-
Klikněte na tlačítko OK.
Registr
Následující tabulka obsahuje seznam oprávnění, které budou použity při provedení kroků v části "Udělit oprávnění v registru". Tato tabulka je pouze pro referenci. Poznámka: Zkratka HKLM zastupuje HKEY_LOCAL_MACHINE.
Umístění |
Users\Groups |
Oprávnění |
---|---|---|
HKLM\System\CurrentControlSet\Services\IISAdmin |
Správci |
Úplné řízení |
Systém |
Úplné řízení |
|
HKLM\System\CurrentControlSet\Services\MsFtpSvc |
Správci |
Úplné řízení |
Systém |
Úplné řízení |
|
HKLM\System\CurrentControlSet\Services\w3svc |
Správci |
Úplné řízení |
Systém |
Úplné řízení |
|
IWAM_<MachineName> |
Pro čtení |
Udělit oprávnění v místních zásadách zabezpečení
-
Klepněte na tlačítko Start, klepněte na tlačítko Nastavenía potom na příkaz Ovládací panely.
-
Poklepejte na panel Nástroje pro správua potom poklepejte na položku Místní zásady zabezpečení.
-
V dialogovém okně Místní nastavení zabezpečení rozbalte položku Místní zásadya potom klepněte na tlačítko Přiřazení uživatelských práv.
-
Upravte příslušnou zásadu:
-
Poklepejte na zásadu.
-
Vyberte a klepněte na tlačítko Odebrat pro všechny uživatele, který je v tabulce nejsou uvedeny.
-
Každý uživatel, který není uveden v seznamu přidáte. Chcete-li to provést, klepněte na tlačítko Přidata vyberte uživatele v dialogovém okně Vyberte uživatele nebo skupiny .
-
Všimněte si, že vzhledem k tomu, že zásady řadiče domény potlačí místní zásady, ujistěte se, že Efektivní nastavení zásady odpovídá Nastavení místních zásad.
Zásady
Následující tabulka obsahuje seznam oprávnění, které budou použity při provedení kroků v části "Udělit práva místní zásady zabezpečení".
Zásady |
Uživatelé |
---|---|
Místní přihlášení |
Správci |
IUSR_ < název_počítače > (anonymní) |
|
Uživatele (vyžadováno ověření) |
|
Přístup k tomuto počítači ze sítě. |
Správci |
ASPNet (rozhraní.NET Framework) |
|
IUSR_ < název_počítače > (anonymní) |
|
IWAM_<MachineName> |
|
Uživatelé |
|
Přihlaste se jako dávková úloha |
ASPNet |
Sítě |
|
IUSR_<MachineName> |
|
IWAM_<MachineName> |
|
Služby |
|
Přihlášení se jako služba |
ASPNet |
Sítě |
|
Obejít křížovou kontrolu |
Správci |
IUSR_ < název_počítače > (anonymní) |
|
Uživatelé (Basic, integrovaný, Digest) |
|
IWAM_<MachineName> |
Odkazy
Další informace o obnovení výchozích oprávnění systému souborů NTFS v systému Windows 2000 klepněte na následující čísla článku zobrazení v článcích znalostní báze Microsoft Knowledge Base:
Jak 266118 obnovení výchozích oprávnění systému souborů NTFS v systému Windows 2000
260985 minimální NTFS oprávnění požadovaná použití objekty CDONTS
324068 jak nastavit oprávnění služby IIS pro specifické objekty
815153 postup při konfiguraci oprávnění systému souborů NTFS pro zabezpečení aplikací technologie ASP.NET Další informace o požadovaných oprávnění pro službu IIS 6.0 klepněte na následující číslo článku databáze Microsoft Knowledge Base:
812614 Výchozí oprávnění a uživatelská práva pro službu IIS 6.0
Další informace
Tento článek se nezabývá takové zvláštní bezpečnostní požadavky následujících rolí serveru nebo aplikací:
-
Řadič domény Windows 2000
-
Microsoft Exchange 5.5 nebo Microsoft Exchange 2000 Outlook Web Access
-
Microsoft Small Business Server 2000
-
Microsoft SharePoint Portal nebo Team Services
-
Microsoft Commerce Server 2000 nebo Microsoft Commerce Server 2002
-
Microsoft BizTalk Server 2000 nebo Microsoft BizTalk Server 2002
-
Microsoft Content Management Server 2000 nebo serveru Microsoft Content Management Server 2002
-
Microsoft Application Center 2000
-
Aplikace jiných výrobců, které jsou závislé na dalších oprávnění