Šajā rakstā aprakstīts, kā iestatīt minimālās atļaujas, kas nepieciešamas īpaša interneta informācijas pakalpojumi (IIS) 5.0, IIS 5.1 vai IIS 6.0 Web serveri.
Šajā rakstā ierobežojums
Brīdinājums. Šis raksts attiecas tikai uz īpaša tīmekļa serveri, kas izmanto IIS pamata funkcionalitāti, piemēram, apkalpo HTML statisku saturu vai vienkāršā Active Server Pages (ASP) saturs. Šajā rakstā aprakstītie atļauju prasības ir raksturīgi tikai pamata Web serveris, kas darbojas IIS 5 atļaujas. x vai IIS 6.0. Šajā rakstā nav jāņem vērā citi Microsoft un trešo pušu produktiem var būt atšķirīgas atļaujas. Varat pārskatīt specifiskas drošības prasības serverim un programmas dokumentācijā. Mēs iesakām pārskatīt rakstus , kas attiecas uz tīmekļa servera lomas.
Darbības pirms atļaujas konfigurācijas pārbaudes ražošanas vidē
Pirms atļauju izmaiņas ražošanas tīmekļa serverī, ieteicams rīkoties šādi:
-
Palaidiet rīku IIS Lockdown jaunāko versiju. Šīm programmām un pakalpojumiem tika instalēta kā daļa no testa komplekts, kas tika izmantota, lai pārbaudītu servera drošības pēc šajā rakstā aprakstītās atļauju piešķiršanu:
-
Indeksa pakalpojumi
-
Termināļa pakalpojumi
-
Skriptu atkļūdotāju
-
IIS
-
Parastajiem failiem
-
Dokumentācija
-
FrontPage servera paplašinājumi 2000
-
Interneta pakalpojumu pārvaldnieks (HTML)
-
WWW
-
FTP
-
-
-
Veikt funkcionālu šādus testus:
-
Hiperteksta dokumentus (HTML)
-
Active Server Pages (ASP)
-
FrontPage servera paplašinājumi, piemēram, savienojuma izveide, rediģēšana un saglabāšana, aktivizējot FPSE lietojot rīku Lockdown
-
Secure Socket slāņu (SSL) savienojumus
-
Administratora un sistēmas piešķirt īpašumtiesības un atļaujas
Lai to izdarītu, veiciet tālāk norādītās darbības.
-
Atveriet pārlūkprogrammu Windows Explorer. Lai to izdarītu, noklikšķiniet uz Sākt, noklikšķiniet uz programmasun pēc tam noklikšķiniet uz Windows Explorer.
-
Izvērsiet sadaļu Mans dators.
-
Ar peles labo pogu noklikšķiniet uz sistēmas diska (parasti tas ir C disks), un pēc tam noklikšķiniet uz Rekvizīti.
-
Noklikšķiniet uz cilnes Drošība un pēc tam noklikšķiniet uz papildu , lai atvērtu dialoglodziņu Lokālā diska piekļuves vadības iestatījumus .
-
Noklikšķiniet uz zīmnes īpašnieks , atzīmējiet izvēles rūtiņu Aizstāt īpašnieku Sub konteineri un objektos un pēc tam noklikšķiniet uz lietot. Ja tiek parādīts šāds kļūdas ziņojums, noklikšķiniet uz turpināt.
Lietojot %systemdrive%\Pagefile.sys drošības informāciju, radās kļūda
-
Ja tiek parādīts šāds kļūdas ziņojums, noklikšķiniet uz Jā.
Jums nav atļaujas lasīt direktorija %systemdrive%\System Volume Information - saturu vai vēlaties aizstāt direktorija atļaujas - visas atļaujas tiks aizstātas, kas jums sniedz pilnīgu kontroli
-
Noklikšķiniet uz Labi , lai aizvērtu dialoglodziņu.
-
Noklikšķiniet uz Pievienot.
-
Pievienot šo lietotāju, un pēc tam piešķir pilnīgu kontroli NTFS atļaujas:
-
Administrators
-
Sistēma
-
Creator Owner
-
-
Pēc tam, kad esat pievienojis šo NTFS atļaujas, noklikšķiniet uz papildu, atzīmējiet izvēles rūtiņu atiestatiet atļaujas visos bērnobjektos un iespējot Mantojamas atļaujas izplatīšana un pēc tam noklikšķiniet uz lietot.
-
Ja tiek parādīts šāds kļūdas ziņojums, noklikšķiniet uz turpināt.
Lietojot %systemdrive%\Pagefile.sys drošības informāciju, radās kļūda
-
Pēc atiestatīšanas NTFS atļaujas, noklikšķiniet uz Labi.
-
Noklikšķiniet uz visiem grupas, noklikšķiniet uz Noņemtun pēc tam noklikšķiniet uz Labi.
-
Atvērt mapi %systemdrive%\Program Files\Common failu rekvizītus, un pēc tam noklikšķiniet uz zīmnes drošības pievienot kontu, ko izmanto anonīmu piekļuvi. Pēc noklusējuma šī atrašanās vieta ir IUSR_ < MachineName > kontu. Pievienojiet lietotāju grupa. Pārliecinieties, vai ir atzīmētas tikai šādi:
-
Lasīt un izpildīt
-
Mapes satura sarakstu
-
Lasīt
-
-
Atveriet saknes direktorijā, kurā tiek glabāti jūsu Web satura rekvizītus. Pēc noklusējuma šī atrašanās vieta ir mape %systemdrive%\Inetpub\Wwwroot. Noklikšķiniet uz cilnes Drošība , pievienojiet IUSR_ < MachineName > kontu un lietotāju grupas un pēc tam pārliecinieties, vai ir atlasīts tikai:
-
Lasīt un izpildīt
-
Mapes satura sarakstu
-
Lasīt
-
-
Ja vēlaties piešķirt Inetpub\FTProot rakstīt NTFS atļaujas vai FTP vietnes vai vietņu direktorija ceļu, atkārtojiet 15. Piezīme. Mēs neiesakām jums piešķir rakstīt NTFS atļaujas jebkurā direktoriju, tostarp direktoriju izmanto FTP pakalpojums izmanto anonīmu kontu. Tas var izraisīt nevajadzīgu datu augšupielādēti tīmekļa serveri.
Atspējot sistēmas direktorijos mantošana
Lai to izdarītu, veiciet tālāk norādītās darbības.
-
Mapē %SystemRoot%\System32. Atlasiet visas mapes, izņemot šādas:
-
Inetsrv
-
Certsrv (ja tāds ir)
-
COM
-
-
Ar peles labo pogu noklikšķiniet uz mapes pārējās, noklikšķiniet uz Rekvizītiun pēc tam noklikšķiniet uz zīmnes Drošība .
-
Noklikšķiniet, lai notīrītu izvēles rūtiņu Atļaut Mantojamas atļaujas , noklikšķiniet uz Kopētun pēc tam noklikšķiniet uz Labi.
-
Mapē % systemroot %, atlasiet visas mapes, izņemot šādas:
-
Montāža (ja tāds ir)
-
Lejupielādētie programmu faili
-
palīgā
-
Microsoft.NET (ja tāds ir)
-
Bezsaistes Web lapas
-
System32
-
Uzdevumi
-
Pagaidu
-
Web
-
-
Ar peles labo pogu noklikšķiniet uz mapes pārējās, noklikšķiniet uz Rekvizītiun pēc tam noklikšķiniet uz zīmnes Drošība .
-
Noklikšķiniet, lai notīrītu izvēles rūtiņu Atļaut Mantojamas atļaujas , noklikšķiniet uz Kopētun pēc tam noklikšķiniet uz Labi.
-
Lietot atļaujas šādiem jautājumiem:
-
Atvērt mapi % systemroot % rekvizītus, noklikšķiniet uz cilnes Drošība , pievienojiet IUSR_ < MachineName > un < MachineName > IWAM_ kontiem un lietotāju grupas un pārliecinieties, vai ir tikai atlasīt:
-
Lasīt un izpildīt
-
Mapes satura sarakstu
-
Lasīt
-
-
Atvērt mapi %systemroot%\Temp rekvizītus, atlasiet IUSR_ < MachineName > kontu (šis konts jau pastāv, jo tā tiek pārmantots no Winnt mapi) un atzīmējiet izvēles rūtiņu mainīt . Atkārtojiet šo darbību IWAM_ < MachineName > konta un Lietotāju grupa.
-
Ja FrontPage servera paplašinājumu klientiem tiek izmantots FrontPage vai Microsoft Visual InterDev, kā atvērt mapi %systemdrive%\Inetpub\Wwwroot rekvizītus, atlasiet Autentificēto lietotāju grupa, atlasiet Tālāk un pēc tam noklikšķiniet uz Labi :
-
Modificējiet
-
Lasīt un izpildīt
-
Mapes satura sarakstu
-
Lasīt
-
Rakstīt
-
-
NTFS atļaujas
Tālāk redzamajā tabulā norādītas atļaujām, kas tiek izmantotas, izpildiet sadaļā "Atspējot pārmantošana sistēmas direktorijos". Šajā tabulā ir tikai atsaucei. Lai lietotu atļaujas šajā tabulā, rīkojieties šādi:
-
Atveriet pārlūkprogrammu Windows Explorer. Lai to izdarītu, noklikšķiniet uz Sākt, noklikšķiniet uz programmas, Piederumiun pēc tam noklikšķiniet uz Windows Explorer.
-
Izvērsiet sadaļu Mans dators.
-
Ar peles labo pogu noklikšķiniet uz % systemroot %un pēc tam noklikšķiniet uz Rekvizīti.
-
Noklikšķiniet uz cilnes Drošība un pēc tam noklikšķiniet uz papildu.
-
Veiciet dubultklikšķi uz atļaujas, un pēc tam atlasiet atbilstošo iestatījumu sarakstā Attiecas uz .
Piezīme. Sadaļā "attiecas uz" kolonnu, termins noklusējuma attiecas uz "Šajā mapē, apakšmapēm un failiem."
|
Direktorija |
Users\Groups |
Atļaujas |
Attiecas uz |
|---|---|---|---|
|
%systemroot%\ (c:\winnt) |
Administrators |
Pilna kontrole |
Noklusējuma |
|
Sistēma |
Pilna kontrole |
Noklusējuma |
|
|
Lietotājiem |
Lasīt, izpildīt |
Noklusējuma |
|
|
%systemroot%\system32 |
Administratori |
Pilna kontrole |
Noklusējuma |
|
Sistēma |
Pilna kontrole |
Noklusējuma |
|
|
Lietotājiem |
Lasīt, izpildīt |
Noklusējuma |
|
|
%systemroot%\system32\inetsrv |
Administratori |
Pilna kontrole |
Noklusējuma |
|
Sistēma |
Pilna kontrole |
Noklusējuma |
|
|
Lietotājiem |
Lasīt, izpildīt |
Noklusējuma |
|
|
Inetpub\adminscripts |
Administratori |
Pilna kontrole |
Noklusējuma |
|
Inetpub\urlscan (ja tāds ir) |
Administratori |
Pilna kontrole |
Noklusējuma |
|
Sistēma |
Pilna kontrole |
Noklusējuma |
|
|
%systemroot%\system32\inetsrv\metaback |
Administratori |
Pilna kontrole |
Noklusējuma |
|
Sistēma |
Pilna kontrole |
Noklusējuma |
|
|
%systemroot%\help\iishelp\common |
Administratori |
Pilna kontrole |
Šīs mapes un faili |
|
Sistēma |
Pilna kontrole |
Šīs mapes un faili |
|
|
IWAM_<Machinename> |
Lasīt, izpildīt |
Šīs mapes un faili |
|
|
Tīkls |
Pilna kontrole |
Šīs mapes un faili |
|
|
Pakalpojums |
Šīs mapes un faili |
||
|
Lietotājiem |
Lasīt, izpildīt |
Šīs mapes un faili |
|
|
Inetpub\wwwroot (vai satura direktoriju) |
Administratori |
Pilna kontrole |
Šīs mapes un faili |
|
Sistēma |
Pilna kontrole |
Šīs mapes un faili |
|
|
IWAM_<MachineName> |
Lasīt, izpildīt |
Šīs mapes un faili |
|
|
Pakalpojums |
Lasīt, izpildīt |
Šīs mapes un faili |
|
|
Tīkls |
Lasīt, izpildīt |
Šīs mapes un faili |
|
|
Optional**: |
Lietotājiem |
Lasīt, izpildīt |
Šīs mapes un faili |
Piezīme. Ja izmantojat FrontPage servera paplašinājumi, autentificētie lietotāji vai lietotāju grupas jābūt mainīt NTFS atļaujas izveidot, pārdēvēt, rakstīt vai nodrošināt funkcionalitāte, kas varētu būt izstrādātājs ir FrontPage tipa klientu, piemēram Visual InterDev 6.0 vai FrontPage 2002.
Atļauju piešķiršana reģistrā
-
Noklikšķiniet uz Sākt, noklikšķiniet uz palaist, ierakstiet regedt32un pēc tam noklikšķiniet uz Labi. Nevar izmantot reģistra redaktoru, jo tas neļauj mainīt atļaujas sistēmā Windows 2000.
-
Reģistra redaktorā atrodiet un atlasiet HKEY_LOCAL_MACHINE.
-
Izvērsiet sistēmas, CurrentControlSetun izvērsiet sadaļu pakalpojumi.
-
Atlasiet IISADMIN atslēgu, noklikšķiniet uz drošības (vai nospiediet taustiņu kombināciju ALT + S) un pēc tam atlasiet Atļaujas (vai nospiediet P).
-
Notīriet izvēles rūtiņu Atļaut Mantojamas atļaujas no vecākobjekta izplatīt šim objektam , noklikšķiniet uz Kopētun pēc tam noņemiet visus lietotājiem izņemotnoklikšķiniet:
-
Administratori (atļaut lasīt un pilnīga kontrole)
-
Sistēmas (atļaut lasīt un pilnīga kontrole)
-
-
Noklikšķiniet uz Labi.
-
Atkārtojiet MSFTPSVC atslēgas.
-
Atlasiet taustiņu W3SVCDrošībaun pēc tam noklikšķiniet uz atļaujas.
-
Notīriet izvēles rūtiņu Atļaut Mantojamas atļaujas no vecākobjekta izplatīt šim objektam , un pēc tam noņemiet visus ierakstus izņemot:
-
Administratori (atļaut lasīt un pilnīga kontrole)
-
Sistēmas (atļaut lasīt un pilnīga kontrole)
-
Tīkla (lasīt)
-
Pakalpojums (lasīt)
-
IWAM_ MachineName < > (lasīt)
-
-
Noklikšķiniet uz Labi.
Reģistra
Tālāk redzamajā tabulā norādītas atļaujām, kas tiek izmantotas, izpildiet sadaļā "Reģistra atļauju piešķiršanu". Šajā tabulā ir tikai atsaucei. Piezīme. Akronīms HKLM apzīmē HKEY_LOCAL_MACHINE.
|
Atrašanās vieta |
Users\Groups |
Atļaujas |
|---|---|---|
|
HKLM\System\CurrentControlSet\Services\IISAdmin |
Administratori |
Pilna kontrole |
|
Sistēma |
Pilna kontrole |
|
|
HKLM\System\CurrentControlSet\Services\MsFtpSvc |
Administratori |
Pilna kontrole |
|
Sistēma |
Pilna kontrole |
|
|
HKLM\System\CurrentControlSet\Services\w3svc |
Administratori |
Pilna kontrole |
|
Sistēma |
Pilna kontrole |
|
|
IWAM_<MachineName> |
Lasīt |
Lokālās drošības politikas tiesību piešķiršana
-
Noklikšķiniet uz Sākt, noklikšķiniet uz Iestatījumiun pēc tam noklikšķiniet uz Vadības panelis.
-
Veiciet dubultklikšķi uz Administratīvie rīkiun pēc tam veiciet dubultklikšķi uz Lokālā drošības politika.
-
Lokālās drošības iestatījumu dialoglodziņā izvērsiet Local Policies (lokālā politika)un pēc tam noklikšķiniet uz Lietotāju tiesību piešķiršana.
-
Modificēt attiecīgo politiku:
-
Veiciet dubultklikšķi uz politikas.
-
Atlasiet un pēc tam noklikšķiniet uz Noņemt visiem lietotājiem, kas nav norādīta šajā tabulā.
-
Pievienojiet katram lietotājam, kurš nav sarakstā. Lai to izdarītu, noklikšķiniet uz Pievienojumprogrammasun pēc tam atlasiet lietotāja dialoglodziņā Atlasiet lietotāju vai grupu .
-
Ņemiet vērā, ka tā domēna kontrollera politika ignorē Lokālās politikas, pārliecinieties, vai Efektīvu politikas iestatījumiem atbilst Lokālās politikas iestatījums.
Politika
Tālāk redzamajā tabulā norādītas atļaujām, kas tiek izmantotas, izpildiet sadaļā "Piešķir tiesības lokālā drošības politika".
|
Politika |
Lietotājiem |
|---|---|
|
Pieteikties lokāli |
Administratori |
|
IUSR_ < MachineName > (anonīms) |
|
|
Lietotāji (nepieciešama autentifikācija) |
|
|
Piekļūt šim datoram no tīkla |
Administratori |
|
Aspnet_regiis (.NET Framework) |
|
|
IUSR_ < MachineName > (anonīms) |
|
|
IWAM_<MachineName> |
|
|
Lietotājiem |
|
|
Piesakieties datorā kā pakešuzdevums |
Aspnet_regiis |
|
Tīkls |
|
|
IUSR_<MachineName> |
|
|
IWAM_<MachineName> |
|
|
Pakalpojums |
|
|
Pieteikšanās kā pakalpojums |
Aspnet_regiis |
|
Tīkls |
|
|
Apiet pārvietošanas pārbaude |
Administratori |
|
IUSR_ < MachineName > (anonīms) |
|
|
Lietotāji (Basic pieslēgums, Digest) |
|
|
IWAM_<MachineName> |
Atsauces
Lai iegūtu papildinformāciju par to, kā atjaunot noklusējuma NTFS atļaujas Windows 2000, noklikšķiniet uz šiem rakstu numuriem un lasiet Microsoft zināšanu bāzes rakstus:
266118 kā atjaunot noklusējuma NTFS atļaujas Windows 2000
Nepieciešams, lai izmantotu CDONTS 260985 vismaz NTFS atļaujas
Kā iestatīt atļaujas IIS konkrētiem objektiem 324068
815153 kā konfigurēt NTFS atļaujas drošības ASP.NET lietojumprogrammas Lai iegūtu papildinformāciju par IIS 6.0 nepieciešamajām atļaujām, noklikšķiniet uz šī raksta numura un lasiet Microsoft zināšanu bāzes rakstu:
812614 Noklusējuma atļaujas un lietotāju tiesības programmatūrā IIS 6.0
Papildinformācija
Šis raksts neattiecas uz kādu no šīm servera lomas vai lietojumprogrammas specifiskas drošības prasības:
-
Windows 2000 domēna kontrolleri
-
Microsoft Exchange 5.5 vai Microsoft Exchange 2000 Outlook Web Access
-
Microsoft Small Business Server 2000
-
Team Services vai Microsoft SharePoint Portal
-
Microsoft Commerce Server 2000 vai Microsoft Commerce Server 2002
-
Microsoft BizTalk Server 2000 vai Microsoft BizTalk Server 2002
-
Microsoft Content Management Server 2000 vai Microsoft Content Management Server 2002
-
Microsoft Application Center 2000
-
Trešo pušu lietojumprogrammas, kas atkarīgi no papildu atļaujas
