В данной статье описывается, как задать минимальные разрешения, необходимые для выделенный Интернет сведения служб (IIS) версии 5.0, IIS 5.1 и IIS 6.0 веб-сервер.
Ограничение для данной статьи
Предупреждение В этой статье допускается только для выделенных веб-серверы, использующие базовые функциональные возможности служб IIS, например содержимого HTML статическим содержимым или с простыми ASP (ASP). Необходимые разрешения, описанные в этой статье относятся только к основные разрешения для выделенных веб-сервера, на котором выполняется IIS 5. x или IIS 6.0. В этой статье не рассматриваются другие Microsoft и сторонних продуктов , могут потребоваться различные разрешения. Можно просмотреть сервер и приложение документации специальные требования по безопасности. Рекомендуется, чтобы просмотреть соответствующие статьи , характерные для роли веб-сервера.
Тестирование действия до разрешения конфигураций в производственной среде
Перед изменением разрешений на производственном веб-сервере, рекомендуется выполнить следующие действия:
-
Запустите последнюю версию мастера закрытия служб IIS. Как часть набора тестов, который использовался для проверки безопасности сервера после предоставления разрешения, описанные в данной статье были установлены следующие программы и службы:
-
Индекс службы
-
Службы терминалов
-
Отладчик сценариев
-
СЛУЖБЫ IIS
-
Общие файлы
-
Документация
-
Серверные расширения FrontPage 2000
-
Диспетчер служб Интернета (HTML)
-
ВЕБ-ПУБЛИКАЦИИ
-
FTP
-
-
-
Выполните следующие функциональные тесты.
-
Гипертекстовых документов (HTML)
-
ASP (ASP)
-
Серверные расширения FrontPage, например подключение, редактирование и сохранение, использовать средство блокировки при включении FPSE
-
Безопасные подключения сокета слои (SSL)
-
Прав собственности и разрешений администратора и системы
Для этого выполните следующие действия.
-
Откройте проводник. Чтобы сделать это, нажмите кнопку Пуск, выберите пункт программыи нажмите кнопку Проводник Windows.
-
Разверните узел Мой компьютер.
-
Щелкните правой кнопкой мыши системный диск (обычно это диск C) и выберите команду Свойства.
-
Перейдите на вкладку Безопасность и нажмите кнопку Дополнительно , чтобы открыть диалоговое окно Параметры управления доступом на локальном диске .
-
Откройте вкладку владелец , установите флажок Заменить владельца Sub контейнеров и объектов и нажмите кнопку Применить. Если появляется следующее сообщение об ошибке, нажмите кнопку " Продолжить":
Произошла ошибка при применении параметров безопасности к %systemdrive%\Pagefile.sys
-
Если появляется следующее сообщение об ошибке, нажмите кнопку Да.
Нет разрешения на чтение содержимого каталога %systemdrive%\System сведения о томе - нужно заменить разрешения каталога - все разрешения будут заменены права полного доступа
-
Нажмите кнопку ОК , чтобы закрыть диалоговое окно.
-
Нажмите кнопку Добавить.
-
Добавление следующих пользователей и предоставить им разрешение полного управления NTFS:
-
Администратор
-
Система
-
Создатель-владелец
-
-
После добавления этих разрешений NTFS, нажмите кнопку Дополнительно, установите флажок Заменить разрешения для всех дочерних объектов и включить перенос наследуемых разрешений и нажмите кнопку Применить.
-
Если появляется следующее сообщение об ошибке, нажмите кнопку " Продолжить":
Произошла ошибка при применении параметров безопасности к %systemdrive%\Pagefile.sys
-
После сброса разрешений NTFS, нажмите кнопку ОК.
-
Выберите группу все , нажмите кнопку Удалитьи затем нажмите кнопку ОК.
-
Откройте окно свойств папки «%systemdrive%\Program Files\Common» и перейдите на вкладку Безопасность добавить учетную запись, используемую для анонимного доступа. По умолчанию это учетная запись IUSR_ < имя_компьютера >. Затем добавьте группу «Пользователи». Убедитесь, что выбраны только следующее:
-
Чтение и выполнение
-
Список содержимого папки
-
Чтение
-
-
Откройте окно Свойства для корневого каталога, который содержит веб-содержимого. По умолчанию это папка %systemdrive%\Inetpub\Wwwroot. Перейдите на вкладку Безопасность и добавьте группу «Пользователи» и учетная запись IUSR_ < имя_компьютера > убедитесь, что выбраны только следующее:
-
Чтение и выполнение
-
Список содержимого папки
-
Чтение
-
-
Если требуется предоставить разрешение записи NTFS для Inetpub\FTProot или путь к каталогу для FTP-узла или веб-узлы, повторите шаг 15. Примечание. Не рекомендуется предоставлять разрешения записи NTFS для анонимной учетной записи во всех директориях, включая каталоги, используемые использует службы FTP. Это может вызвать ненужные данные для отправки на веб-сервере.
Отключение наследования в системных каталогах
Для этого выполните следующие действия.
-
В папке %systemroot%\System32 выберите все папки, кроме следующих:
-
INETSRV
-
Certsrv (при наличии)
-
COM
-
-
Остальные папки правой кнопкой мыши, выберите команду Свойстваи перейдите на вкладку Безопасность .
-
Щелкните, чтобы снять флажок Разрешить наследование разрешений , нажмите кнопку Копироватьи нажмите кнопку ОК.
-
В папке % systemroot % выберите все папки, кроме следующих:
-
Сборки (если есть)
-
Загруженные файлы программ
-
Справка
-
Microsoft.NET (при наличии)
-
Автономные веб-страницы
-
System32
-
Задачи
-
TEMP
-
Web
-
-
Остальные папки правой кнопкой мыши, выберите команду Свойстваи перейдите на вкладку Безопасность .
-
Щелкните, чтобы снять флажок Разрешить наследование разрешений , нажмите кнопку Копироватьи нажмите кнопку ОК.
-
Применяются следующие разрешения:
-
Откройте свойства папки % systemroot %, перейдите на вкладку Безопасность , добавлять учетные записи IUSR_ < имя_компьютера > и < имя_компьютера > IWAM_ и группы « Пользователи » и затем убедитесь, что следующая выбрано:
-
Чтение и выполнение
-
Список содержимого папки
-
Чтение
-
-
Откройте окно свойств папки %systemroot%\Temp, выберите учетную запись IUSR_ < имя_компьютера > (эта учетная запись уже присутствует, так как он наследует папка Winnt) и установите флажок « Изменить ». Повторите этот шаг для учетной записи IWAM_ < имя_компьютера > и Группа « Пользователи ».
-
Если клиенты расширения сервера FrontPage такие как Microsoft FrontPage или Microsoft Visual InterDev используются, откройте свойства папки %systemdrive%\Inetpub\Wwwroot, выберите группу Прошедшие проверку , выберите следующее и нажмите кнопку ОК :
-
Изменить
-
Чтение и выполнение
-
Список содержимого папки
-
Чтение
-
Запись
-
-
Разрешения NTFS
В следующей таблице перечислены разрешения, которые будут применяться при выполните действия, описанные в разделе «Отключить наследование в системных каталогах». Эта таблица является только для справки. Чтобы применить разрешения в следующей таблице, выполните следующие действия.
-
Откройте проводник. Чтобы сделать это, нажмите кнопку Пуск, последовательно выберите пункты программы, Стандартныеи выберите пункт Проводник Windows.
-
Разверните узел Мой компьютер.
-
Щелкните правой кнопкой мыши % systemroot %и выберите команду Свойства.
-
Перейдите на вкладку Безопасность и нажмите кнопку Дополнительно.
-
Дважды щелкните разрешения, а затем выберите соответствующий параметр в списке Применять .
Примечание. Столбец в «применить», термин, который по умолчанию ссылается на «Этой папки, вложенные папки и файлы.»
|
Каталог |
Users\Groups |
Разрешения |
Применить к |
|---|---|---|---|
|
%systemroot%\ (c:\winnt) |
Администратор |
Полный доступ |
По умолчанию |
|
Система |
Полный доступ |
По умолчанию |
|
|
Пользователи |
Чтение, выполнение |
По умолчанию |
|
|
%systemroot%\system32 |
Администраторы |
Полный доступ |
По умолчанию |
|
Система |
Полный доступ |
По умолчанию |
|
|
Пользователи |
Чтение, выполнение |
По умолчанию |
|
|
%systemroot%\system32\inetsrv |
Администраторы |
Полный доступ |
По умолчанию |
|
Система |
Полный доступ |
По умолчанию |
|
|
Пользователи |
Чтение, выполнение |
По умолчанию |
|
|
Inetpub\adminscripts |
Администраторы |
Полный доступ |
По умолчанию |
|
Inetpub\urlscan (при наличии) |
Администраторы |
Полный доступ |
По умолчанию |
|
Система |
Полный доступ |
По умолчанию |
|
|
%systemroot%\system32\inetsrv\metaback |
Администраторы |
Полный доступ |
По умолчанию |
|
Система |
Полный доступ |
По умолчанию |
|
|
%systemroot%\help\iishelp\common |
Администраторы |
Полный доступ |
Для этой папки и файлы |
|
Система |
Полный доступ |
Для этой папки и файлы |
|
|
IWAM_<Machinename> |
Чтение, выполнение |
Для этой папки и файлы |
|
|
Сеть |
Полный доступ |
Для этой папки и файлы |
|
|
Service |
Для этой папки и файлы |
||
|
Пользователи |
Чтение, выполнение |
Для этой папки и файлы |
|
|
Inetpub\Wwwroot (или содержимое) |
Администраторы |
Полный доступ |
Для этой папки и файлы |
|
Система |
Полный доступ |
Для этой папки и файлы |
|
|
IWAM_<MachineName> |
Чтение, выполнение |
Для этой папки и файлы |
|
|
Service |
Чтение, выполнение |
Для этой папки и файлы |
|
|
Сеть |
Чтение, выполнение |
Для этой папки и файлы |
|
|
Optional**: |
Пользователи |
Чтение, выполнение |
Для этой папки и файлы |
Примечание. При использовании серверных расширений FrontPage, прошедших проверку пользователей или группы пользователей необходимо разрешение на изменение NTFS для создания, переименования, для записи или для предоставления функциональных возможностей, разработчику может потребоваться иметь из FrontPage типа клиента, такие как Visual InterDev 6.0 или FrontPage 2002.
Предоставление разрешений в реестре
-
Нажмите кнопку Пуск, выберите пункт Выполнить, введите regedt32 и нажмите кнопку ОК. Не следует использовать редактор реестра, так как он не позволяет изменять разрешения в Windows 2000.
-
В редакторе реестра найдите и выберите раздел HKEY_LOCAL_MACHINE.
-
Разверните систему, разверните CurrentControlSetи затем разверните узел службы.
-
Выберите ключ IISADMIN , перейдите на вкладку Безопасность (или нажмите клавиши ALT + S), а затем выберите Разрешения (или нажмите клавишу P).
-
Нажмите эту кнопку, снимите флажок Разрешить наследование разрешений от родительского объекта к этому объекту , нажмите кнопку Копироватьи затем удалите всех пользователей за исключением:
-
Администраторы (Разрешить полный доступ и чтение)
-
Система (Разрешить полный доступ и чтение)
-
-
Нажмите кнопку ОК.
-
Повторите действия для MSFTPSVC ключа.
-
Выберите ключ W3SVC , перейдите на вкладку Безопасностьи нажмите кнопку разрешения.
-
Снимите флажок Разрешить наследование разрешений от родительского объекта к этому объекту , а затем удалите все записи, за исключением:
-
Администраторы (Разрешить полный доступ и чтение)
-
Система (Разрешить полный доступ и чтение)
-
Сети (чтение)
-
Служба (чтение)
-
IWAM_ < имя_компьютера > (чтение)
-
-
Нажмите кнопку ОК.
Системный реестр
В следующей таблице перечислены разрешения, которые будут применяться при выполните действия, описанные в разделе «Предоставление разрешений в реестре». Эта таблица является только для справки. Примечание. Аббревиатура HKLM означает HKEY_LOCAL_MACHINE.
|
Расположение |
Users\Groups |
Разрешения |
|---|---|---|
|
HKLM\System\CurrentControlSet\Services\IISAdmin |
Администраторы |
Полный доступ |
|
Система |
Полный доступ |
|
|
HKLM\System\CurrentControlSet\Services\MsFtpSvc |
Администраторы |
Полный доступ |
|
Система |
Полный доступ |
|
|
HKLM\System\CurrentControlSet\Services\w3svc |
Администраторы |
Полный доступ |
|
Система |
Полный доступ |
|
|
IWAM_<MachineName> |
Чтение |
Предоставление прав в локальной политике безопасности
-
Нажмите кнопку Пуск, выберите пункт Параметрыи выберите пункт Панель управления.
-
Дважды щелкните значок Администрирование, а затем дважды щелкните значок Локальная политика безопасности.
-
В диалоговом окне Локальные параметры безопасностиЛокальныеполитики и щелкните Назначение прав пользователя.
-
Измените соответствующую политику:
-
Дважды щелкните политику.
-
Выбор и нажмите кнопку Удалить для любого пользователя, не перечисленных в таблице.
-
Добавьте любой пользователь, отсутствует в списке. Чтобы сделать это, нажмите кнопку Добавить, а затем выберите пользователя в диалоговом окне Выбор пользователей или групп .
-
Обратите внимание, что поскольку политика контроллера домена переопределяет локальные политики, необходимо убедиться, что Действующая политика соответствует Параметр локальной политики.
Политики
В следующей таблице перечислены разрешения, которые будут применяться при выполните действия, описанные в разделе «Предоставление прав в локальной политике безопасности».
|
Политика |
Пользователи |
|---|---|
|
Вход в систему |
Администраторы |
|
Запись IUSR_ < имя_компьютера > (анонимный) |
|
|
Пользователи (требуется проверка подлинности) |
|
|
Доступ к этому компьютеру из сети |
Администраторы |
|
ASPNet (платформа.NET Framework) |
|
|
Запись IUSR_ < имя_компьютера > (анонимный) |
|
|
IWAM_<MachineName> |
|
|
Пользователи |
|
|
Вход в качестве пакетного задания |
ASPNet |
|
Сеть |
|
|
IUSR_<MachineName> |
|
|
IWAM_<MachineName> |
|
|
Service |
|
|
Вход в качестве службы |
ASPNet |
|
Сеть |
|
|
Обход перекрестной проверки |
Администраторы |
|
Запись IUSR_ < имя_компьютера > (анонимный) |
|
|
Пользователи (Basic, интегрированный, выборки) |
|
|
IWAM_<MachineName> |
Ссылки
Дополнительные сведения о том, как восстановить по умолчанию разрешения NTFS для Windows 2000 щелкните следующий номер статьи базы знаний Майкрософт:
266118 способ восстановления по умолчанию разрешений NTFS для Windows 2000
260985 NTFS минимум разрешений на использование CDONTS
324068 инструкции по настройке разрешений IIS для отдельных объектов
815153 способ настройки файла разрешения NTFS для защиты приложений ASP.NET Дополнительные сведения о разрешениях, необходимых для IIS 6.0 щелкните следующий номер статьи базы знаний Майкрософт:
812614 Права пользователей и разрешения, устанавливаемые по умолчанию, для служб IIS 6.0
Дополнительная информация
В этой статье не рассматриваются одним из требований безопасности следующие роли сервера или приложения:
-
Контроллер домена Windows 2000
-
Microsoft Exchange 2000 служба Outlook Web Access или Microsoft Exchange 5.5
-
Microsoft Small Business Server 2000
-
Microsoft SharePoint Portal или Team Services
-
Microsoft Commerce Server 2000 или Microsoft Commerce Server 2002
-
Microsoft BizTalk Server 2000 или Microsoft BizTalk Server 2002
-
Сервер управления содержимым Microsoft 2000 или содержимого Microsoft Management Server 2002
-
Microsoft Application Center 2000
-
Сторонних приложений, которые зависят от дополнительных разрешений
