Denne artikkelen beskriver hvordan du angir hvilke tillatelser som er nødvendige for en dedikert Internet Information Services (IIS) 5.0, IIS 5.1 eller IIS 6.0-webserver.

Begrensning for denne artikkelen

Advarsel Denne artikkelen er bare gyldig for dedikert Web-servere som bruker grunnleggende funksjonalitet i IIS, for eksempel HTML statisk innhold eller enkelt Active Server Pages (ASP) innhold. Krav som er beskrevet i denne artikkelen gjelder bare grunnleggende tillatelsene for en dedikert Web-server som kjører IIS 5. x eller IIS 6.0. Denne artikkelen anser ikke andre Microsoft og tredjeparts produkter som kan kreve ulike tillatelser. Du kan se gjennom server- og dokumentasjonen for bestemte sikkerhetskrav. Vi anbefaler at du gjennom de relaterte artiklene som er spesifikke for rollene til Web-serveren.

Teste trinn før tillatelser-konfigurasjoner i et produksjonsmiljø

Før du endrer tillatelser på en webserver for produksjon, anbefaler vi at du gjør følgende:

  1. Kjør den nyeste versjonen av IIS-låseverktøyet. Følgende programmer og tjenester ble installert som en del av test-pakken som ble brukt til å teste server-sikkerhet etter gi tillatelser som er beskrevet i denne artikkelen:

    • Indeks-tjenester

    • Terminal Services

    • Feilsøkingsprogram for skript

    • IIS

      • Fellesfiler

      • Dokumentasjon

      • FrontPage 2000-servertillegg

      • Internett-tjenestebehandling (HTML)

      • WWW

      • FTP

  2. Utfør følgende funksjonelle tester:

    • Hypertekstdokumenter (HTML)

    • Active Server Pages (ASP)

    • FrontPage-servertilleggene, for eksempel kobler til, redigere og lagre hvis FPSE er aktivert når du bruker verktøyet Lockdown

    • Secure Socket Layers (SSL) Connections

Gi eierskap og tillatelse til administrator og systemet

Følg denne fremgangsmåten:

  1. Åpne Windows Utforsker. Hvis du vil gjøre dette, klikker du Start, programmer, og klikk deretterWindows Utforsker.

  2. Utvid Min datamaskin.

  3. Høyreklikk systemstasjonen (dette er vanligvis stasjon C), og klikk deretter Egenskaper.

  4. Klikk kategorien Sikkerhet , og deretter klikker du Avansert for å åpne dialogboksen Innstillinger for tilgangskontroll for lokal Disk .

  5. Klikk kategorien eier , klikk for å merke av for Erstatt eier av Sub-beholdere og objekter , og deretter klikker du Bruk.Hvis du mottar følgende feilmelding, klikker du Fortsett:

    En feil har oppstått Bruk sikkerhetsinformasjon til %systemdrive%\Pagefile.sys

  6. Hvis du mottar følgende feilmelding, klikker du Ja:

    Du har ikke tillatelse til å lese innholdet i mappen %systemdrive%\System Volume Information - vil du erstatte tillatelsene directory - alle tillatelser vil bli erstattet gir deg Full kontroll

  7. Klikk OK for å lukke dialogboksen.

  8. Klikk Legg til.

  9. Legg til følgende brukere, og gi dem Full kontroll-NTFS-tillatelse:

    • Administrator

    • Systemet

    • Oppretter/eier

  10. Når du har lagt til disse NTFS-tillatelser, klikker du Avansert, klikk for å merke av for Tilbakestill tillatelser på alle underordnede objekter og aktiver overføring av arvbare tillatelser og deretter klikker du Bruk.

  11. Hvis du mottar følgende feilmelding, klikker du Fortsett:

    En feil har oppstått Bruk sikkerhetsinformasjon til %systemdrive%\Pagefile.sys

  12. Når du har tilbakestilt NTFS-tillatelser, klikker du OK.

  13. Klikk gruppen alle , klikker du Fjern, og klikk deretter OK.

  14. Åpne egenskapene for mappen %SystemDrive%\Programfiler\Network filer i mappen, og klikk deretter kategorien Sikkerhet Legg til kontoen som brukes for anonym tilgang. Dette er kontoen IUSR_ < maskinnavn > som standard. Deretter legge til brukere-gruppen. Kontroller at det er merket av for bare følgende:

    • Lese & kjøre

    • Vise mappeinnhold

    • Les

  15. Åpne egenskapene for rotkatalogen som inneholder Web-innhold. Som standard er mappen %systemdrive%\Inetpub\Wwwroot. Klikk kategorien Sikkerhet , legge til kontoen IUSR_ < maskinnavn > og brukere-gruppen, og kontroller at det er merket av for bare følgende:

    • Lese & kjøre

    • Vise mappeinnhold

    • Les

  16. Hvis du vil gi skrive NTFS-tillatelse for Inetpub\FTProot eller mappebanen for FTP-område eller områder, gjentar du trinn 15. Obs! Vi anbefaler ikke at du gir skrive NTFS-tillatelser til den anonyme kontoen i alle mapper, inkludert mapper som brukes av FTP-tjenesten bruker. Dette kan føre til unødvendige data kan lastes til Web-serveren.

Deaktiver Arv i systemmapper

Følg denne fremgangsmåten:

  1. I mappen %systemroot%\System32, velger du alle mapper unntatt følgende:

    • Inetsrv

    • Certsrv (hvis tilgjengelig)

    • COM

  2. Høyreklikk gjenværende mapper, klikk Egenskaperog deretter kategorien Sikkerhet .

  3. Klikk for å fjerne merket for Tillat at arvbare tillatelser , klikker du Kopier, og klikk deretter OK.

  4. I % systemroot %-mappen, velger du alle mapper unntatt følgende:

    • Samling (hvis tilgjengelig)

    • Nedlastede programfiler

    • hjelp

    • Microsoft.NET (hvis tilgjengelig)

    • Frakoblede websider

    • System32

    • Oppgaver

    • Temp

    • Web

  5. Høyreklikk gjenværende mapper, klikk Egenskaperog deretter kategorien Sikkerhet .

  6. Klikk for å fjerne merket for Tillat at arvbare tillatelser , klikker du Kopier, og klikk deretter OK.

  7. Gjelde følgende tillatelser:

    1. Åpne egenskapene for mappen % systemroot %, klikk kategorien Sikkerhet , legge til kontoene IUSR_ < maskinnavn > og IWAM_ < maskinnavn > og brukere -gruppen, og kontroller at det er merket av for bare følgende:

      • Lese & kjøre

      • Vise mappeinnhold

      • Les

    2. Åpne egenskapene for mappen %systemroot%\Temp, velger du kontoen IUSR_ < maskinnavn > (denne kontoen finnes allerede fordi den arver fra mappen Winnt), og klikk deretter for å merke av for Endre . Gjenta dette trinnet for kontoen IWAM_ < maskinnavn > ogBrukere -gruppen.

    3. Hvis FrontPage Server Extension-klienter som FrontPage eller Microsoft Visual InterDev brukes, åpne egenskapene for mappen %systemdrive%\Inetpub\Wwwroot, velger du gruppen Godkjente brukere , velger du følgende og klikk deretter OK:

      • Endre

      • Lese & kjøre

      • Vise mappeinnhold

      • Les

      • Skrive

NTFS-tillatelser

Tabellen nedenfor viser hvilke tillatelser som skal brukes når du følger fremgangsmåten i delen "Deaktivere Arv i systemmappene". Denne tabellen er bare for referanse.Hvis du vil bruke tillatelser i tabellen nedenfor, gjør du følgende:

  1. Åpne Windows Utforsker. Hvis du vil gjøre dette, klikk Start, velg programmer, Tilbehørog deretter Windows Utforsker.

  2. Utvid Min datamaskin.

  3. Høyreklikk % systemroot %, og klikk deretter Egenskaper.

  4. Klikk kategorien Sikkerhet , og klikk deretter Avansert.

  5. Dobbeltklikk tillatelse, og deretter velger du riktig innstilling i Bruk på -listen.

Obs!  I den "gjelder for" kolonne, begrepet standard refererer til "Denne mappen, undermapper og filer."

Directory

Users\Groups

Tillatelser

Gjelde

%systemroot%\ (c:\winnt)

Administrator

Full kontroll

Standard

Systemet

Full kontroll

Standard

Brukere

Lese, kjøre

Standard

%systemroot%\system32

Administratorer

Full kontroll

Standard

Systemet

Full kontroll

Standard

Brukere

Lese, kjøre

Standard

%systemroot%\system32\inetsrv

Administratorer

Full kontroll

Standard

Systemet

Full kontroll

Standard

Brukere

Lese, kjøre

Standard

Inetpub\adminscripts

Administratorer

Full kontroll

Standard

Inetpub\urlscan (hvis tilgjengelig)

Administratorer

Full kontroll

Standard

Systemet

Full kontroll

Standard

%systemroot%\system32\inetsrv\metaback

Administratorer

Full kontroll

Standard

Systemet

Full kontroll

Standard

%systemroot%\help\iishelp\common

Administratorer

Full kontroll

Denne mappen og filer

Systemet

Full kontroll

Denne mappen og filer

IWAM_<Machinename>

Lese, kjøre

Denne mappen og filer

Nettverk

Full kontroll

Denne mappen og filer

Service

Denne mappen og filer

Brukere

Lese, kjøre

Denne mappen og filer

Inetpub\Wwwroot (eller innholdsmapper)

Administratorer

Full kontroll

Denne mappen og filer

Systemet

Full kontroll

Denne mappen og filer

IWAM_<MachineName>

Lese, kjøre

Denne mappen og filer

Service

Lese, kjøre

Denne mappen og filer

Nettverk

Lese, kjøre

Denne mappen og filer

Optional**:

Brukere

Lese, kjøre

Denne mappen og filer

Obs! Hvis du bruker FrontPage-servertillegg, må gruppen Godkjente brukere eller brukere ha endre NTFS-tillatelser til å opprette, gi nytt navn til, skrive eller til å gi funksjonalitet som en utvikler kan ha fra et FrontPage-type klient, for eksempel Visual InterDev 6.0 eller FrontPage 2002.

Gi tillatelser i registret

  1. Klikk Start, klikk Kjør, Skriv inn regedt32og klikk deretter OK. Ikke Bruk Registerredigering fordi den ikke lar deg endre tillatelser i Windows 2000.

  2. Finn og velg HKEY_LOCAL_MACHINEi Registerredigering.

  3. Utvid systemet, utvid CurrentControlSet, og utvid deretter tjenester.

  4. Velg IISADMIN -nøkkelen, klikk Sikkerhet (eller trykk ALT + S), og velg deretterTillatelser (eller trykk P).

  5. Klikk for å fjerne merket for Tillat at arvbare tillatelser fra overordnet objekt overføres til dette objektet , klikker du Kopierog deretter fjerne alle brukere unntatt:

    • Administratorer (tillater lesetilgang og Full kontroll)

    • System (tillater lesetilgang og Full kontroll)

  6. Klikk OK.

  7. Gjenta trinnene for MSFTPSVC -nøkkelen.

  8. Velg W3SVC -nøkkelen, klikk Sikkerhetog deretter tillatelser.

  9. Klikk for å fjerne merket for Tillat at arvbare tillatelser fra overordnet objekt overføres til dette objektet , og fjern deretter alle poster unntatt:

    • Administratorer (tillater lesetilgang og Full kontroll)

    • System (tillater lesetilgang og Full kontroll)

    • Nettverket (lese)

    • Tjenesten (lese)

    • IWAM_ < maskinnavn > (lese)

  10. Klikk OK.

Registeret

Tabellen nedenfor viser hvilke tillatelser som skal brukes når du følger fremgangsmåten i delen "Gi tillatelser i registeret". Denne tabellen er bare for referanse. Obs! Akronymet HKLM står for HKEY_LOCAL_MACHINE.

Plassering

Users\Groups

Tillatelser

HKLM\System\CurrentControlSet\Services\IISAdmin

Administratorer

Full kontroll

Systemet

Full kontroll

HKLM\System\CurrentControlSet\Services\MsFtpSvc

Administratorer

Full kontroll

Systemet

Full kontroll

HKLM\System\CurrentControlSet\Services\w3svc

Administratorer

Full kontroll

Systemet

Full kontroll

IWAM_<MachineName>

Les

Gi rettigheter i den lokale sikkerhetspolicyen

  1. Klikk Start, velg Innstillingerog deretter Kontrollpanel.

  2. Dobbeltklikk Administrative verktøy, og dobbeltklikk deretter Lokal sikkerhetspolicy.

  3. Utvid Lokale policyeri dialogboksen Lokale sikkerhetsinnstillinger , og klikk deretter Tilordning av brukerrettigheter.

  4. Endre den aktuelle policyen:

    1. Dobbeltklikk policyen.

    2. Velg og klikk deretter Fjern for alle brukere som er ikke oppført i tabellen.

    3. Legge til en bruker som ikke er oppført. Hvis du vil gjøre dette, klikker duLegg til, og velg deretter brukeren i dialogboksen Velg brukere eller grupper .

Vær oppmerksom på at fordi en kontroller domenepolicyen overstyre den lokale policyen, må du kontrollere at Effektiv policyinnstillingen samsvarer med Lokal policyinnstilling.

Policyer

Tabellen nedenfor viser hvilke tillatelser som skal brukes når du følger fremgangsmåten i delen "Gi rettigheter i den lokale sikkerhetspolicyen".

Policy

Brukere

Logg på lokalt

Administratorer

IUSR_ < maskinnavn > (anonym)

Brukerne (godkjenning kreves)

Få tilgang til denne datamaskinen fra nettverket

Administratorer

ASPNet (.NET Framework)

IUSR_ < maskinnavn > (anonym)

IWAM_<MachineName>

Brukere

Logg på som en satsvis jobb

ASPNet

Nettverk

IUSR_<MachineName>

IWAM_<MachineName>

Service

Logg på som en tjeneste

ASPNet

Nettverk

Hopp over traverseringskontroll

Administratorer

IUSR_ < maskinnavn > (anonym)

Brukere (enkel, integrert, ufullstendig)

IWAM_<MachineName>

Referanser

Hvis du vil ha mer informasjon om hvordan du gjenoppretter standard NTFS-tillatelser for Windows 2000, klikker du artikkelnumrene nedenfor for å vise artiklene i Microsoft Knowledge Base:

266118 hvordan du gjenoppretter standard NTFS-tillatelser for Windows 2000

260985 minimum NTFS-tillatelsene som kreves for å bruke CDONTS

324068 hvordan du angir IIS-tillatelser for bestemte objekter

815153 hvordan du konfigurerer NTFS-filtillatelser for sikkerhetsoppdateringen for ASP.NET-applikasjoner Hvis du vil ha mer informasjon om de nødvendige tillatelsene for IIS 6.0, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:

812614 standardtillatelsene og brukerrettighetene for IIS 6.0  

Hvis du vil ha mer informasjon

Denne artikkelen omhandler ikke ett eller flere av de bestemte sikkerhetskravene for følgende serverroller eller programmer:

  • Windows 2000-domenekontroller

  • Microsoft Exchange 5.5 eller Microsoft Exchange 2000 Outlook Web Access

  • Microsoft Small Business Server 2000

  • Microsoft SharePoint Portal eller Team Services

  • Microsoft Commerce Server 2000 eller Microsoft Commerce Server 2002

  • Microsoft BizTalk Server 2000 eller Microsoft BizTalk Server 2002

  • Microsoft Content Management Server 2000 eller Microsoft Content Management Server 2002

  • Microsoft Application Center 2000

  • Tredjeparts programmer som avhenger av flere tillatelser

Trenger du mer hjelp?

Vil du ha flere alternativer?

Utforsk abonnementsfordeler, bla gjennom opplæringskurs, finn ut hvordan du sikrer enheten og mer.

Fellesskap hjelper deg med å stille og svare på spørsmål, gi tilbakemelding og høre fra eksperter med stor kunnskap.