전용된 인터넷 정보 서비스 (IIS) 5.0, IIS 5.1 또는 IIS 6.0 웹 서버에 필요한 최소 사용 권한을 설정 하는 방법을 설명 합니다.
이 문서에 대 한 제한
경고 여기서는 HTML 정적 콘텐츠 또는 단순 Active Server Pages (ASP) 콘텐츠 서비스를 제공 하는 등 기본 IIS 기능을 사용 하는 전용된 웹 서버에만 유효 합니다. 이 문서에서 설명 하는 사용 권한 요구 사항을 IIS 5를 실행 하는 전용된 웹 서버에 대 한 기본 권한을 관련 됩니다. x 또는 IIS 6.0입니다. 이 문서에는 다른 Microsoft 및 다른 공급 업체 제품에 다른 권한이 필요할 수 있습니다 고려 하지 않습니다. 특정 보안 요구 사항에 대 한 서버 및 응용 프로그램 설명서를 검토할 수 있습니다. 권장 하는 관련된 문서를 검토 웹 서버의 역할에 대 한 특정.
프로덕션 환경에서 사용 권한 구성 하기 전에 테스트 단계
프로덕션 웹 서버에서 사용 권한을 변경 하기 전에 다음 단계를 수행 하는 것이 좋습니다.
-
최신 버전의 IIS 잠금 도구를실행 합니다. 다음 프로그램 및 서비스는이 문서에서 설명한 사용 권한을 부여한 후 서버 보안을 테스트 하는 데 사용 된 테스트 제품군의 일부로 설치 된:
-
인덱스 서비스
-
터미널 서비스
-
스크립트 디버거
-
IIS
-
공용 파일
-
설명서
-
FrontPage Server Extensions 2000
-
인터넷 서비스 관리자 (HTML)
-
WWW
-
FTP
-
-
-
다음 기능 테스트를 수행 합니다.
-
하이퍼텍스트 문서 (HTML)
-
Active Server Pages (ASP)
-
FrontPage Server Extensions, 연결, 편집 및 저장, 잠금 도구를 사용 하는 동안 FPSE 사용 하는 경우 등
-
보안 소켓 레이어 (SSL) 연결
-
소유권과 사용 권한을 관리자와 시스템
이 작업을 수행하려면 다음 단계를 따르세요.
-
Windows 탐색기를 엽니다. 이렇게 하려면 시작프로그램누른 다음 Windows 탐색기를 시작 합니다.
-
내 컴퓨터를 확장 합니다.
-
시스템 드라이브 (일반적으로 이것이 C 드라이브)를 마우스 오른쪽 단추로 클릭 한 다음 속성을 클릭 합니다.
-
보안 탭을 클릭 하 고 로컬 디스크 액세스 컨트롤 설정 대화 상자를 열려면 고급 클릭 합니다.
-
소유자 탭을 누르고 하위 컨테이너 및 개체 소유자 바꾸기 확인란을 선택 하려면 클릭 한 다음 적용을 클릭 합니다. 다음과 같은 오류 메시지가 나타나면, 계속을 클릭 합니다.
보안 정보를 %systemdrive%\Pagefile.sys 적용 오류가 발생
-
다음과 같은 오류 메시지가 나타나면 예를 누릅니다.
-볼륨 정보 디렉터리 %systemdrive%\System의 내용을 읽을 수 있는 권한이 디렉터리 사용 권한 바꾸기를 선택 하십시오-모든 권한 모든 권한 권한을 부여 대체 됩니다
-
확인을 클릭하여 대화 상자를 닫습니다.
-
추가를 클릭합니다.
-
다음 사용자를 추가 하 고 모든 권한 NTFS 사용 권한을 부여.
-
관리자
-
시스템
-
만든 소유자
-
-
이러한 NTFS 권한을 추가한 후 고급에서 모든 자식 개체의 사용 권한 재설정 및 상속 가능한 사용 권한 전파 허용 확인란을 선택 하 고 적용을 클릭 합니다.
-
다음과 같은 오류 메시지가 나타나면, 계속을 클릭 합니다.
보안 정보를 %systemdrive%\Pagefile.sys 적용 오류가 발생
-
NTFS 사용 권한을 다시 설정한 후 확인을 클릭 합니다.
-
Everyone 그룹을 클릭 하 고 제거, 다음 확인을 누릅니다.
-
%Systemdrive%\Program 테마 파일 폴더의 속성을 열고 보안 탭의 익명 액세스에 사용 되는 계정 추가 클릭 합니다. 기본적으로 IUSR_ < MachineName > 계정은입니다. Users 그룹에 추가 합니다. 다음만 선택 되었는지 확인 합니다.
-
읽기 및 실행
-
폴더 내용 보기
-
읽기
-
-
웹 콘텐츠를 저장 하는 루트 디렉터리에 대 한 속성을 엽니다. 기본적으로 %systemdrive%\Inetpub\Wwwroot 폴더입니다. 보안 탭을 누르고 IUSR_ < MachineName > 계정과 Users 그룹을 추가 다음 다음만 선택 되었는지 확인 합니다.
-
읽기 및 실행
-
폴더 내용 보기
-
읽기
-
-
FTP 사이트 또는 사이트에 대 한 디렉터리 경로 또는 Inetpub\FTProot에 대 한 NTFS 쓰기 권한을 부여 하려는 경우 15 단계를 반복 합니다. 참고: FTP 서비스에서 사용 하 여 사용 하는 디렉터리를 포함 하 여 모든 디렉터리에서 익명 계정에 쓰기 NTFS 권한을 부여 하는 것은 좋지 않습니다. 이 인해 불필요 한 데이터가 웹 서버에 업로드할 수 있습니다.
시스템 디렉터리에서 상속 해제
이 작업을 수행하려면 다음 단계를 따르세요.
-
%Systemroot%\System32 폴더에서 다음을 제외한 모든 폴더를 선택 하십시오.
-
Inetsrv
-
Certsrv (있을 경우)
-
COM
-
-
선택 하지 않은 폴더를 마우스 오른쪽 단추로 클릭 하 고 속성을 클릭 보안 탭을 클릭 합니다.
-
상속 가능한 권한 허용 확인란의 선택을 취소 하 고 복사클릭 누른 다음 확인을 클릭 합니다.
-
% Systemroot % 폴더에서 다음을 제외한 모든 폴더를 선택 하십시오.
-
어셈블리 (있는 경우)
-
다운로드 한 프로그램 파일
-
도움말
-
Microsoft.NET (있을 경우)
-
오프 라인 웹 페이지
-
System32
-
작업
-
온도
-
웹
-
-
선택 하지 않은 폴더를 마우스 오른쪽 단추로 클릭 하 고 속성을 클릭 보안 탭을 클릭 합니다.
-
상속 가능한 권한 허용 확인란의 선택을 취소 하 고 복사클릭 누른 다음 확인을 클릭 합니다.
-
다음 사용 권한이 적용 됩니다.
-
% Systemroot % 폴더에 대 한 속성을 열고 보안 탭을 클릭, IUSR_ < MachineName > 및 < MachineName > IWAM_ 계정과 Users 그룹을 추가 하 고 다음만 한지를 확인 한 다음 선택:
-
읽기 및 실행
-
폴더 내용 보기
-
읽기
-
-
%Systemroot%\Temp 폴더의 속성을 열고 (이 계정은 이미 있으면 Winnt 폴더에서 상속) 계정을 IUSR_ < MachineName >수정 확인란을 클릭 합니다. < MachineName > IWAM_ 계정에 대해이 단계를 반복 하 고 사용자 그룹입니다.
-
FrontPage 서버 확장 클라이언트 FrontPage 나 Microsoft Visual InterDev 사용 중인와 같은 %systemdrive%\Inetpub\Wwwroot 폴더의 속성을 열고, Authenticated Users 그룹을 선택, 다음을 선택한 확인을 클릭 합니다 :
-
수정
-
읽기 및 실행
-
폴더 내용 보기
-
읽기
-
쓰기
-
-
NTFS 사용 권한
다음 표는 "시스템 디렉터리에서 상속 해제" 절의 단계를 수행할 때 적용 되는 사용 권한입니다. 이 표는 참조용 으로만 사용 됩니다. 다음 표의 사용 권한을 적용 하려면 다음과이 같이 하십시오.
-
Windows 탐색기를 엽니다. 이렇게 시작, 프로그램, 보조 프로그램및 다음 Windows 탐색기를 클릭 합니다.
-
내 컴퓨터를 확장 합니다.
-
% Systemroot %마우스 오른쪽 단추로 클릭 한 다음 속성을 클릭 합니다.
-
보안 탭을 클릭 한 다음 고급을 클릭 합니다.
-
사용 권한을 두 번 클릭 하 고 적용 대상 목록에서 적절 한 설정을 선택 합니다.
참고: "적용 대상" 열에서 기본 "이 폴더, 하위 폴더 및 파일"는 의미
디렉터리 |
Users\Groups |
사용 권한 |
에 적용 |
---|---|---|---|
%systemroot%\ (c:\winnt) |
관리자 |
모든 권한 |
기본값 |
시스템 |
모든 권한 |
기본값 |
|
사용자 |
읽기, 실행 |
기본값 |
|
%systemroot%\system32 |
관리자 |
모든 권한 |
기본값 |
시스템 |
모든 권한 |
기본값 |
|
사용자 |
읽기, 실행 |
기본값 |
|
%systemroot%\system32\inetsrv |
관리자 |
모든 권한 |
기본값 |
시스템 |
모든 권한 |
기본값 |
|
사용자 |
읽기, 실행 |
기본값 |
|
Inetpub\adminscripts |
관리자 |
모든 권한 |
기본값 |
Inetpub\urlscan (있는 경우) |
관리자 |
모든 권한 |
기본값 |
시스템 |
모든 권한 |
기본값 |
|
%systemroot%\system32\inetsrv\metaback |
관리자 |
모든 권한 |
기본값 |
시스템 |
모든 권한 |
기본값 |
|
%systemroot%\help\iishelp\common |
관리자 |
모든 권한 |
이 폴더 및 파일 |
시스템 |
모든 권한 |
이 폴더 및 파일 |
|
IWAM_<Machinename> |
읽기, 실행 |
이 폴더 및 파일 |
|
네트워크 |
모든 권한 |
이 폴더 및 파일 |
|
서비스 |
이 폴더 및 파일 |
||
사용자 |
읽기, 실행 |
이 폴더 및 파일 |
|
Inetpub\wwwroot (또는 콘텐츠 디렉터리) |
관리자 |
모든 권한 |
이 폴더 및 파일 |
시스템 |
모든 권한 |
이 폴더 및 파일 |
|
IWAM_<MachineName> |
읽기, 실행 |
이 폴더 및 파일 |
|
서비스 |
읽기, 실행 |
이 폴더 및 파일 |
|
네트워크 |
읽기, 실행 |
이 폴더 및 파일 |
|
Optional**: |
사용자 |
읽기, 실행 |
이 폴더 및 파일 |
참고: FrontPage Server Extensions를 사용 하는 경우 Authenticated Users 또는 Users 그룹 변경 NTFS 권한이 있어야 만들 수, 이름 바꾸기, 쓰기, 또는 개발자와 같은 클라이언트의 FrontPage 형식에서가 할 수 있는 기능을 제공 하기 Visual InterDev 6.0 또는 FrontPage 2002.
레지스트리에서 사용 권한 부여
-
시작 실행을 차례로 누르고 regedt32입력 한 다음 확인을 누릅니다. Windows 2000에서 사용 권한을 변경할 수 없습니다 때문에 레지스트리 편집기를 사용 하지 마십시오.
-
레지스트리 편집기에서 찾아 HKEY_LOCAL_MACHINE을 선택 합니다.
-
시스템확장 CurrentControlSet확장 한 다음 서비스를 확장.
-
IISADMIN 키, 보안 을 클릭 하거나 ALT + s를 선택한 후 사용 권한 또는 P 키를 누릅니다.
-
상속 가능한 사용 권한을이 개체로 전파할 수 부모 개체에서 확인란의 선택을 취소 하 고 복사클릭 한 다음 모든 사용자를 제거 를 제외 하 고를 누릅니다.
-
관리자 (읽기 및 모든 권한 허용)
-
시스템 (읽기 및 모든 권한 허용)
-
-
확인을 클릭합니다.
-
MSFTPSVC 키에 대해 단계를 반복 합니다.
-
W3SVC 키를 선택 합니다. 보안누른 다음 사용 권한을 클릭 합니다.
-
상속 가능한 사용 권한을이 개체로 전파할 수 부모 개체에서 확인란의 선택을 취소 하 고 모든 항목을 제외 하 고제거 합니다.
-
관리자 (읽기 및 모든 권한 허용)
-
시스템 (읽기 및 모든 권한 허용)
-
네트워크 (읽기)
-
서비스 (읽기)
-
IWAM_ < MachineName > (읽기)
-
-
확인을 클릭합니다.
레지스트리
다음 표에서 "레지스트리에서 권한 부여" 섹션의 단계를 수행할 때 적용 되는 사용 권한을 보여 줍니다. 이 표는 참조용 으로만 사용 됩니다. 참고: 약어 HKLM HKEY_LOCAL_MACHINE 나타냅니다.
위치 |
Users\Groups |
사용 권한 |
---|---|---|
HKLM\System\CurrentControlSet\Services\IISAdmin |
관리자 |
모든 권한 |
시스템 |
모든 권한 |
|
HKLM\System\CurrentControlSet\Services\MsFtpSvc |
관리자 |
모든 권한 |
시스템 |
모든 권한 |
|
HKLM\System\CurrentControlSet\Services\w3svc |
관리자 |
모든 권한 |
시스템 |
모든 권한 |
|
IWAM_<MachineName> |
읽기 |
로컬 보안 정책에서 권한 부여
-
시작 설정누른 다음 제어판을 클릭 합니다.
-
관리 도구두 번 클릭 한 다음 로컬 보안 정책을 두 번 클릭 합니다.
-
로컬 보안 설정 대화 상자에서 로컬 정책확장 한 다음 사용자 권한 할당을 클릭 합니다.
-
해당 정책을 수정 합니다.
-
정책을 두 번 클릭 합니다.
-
선택한 모든 사용자에 대해 제거 를 클릭 합니다 테이블에 나열 되지 않습니다 .
-
모든 사용자가 목록에 추가 합니다. 이 작업을 수행 추가및 다음 사용자 또는 그룹 선택 대화 상자에서 사용자를 선택 합니다.
-
Note는 도메인 컨트롤러 정책은 로컬 정책 보다 우선 합니다 때문에 되도록 해야 실제 정책 설정이로컬 정책 설정과 일치 합니다.
정책
다음 표에서 "로컬 보안 정책에서 권한 부여" 섹션의 단계를 수행할 때 적용 되는 사용 권한을 보여 줍니다.
정책 |
사용자 |
---|---|
로컬로 로그온 |
관리자 |
IUSR_ < MachineName > (익명) |
|
사용자 (인증 필요) |
|
네트워크에서이 컴퓨터 액세스 |
관리자 |
ASPNet (.NET Framework) |
|
IUSR_ < MachineName > (익명) |
|
IWAM_<MachineName> |
|
사용자 |
|
일괄 작업으로 로그온 |
ASPNet |
네트워크 |
|
IUSR_<MachineName> |
|
IWAM_<MachineName> |
|
서비스 |
|
서비스로 로그온 |
ASPNet |
네트워크 |
|
트래버스 확인 통과 |
관리자 |
IUSR_ < MachineName > (익명) |
|
사용자 (기본, 통합, 다이제스트) |
|
IWAM_<MachineName> |
참고 자료
Windows 2000의 기본 NTFS 사용 권한을 복원 하는 방법에 대 한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조 하는 다음 문서 번호를 클릭 합니다.
266118 Windows 2000의 기본 NTFS 사용 권한을 복원 하는 방법
CDONTS를 사용 하는 데 필요한 최소 NTFS 사용 권한을 260985
324068 특정 개체에 대 한 IIS 권한을 설정 하는 방법
815153 ASP.NET 응용 프로그램의 보안을 위해 NTFS 파일 권한을 구성 하는 방법 IIS 6.0에 대 한 필요한 사용 권한에 대 한 자세한 내용은 Microsoft 기술 자료의 다음 문서 번호를 클릭 합니다.
812614 기본 사용 권한 및 IIS 6.0에 대 한 사용자 권한
추가 정보
이 문서는 다음 서버 역할 또는 응용 프로그램의 특정 보안 요구 사항 중 하나는 다루지 않습니다.
-
Windows 2000 도메인 컨트롤러
-
Microsoft Exchange 5.5 또는 Microsoft Exchange 2000 Outlook Web Access
-
Microsoft 소규모 비즈니스 서버 2000
-
Microsoft SharePoint Portal 또는 Team Services
-
Microsoft Commerce Server 2000 또는 Microsoft Commerce Server 2002
-
Microsoft BizTalk Server 2000 또는 Microsoft BizTalk Server 2002
-
Microsoft 콘텐츠 관리 서버 2000 또는 Microsoft 콘텐츠 관리 서버 2002
-
Microsoft Application Center 2000
-
추가 사용 권한을 사용 하는 타사 응용 프로그램