Denne artikkelen beskriver hvordan du angir hvilke tillatelser som er nødvendige for en dedikert Internet Information Services (IIS) 5.0, IIS 5.1 eller IIS 6.0-webserver.
Begrensning for denne artikkelen
Advarsel Denne artikkelen er bare gyldig for dedikert Web-servere som bruker grunnleggende funksjonalitet i IIS, for eksempel HTML statisk innhold eller enkelt Active Server Pages (ASP) innhold. Krav som er beskrevet i denne artikkelen gjelder bare grunnleggende tillatelsene for en dedikert Web-server som kjører IIS 5. x eller IIS 6.0. Denne artikkelen anser ikke andre Microsoft og tredjeparts produkter som kan kreve ulike tillatelser. Du kan se gjennom server- og dokumentasjonen for bestemte sikkerhetskrav. Vi anbefaler at du gjennom de relaterte artiklene som er spesifikke for rollene til Web-serveren.
Teste trinn før tillatelser-konfigurasjoner i et produksjonsmiljø
Før du endrer tillatelser på en webserver for produksjon, anbefaler vi at du gjør følgende:
-
Kjør den nyeste versjonen av IIS-låseverktøyet. Følgende programmer og tjenester ble installert som en del av test-pakken som ble brukt til å teste server-sikkerhet etter gi tillatelser som er beskrevet i denne artikkelen:
-
Indeks-tjenester
-
Terminal Services
-
Feilsøkingsprogram for skript
-
IIS
-
Fellesfiler
-
Dokumentasjon
-
FrontPage 2000-servertillegg
-
Internett-tjenestebehandling (HTML)
-
WWW
-
FTP
-
-
-
Utfør følgende funksjonelle tester:
-
Hypertekstdokumenter (HTML)
-
Active Server Pages (ASP)
-
FrontPage-servertilleggene, for eksempel kobler til, redigere og lagre hvis FPSE er aktivert når du bruker verktøyet Lockdown
-
Secure Socket Layers (SSL) Connections
-
Gi eierskap og tillatelse til administrator og systemet
Følg denne fremgangsmåten:
-
Åpne Windows Utforsker. Hvis du vil gjøre dette, klikker du Start, programmer, og klikk deretter
Windows Utforsker. -
Utvid Min datamaskin.
-
Høyreklikk systemstasjonen (dette er vanligvis stasjon C), og klikk deretter Egenskaper.
-
Klikk kategorien Sikkerhet , og deretter klikker du Avansert for å åpne dialogboksen Innstillinger for tilgangskontroll for lokal Disk .
-
Klikk kategorien eier , klikk for å merke av for Erstatt eier av Sub-beholdere og objekter , og deretter klikker du Bruk.
Hvis du mottar følgende feilmelding, klikker du Fortsett:En feil har oppstått Bruk sikkerhetsinformasjon til %systemdrive%\Pagefile.sys
-
Hvis du mottar følgende feilmelding, klikker du Ja:
Du har ikke tillatelse til å lese innholdet i mappen %systemdrive%\System Volume Information - vil du erstatte tillatelsene directory - alle tillatelser vil bli erstattet gir deg Full kontroll
-
Klikk OK for å lukke dialogboksen.
-
Klikk Legg til.
-
Legg til følgende brukere, og gi dem Full kontroll-NTFS-tillatelse:
-
Administrator
-
Systemet
-
Oppretter/eier
-
-
Når du har lagt til disse NTFS-tillatelser, klikker du Avansert, klikk for å merke av for Tilbakestill tillatelser på alle underordnede objekter og aktiver overføring av arvbare tillatelser og deretter klikker du Bruk.
-
Hvis du mottar følgende feilmelding, klikker du Fortsett:
En feil har oppstått Bruk sikkerhetsinformasjon til %systemdrive%\Pagefile.sys
-
Når du har tilbakestilt NTFS-tillatelser, klikker du OK.
-
Klikk gruppen alle , klikker du Fjern, og klikk deretter OK.
-
Åpne egenskapene for mappen %SystemDrive%\Programfiler\Network filer i mappen, og klikk deretter kategorien Sikkerhet Legg til kontoen som brukes for anonym tilgang. Dette er kontoen IUSR_ < maskinnavn > som standard. Deretter legge til brukere-gruppen. Kontroller at det er merket av for bare følgende:
-
Lese & kjøre
-
Vise mappeinnhold
-
Les
-
-
Åpne egenskapene for rotkatalogen som inneholder Web-innhold. Som standard er mappen %systemdrive%\Inetpub\Wwwroot. Klikk kategorien Sikkerhet , legge til kontoen IUSR_ < maskinnavn > og brukere-gruppen, og kontroller at det er merket av for bare følgende:
-
Lese & kjøre
-
Vise mappeinnhold
-
Les
-
-
Hvis du vil gi skrive NTFS-tillatelse for Inetpub\FTProot eller mappebanen for FTP-område eller områder, gjentar du trinn 15.
Obs! Vi anbefaler ikke at du gir skrive NTFS-tillatelser til den anonyme kontoen i alle mapper, inkludert mapper som brukes av FTP-tjenesten bruker. Dette kan føre til unødvendige data kan lastes til Web-serveren.
Deaktiver Arv i systemmapper
Følg denne fremgangsmåten:
-
I mappen %systemroot%\System32, velger du alle mapper unntatt følgende:
-
Inetsrv
-
Certsrv (hvis tilgjengelig)
-
COM
-
-
Høyreklikk gjenværende mapper, klikk Egenskaperog deretter kategorien Sikkerhet .
-
Klikk for å fjerne merket for Tillat at arvbare tillatelser , klikker du Kopier, og klikk deretter OK.
-
I % systemroot %-mappen, velger du alle mapper unntatt følgende:
-
Samling (hvis tilgjengelig)
-
Nedlastede programfiler
-
hjelp
-
Microsoft.NET (hvis tilgjengelig)
-
Frakoblede websider
-
System32
-
Oppgaver
-
Temp
-
Web
-
-
Høyreklikk gjenværende mapper, klikk Egenskaperog deretter kategorien Sikkerhet .
-
Klikk for å fjerne merket for Tillat at arvbare tillatelser , klikker du Kopier, og klikk deretter OK.
-
Gjelde følgende tillatelser:
-
Åpne egenskapene for mappen % systemroot %, klikk kategorien Sikkerhet , legge til kontoene IUSR_ < maskinnavn > og IWAM_ < maskinnavn > og brukere -gruppen, og kontroller at det er merket av for bare følgende:
-
Lese & kjøre
-
Vise mappeinnhold
-
Les
-
-
Åpne egenskapene for mappen %systemroot%\Temp, velger du kontoen IUSR_ < maskinnavn > (denne kontoen finnes allerede fordi den arver fra mappen Winnt), og klikk deretter for å merke av for Endre . Gjenta dette trinnet for kontoen IWAM_ < maskinnavn > og
Brukere -gruppen. -
Hvis FrontPage Server Extension-klienter som FrontPage eller Microsoft Visual InterDev brukes, åpne egenskapene for mappen %systemdrive%\Inetpub\Wwwroot, velger du gruppen Godkjente brukere , velger du følgende og klikk deretter OK:
-
Endre
-
Lese & kjøre
-
Vise mappeinnhold
-
Les
-
Skrive
-
-
NTFS-tillatelser
Tabellen nedenfor viser hvilke tillatelser som skal brukes når du følger fremgangsmåten i delen "Deaktivere Arv i systemmappene". Denne tabellen er bare for referanse.
Hvis du vil bruke tillatelser i tabellen nedenfor, gjør du følgende:-
Åpne Windows Utforsker. Hvis du vil gjøre dette, klikk Start, velg programmer, Tilbehørog deretter Windows Utforsker.
-
Utvid Min datamaskin.
-
Høyreklikk % systemroot %, og klikk deretter Egenskaper.
-
Klikk kategorien Sikkerhet , og klikk deretter Avansert.
-
Dobbeltklikk tillatelse, og deretter velger du riktig innstilling i Bruk på -listen.
Obs! I den "gjelder for" kolonne, begrepet standard refererer til "Denne mappen, undermapper og filer."
Directory |
Users\Groups |
Tillatelser |
Gjelde |
---|---|---|---|
%systemroot%\ (c:\winnt) |
Administrator |
Full kontroll |
Standard |
Systemet |
Full kontroll |
Standard |
|
Brukere |
Lese, kjøre |
Standard |
|
%systemroot%\system32 |
Administratorer |
Full kontroll |
Standard |
Systemet |
Full kontroll |
Standard |
|
Brukere |
Lese, kjøre |
Standard |
|
%systemroot%\system32\inetsrv |
Administratorer |
Full kontroll |
Standard |
Systemet |
Full kontroll |
Standard |
|
Brukere |
Lese, kjøre |
Standard |
|
Inetpub\adminscripts |
Administratorer |
Full kontroll |
Standard |
Inetpub\urlscan (hvis tilgjengelig) |
Administratorer |
Full kontroll |
Standard |
Systemet |
Full kontroll |
Standard |
|
%systemroot%\system32\inetsrv\metaback |
Administratorer |
Full kontroll |
Standard |
Systemet |
Full kontroll |
Standard |
|
%systemroot%\help\iishelp\common |
Administratorer |
Full kontroll |
Denne mappen og filer |
Systemet |
Full kontroll |
Denne mappen og filer |
|
IWAM_<Machinename> |
Lese, kjøre |
Denne mappen og filer |
|
Nettverk |
Full kontroll |
Denne mappen og filer |
|
Service |
Denne mappen og filer |
||
Brukere |
Lese, kjøre |
Denne mappen og filer |
|
Inetpub\Wwwroot (eller innholdsmapper) |
Administratorer |
Full kontroll |
Denne mappen og filer |
Systemet |
Full kontroll |
Denne mappen og filer |
|
IWAM_<MachineName> |
Lese, kjøre |
Denne mappen og filer |
|
Service |
Lese, kjøre |
Denne mappen og filer |
|
Nettverk |
Lese, kjøre |
Denne mappen og filer |
|
Optional**: |
Brukere |
Lese, kjøre |
Denne mappen og filer |
Obs! Hvis du bruker FrontPage-servertillegg, må gruppen Godkjente brukere eller brukere ha endre NTFS-tillatelser til å opprette, gi nytt navn til, skrive eller til å gi funksjonalitet som en utvikler kan ha fra et FrontPage-type klient, for eksempel Visual InterDev 6.0 eller FrontPage 2002.
Gi tillatelser i registret
-
Klikk Start, klikk Kjør, Skriv inn regedt32og klikk deretter OK. Ikke Bruk Registerredigering fordi den ikke lar deg endre tillatelser i Windows 2000.
-
Finn og velg HKEY_LOCAL_MACHINEi Registerredigering.
-
Utvid systemet, utvid CurrentControlSet, og utvid deretter tjenester.
-
Velg IISADMIN -nøkkelen, klikk Sikkerhet (eller trykk ALT + S), og velg deretter
Tillatelser (eller trykk P). -
Klikk for å fjerne merket for Tillat at arvbare tillatelser fra overordnet objekt overføres til dette objektet , klikker du Kopierog deretter fjerne alle brukere unntatt:
-
Administratorer (tillater lesetilgang og Full kontroll)
-
System (tillater lesetilgang og Full kontroll)
-
-
Klikk OK.
-
Gjenta trinnene for MSFTPSVC -nøkkelen.
-
Velg W3SVC -nøkkelen, klikk Sikkerhetog deretter tillatelser.
-
Klikk for å fjerne merket for Tillat at arvbare tillatelser fra overordnet objekt overføres til dette objektet , og fjern deretter alle poster unntatt:
-
Administratorer (tillater lesetilgang og Full kontroll)
-
System (tillater lesetilgang og Full kontroll)
-
Nettverket (lese)
-
Tjenesten (lese)
-
IWAM_ < maskinnavn > (lese)
-
-
Klikk OK.
Registeret
Tabellen nedenfor viser hvilke tillatelser som skal brukes når du følger fremgangsmåten i delen "Gi tillatelser i registeret". Denne tabellen er bare for referanse.
Obs! Akronymet HKLM står for HKEY_LOCAL_MACHINE.
Plassering |
Users\Groups |
Tillatelser |
---|---|---|
HKLM\System\CurrentControlSet\Services\IISAdmin |
Administratorer |
Full kontroll |
Systemet |
Full kontroll |
|
HKLM\System\CurrentControlSet\Services\MsFtpSvc |
Administratorer |
Full kontroll |
Systemet |
Full kontroll |
|
HKLM\System\CurrentControlSet\Services\w3svc |
Administratorer |
Full kontroll |
Systemet |
Full kontroll |
|
IWAM_<MachineName> |
Les |
Gi rettigheter i den lokale sikkerhetspolicyen
-
Klikk Start, velg Innstillingerog deretter Kontrollpanel.
-
Dobbeltklikk Administrative verktøy, og dobbeltklikk deretter Lokal sikkerhetspolicy.
-
Utvid Lokale policyeri dialogboksen Lokale sikkerhetsinnstillinger , og klikk deretter Tilordning av brukerrettigheter.
-
Endre den aktuelle policyen:
-
Dobbeltklikk policyen.
-
Velg og klikk deretter Fjern for alle brukere som er ikke oppført i tabellen.
-
Legge til en bruker som ikke er oppført. Hvis du vil gjøre dette, klikker du
Legg til, og velg deretter brukeren i dialogboksen Velg brukere eller grupper .
-
Vær oppmerksom på at fordi en kontroller domenepolicyen overstyre den lokale policyen, må du kontrollere at Effektiv policyinnstillingen samsvarer med Lokal policyinnstilling.
Policyer
Tabellen nedenfor viser hvilke tillatelser som skal brukes når du følger fremgangsmåten i delen "Gi rettigheter i den lokale sikkerhetspolicyen".
Policy |
Brukere |
---|---|
Logg på lokalt |
Administratorer |
IUSR_ < maskinnavn > (anonym) |
|
Brukerne (godkjenning kreves) |
|
Få tilgang til denne datamaskinen fra nettverket |
Administratorer |
ASPNet (.NET Framework) |
|
IUSR_ < maskinnavn > (anonym) |
|
IWAM_<MachineName> |
|
Brukere |
|
Logg på som en satsvis jobb |
ASPNet |
Nettverk |
|
IUSR_<MachineName> |
|
IWAM_<MachineName> |
|
Service |
|
Logg på som en tjeneste |
ASPNet |
Nettverk |
|
Hopp over traverseringskontroll |
Administratorer |
IUSR_ < maskinnavn > (anonym) |
|
Brukere (enkel, integrert, ufullstendig) |
|
IWAM_<MachineName> |
Referanser
Hvis du vil ha mer informasjon om hvordan du gjenoppretter standard NTFS-tillatelser for Windows 2000, klikker du artikkelnumrene nedenfor for å vise artiklene i Microsoft Knowledge Base:
266118 hvordan du gjenoppretter standard NTFS-tillatelser for Windows 2000
260985 minimum NTFS-tillatelsene som kreves for å bruke CDONTS
324068 hvordan du angir IIS-tillatelser for bestemte objekter
815153 hvordan du konfigurerer NTFS-filtillatelser for sikkerhetsoppdateringen for ASP.NET-applikasjoner Hvis du vil ha mer informasjon om de nødvendige tillatelsene for IIS 6.0, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
812614 standardtillatelsene og brukerrettighetene for IIS 6.0
Hvis du vil ha mer informasjon
Denne artikkelen omhandler ikke ett eller flere av de bestemte sikkerhetskravene for følgende serverroller eller programmer:
-
Windows 2000-domenekontroller
-
Microsoft Exchange 5.5 eller Microsoft Exchange 2000 Outlook Web Access
-
Microsoft Small Business Server 2000
-
Microsoft SharePoint Portal eller Team Services
-
Microsoft Commerce Server 2000 eller Microsoft Commerce Server 2002
-
Microsoft BizTalk Server 2000 eller Microsoft BizTalk Server 2002
-
Microsoft Content Management Server 2000 eller Microsoft Content Management Server 2002
-
Microsoft Application Center 2000
-
Tredjeparts programmer som avhenger av flere tillatelser