In dit artikel wordt beschreven hoe de minimale machtigingen die vereist voor een specifieke Internet Information Services (IIS) 5.0, IIS 5.1 of IIS 6.0-webserver zijn.
De beperking voor dit artikel
Waarschuwing Dit artikel is alleen geldig voor specifieke-webservers waarop IIS basisfunctionaliteit zoals HTML statische inhoud of eenvoudige Active Server Pages (ASP) voor de inhoud. De machtiging vereisten die worden beschreven in dit artikel gelden alleen voor de algemene machtigingen voor een toegewezen webserver waarop IIS 5. x of IIS 6.0. In dit artikel rekening geen met andere Microsoft-producten van andere leveranciers en waarvoor andere machtigingen gelden. Server- en documentatie voor de specifieke beveiligingsvereisten, kunt u bekijken. Het is raadzaam dat u de verwante artikelen bekijken die specifiek zijn voor de functies van uw webserver.
Stappen voordat u de machtigingen configuraties te testen in een productieomgeving
Voordat u wijzigingen in de machtigingen op een productiewebserver, raden we aan dat u de volgende stappen uitvoeren:
-
De meest recente versie van het hulpprogramma IIS Lockdownuitvoeren. De volgende programma's en services zijn geïnstalleerd als onderdeel van de test die is gebruikt voor het testen van beveiliging van de server na het verlenen van de machtigingen die worden beschreven in dit artikel:
-
Index Services
-
Terminal Services
-
Scriptdebugger
-
IIS
-
Common Files
-
Documentatie
-
FrontPage-serverextensies 2000
-
Internet-servicebeheer (HTML)
-
WWW
-
FTP
-
-
-
De volgende functionele tests uitvoeren:
-
Hypertextdocumenten (HTML)
-
Active Server Pages (ASP)
-
FrontPage-serverextensies, zoals verbinding maken, bewerken en opslaan als FPSE is ingeschakeld terwijl u de Lockdown gebruiken
-
Secure Socket Layers (SSL)-verbindingen
-
Eigendom en toestemming verlenen voor de beheerder en het systeem
Ga hiervoor als volgt te werk:
-
Open Windows Verkenner. Hiertoe klikt u op Start, klik op programma'sen klik op Windows Verkenner.
-
Vouw Mijn Computeruit.
-
Klik met de rechtermuisknop op het systeemstation (meestal is dit station C) en klik vervolgens op Eigenschappen.
-
Klik op het tabblad beveiliging en klik vervolgens op Geavanceerd om het dialoogvenster Instellingen voor toegangsbeheer voor de lokale schijf .
-
Klik op het tabblad eigenaar , schakelt u het selectievakje Eigenaar van Sub-containers en objecten vervangen en klik vervolgens op toepassen. Klik op Doorgaanals u het volgende foutbericht weergegeven:
Fout toepassen van beveiligingsgegevens voor %systemdrive%\Pagefile.sys
-
Klik op Jaals het volgende foutbericht weergegeven:
U bent niet gemachtigd voor het lezen van de inhoud van de directory %systemdrive%\System Volume Information - wilt u de map machtigingen vervangen - alle machtigingen worden vervangen die u volledig beheer
-
Klik op OK om het dialoogvenster te sluiten.
-
Klik op Toevoegen.
-
Voeg de volgende gebruikers en geven ze de volledige NTFS-machtiging beheer:
-
Beheerder
-
Systeem
-
Maker eigenaar
-
-
Nadat u NTFS-machtigingen hebt toegevoegd, klikt u op Geavanceerd, schakel het selectievakje machtigingen voor alle onderliggende objecten opnieuw instellen en doorgeven van overneembare machtigingen inschakelen in en klik op toepassen.
-
Klik op Doorgaanals u het volgende foutbericht weergegeven:
Fout toepassen van beveiligingsgegevens voor %systemdrive%\Pagefile.sys
-
Nadat u NTFS-machtigingen hebt ingesteld, klikt u op OK.
-
Klik op de groep Iedereen , klikt u op verwijderenen klik vervolgens op OK.
-
Open de eigenschappen voor de map %systemdrive%\Program Files\Common Files en klik vervolgens op het tabblad beveiliging de account die wordt gebruikt voor anonieme toegang toevoegen. Standaard is dit de account IUSR_ < computernaam >. Vervolgens voegt u de groep gebruikers. Zorg ervoor dat alleen de volgende zijn ingeschakeld:
-
Lezen en uitvoeren
-
Mapinhoud weergeven
-
Lezen
-
-
Open de eigenschappen voor de hoofdmap waarin uw Web content. Standaard is dit de map %systemdrive%\Inetpub\Wwwroot. Klik op het tabblad beveiliging , voeg de account IUSR_ < computernaam > en de groep gebruikers en zorg ervoor dat alleen de volgende zijn ingeschakeld:
-
Lezen en uitvoeren
-
Mapinhoud weergeven
-
Lezen
-
-
Als u wilt schrijven van NTFS-machtigingen voor Inetpub\FTProot of het pad naar de map voor uw FTP-site of sites, herhaalt u stap 15. Opmerking Niet aan te raden dat u schrijven van NTFS-machtigingen voor de anonieme account in alle mappen verlenen, met inbegrip van de mappen die worden gebruikt door de FTP-service wordt gebruikt. Dit kan leiden tot onnodige gegevens te uploaden naar uw webserver.
Overname in systeemmappen uitschakelen
Ga hiervoor als volgt te werk:
-
Selecteer in de map %systemroot%\System32 alle mappen behalve de volgende:
-
Inetsrv
-
Certsrv (indien aanwezig)
-
COM
-
-
Klik met de rechtermuisknop op de resterende mappen, klikt u op Eigenschappenen klik vervolgens op het tabblad beveiliging .
-
Schakel het selectievakje Overneembare machtigingen , klikt u op kopiërenen klik vervolgens op OKklikken.
-
Selecteer in de map % systemroot % alle mappen behalve de volgende:
-
Assembly (indien aanwezig)
-
Gedownloade programmabestanden
-
Help
-
Microsoft.NET (indien aanwezig)
-
Off line webpagina 's
-
System32
-
Taken
-
TEMP
-
Web
-
-
Klik met de rechtermuisknop op de resterende mappen, klikt u op Eigenschappenen klik vervolgens op het tabblad beveiliging .
-
Schakel het selectievakje Overneembare machtigingen , klikt u op kopiërenen klik vervolgens op OKklikken.
-
Machtigingen van toepassing op het volgende:
-
Open de eigenschappen voor de map % systemroot %, klikt u op het tabblad beveiliging , voeg de accounts IUSR_ < computernaam > en IWAM_ < computernaam > en de groep gebruikers en zorg ervoor dat alleen de volgende zijn geselecteerd:
-
Lezen en uitvoeren
-
Mapinhoud weergeven
-
Lezen
-
-
Open de eigenschappen voor de map %systemroot%\Temp, selecteert u de account IUSR_ < computernaam > (deze account is al aanwezig omdat deze uit de map Winnt) en schakelt u het selectievakje wijzigen . Herhaal deze stap voor de account IWAM_ < computernaam > en de De groep gebruikers .
-
Als FrontPage Server-extensie-Clients, zoals FrontPage of Microsoft Visual InterDev zijn gebruikt, opent u de eigenschappen voor de map %systemdrive%\Inetpub\Wwwroot, selecteert u de groep Geverifieerde gebruikers , selecteert u het volgende en klik op OK :
-
Wijzigen
-
Lezen en uitvoeren
-
Mapinhoud weergeven
-
Lezen
-
Schrijven
-
-
NTFS-machtigingen
De volgende tabel geeft een overzicht van de machtigingen die worden toegepast wanneer u de stappen in de sectie 'Overname in systeemmappen uitschakelen'. Deze tabel is alleen ter referentie. Als u wilt toepassen op de machtigingen in de volgende tabel, de volgende stappen uit:
-
Open Windows Verkenner. Hiervoor klikt u op Start, klik op programma's, op Bureau-accessoiresen klik vervolgens op Windows Verkenner.
-
Vouw Mijn Computeruit.
-
Met de rechtermuisknop op de map % systemroot %en klik vervolgens op Eigenschappen.
-
Klik op het tabblad beveiliging en klik vervolgens op Geavanceerd.
-
Dubbelklik op machtigingenen selecteer vervolgens de juiste instelling in de lijst Toepassen op .
Opmerking Kolom in de 'van toepassing op", de term die standaard verwijst naar"Deze map, submappen en bestanden."
Directory |
Users\Groups |
Machtigingen |
Van toepassing op |
---|---|---|---|
%systemroot%\ (c:\winnt) |
Beheerder |
Volledig beheer |
Standaard |
Systeem |
Volledig beheer |
Standaard |
|
Gebruikers |
Lezen, uitvoeren |
Standaard |
|
%systemroot%\system32 |
Beheerders |
Volledig beheer |
Standaard |
Systeem |
Volledig beheer |
Standaard |
|
Gebruikers |
Lezen, uitvoeren |
Standaard |
|
%systemroot%\system32\inetsrv |
Beheerders |
Volledig beheer |
Standaard |
Systeem |
Volledig beheer |
Standaard |
|
Gebruikers |
Lezen, uitvoeren |
Standaard |
|
Inetpub\adminscripts |
Beheerders |
Volledig beheer |
Standaard |
Inetpub\urlscan (indien aanwezig) |
Beheerders |
Volledig beheer |
Standaard |
Systeem |
Volledig beheer |
Standaard |
|
%systemroot%\system32\inetsrv\metaback |
Beheerders |
Volledig beheer |
Standaard |
Systeem |
Volledig beheer |
Standaard |
|
%systemroot%\help\iishelp\common |
Beheerders |
Volledig beheer |
Deze map en bestanden |
Systeem |
Volledig beheer |
Deze map en bestanden |
|
IWAM_<Machinename> |
Lezen, uitvoeren |
Deze map en bestanden |
|
Netwerk |
Volledig beheer |
Deze map en bestanden |
|
Service |
Deze map en bestanden |
||
Gebruikers |
Lezen, uitvoeren |
Deze map en bestanden |
|
Inetpub\Wwwroot (of de inhoud van mappen) |
Beheerders |
Volledig beheer |
Deze map en bestanden |
Systeem |
Volledig beheer |
Deze map en bestanden |
|
IWAM_<MachineName> |
Lezen, uitvoeren |
Deze map en bestanden |
|
Service |
Lezen, uitvoeren |
Deze map en bestanden |
|
Netwerk |
Lezen, uitvoeren |
Deze map en bestanden |
|
Optional**: |
Gebruikers |
Lezen, uitvoeren |
Deze map en bestanden |
Opmerking Als u FrontPage-serverextensies gebruikt, moet de geverifieerde gebruikers of de groep gebruikers toegang hebben tot de wijziging NTFS maken, hernoemen, schrijven of de functionaliteit die een ontwikkelaar mogelijk moeten zijn van een FrontPage-client, zoals Visual InterDev 6.0 of FrontPage 2002.
De machtigingen in het register
-
Klik op Start, klik op uitvoeren, typ regedt32en klik op OK. Gebruik de Register-Editor niet omdat kunt u machtigingen in Windows 2000 niet.
-
In de Register-Editor, zoek en selecteer HKEY_LOCAL_MACHINE.
-
Vouw systeemCurrentControlSetuitbreiden en klik op Services.
-
Selecteer de sleutel IISADMIN , klikt u op beveiliging (of druk op ALT + S), en selecteer vervolgens Machtigingen (of druk op P).
-
Klik op deze optie schakelt u het selectievakje Overneembare machtigingen van bovenliggend object doorgeven aan dit object en klik op kopiëren, verwijdert u alle gebruikers met uitzondering van:
-
Beheerders (lezen en volledig beheer toestaan)
-
Systeem (gebruikers kunnen lezen en volledig beheer)
-
-
Klik op OK.
-
Herhaal de stappen voor de sleutel MSFTPSVC .
-
Selecteer de sleutel W3SVC , klikt u op beveiligingen klik vervolgens op machtigingen.
-
Schakel het selectievakje Overneembare machtigingen van bovenliggend object doorgeven aan dit object en verwijder alle items met uitzondering van:
-
Beheerders (lezen en volledig beheer toestaan)
-
Systeem (gebruikers kunnen lezen en volledig beheer)
-
Netwerk (lezen)
-
Service (lezen)
-
IWAM_ < computernaam > (lezen)
-
-
Klik op OK.
Register
De volgende tabel geeft een overzicht van de machtigingen die worden toegepast wanneer u de stappen in de sectie 'Machtigingen verlenen in het register'. Deze tabel is alleen ter referentie. Opmerking Het acroniem HKLM staat voor HKEY_LOCAL_MACHINE.
Locatie |
Users\Groups |
Machtigingen |
---|---|---|
HKLM\System\CurrentControlSet\Services\IISAdmin |
Beheerders |
Volledig beheer |
Systeem |
Volledig beheer |
|
HKLM\System\CurrentControlSet\Services\MsFtpSvc |
Beheerders |
Volledig beheer |
Systeem |
Volledig beheer |
|
HKLM\System\CurrentControlSet\Services\w3svc |
Beheerders |
Volledig beheer |
Systeem |
Volledig beheer |
|
IWAM_<MachineName> |
Lezen |
Toekenning van rechten in het lokale beveiligingsbeleid
-
Klik op Start, klik op Instellingenen klik vervolgens op Configuratiescherm.
-
Dubbelklik op Systeembeheeren dubbelklik vervolgens op Lokaal beveiligingsbeleid.
-
Vouw Lokaal beleiduit in het dialoogvenster Lokale beveiligingsinstellingen en klik vervolgens op Toewijzing van gebruikersrechten.
-
Het juiste beleid te wijzigen:
-
Dubbelklik op het beleid.
-
Selecteer en klik op verwijderen voor elke gebruiker die wordt niet weergegeven in de tabel.
-
Voeg elke gebruiker die niet wordt vermeld. Hiertoe klikt u op Toevoegenen selecteer de gebruiker in het dialoogvenster gebruikers of groepen selecteren .
-
Houd er rekening mee dat omdat het lokale beleid voorrang heeft op voor een domeincontroller, moet u ervoor zorgen dat Doeltreffende instelling komt overeen met Instelling van lokaal.
Beleid
De volgende tabel geeft een overzicht van de machtigingen die worden toegepast wanneer u de stappen in de sectie 'Rechten verlenen in het lokale beveiligingsbeleid'.
Beleid |
Gebruikers |
---|---|
Lokaal aanmelden |
Beheerders |
IUSR_ < computernaam > (anoniem) |
|
Gebruikers (verificatie vereist) |
|
Deze computer benaderen vanaf het netwerk |
Beheerders |
ASPNet (.NET Framework) |
|
IUSR_ < computernaam > (anoniem) |
|
IWAM_<MachineName> |
|
Gebruikers |
|
Aanmelden als batchtaak |
ASPNet |
Netwerk |
|
IUSR_<MachineName> |
|
IWAM_<MachineName> |
|
Service |
|
Aanmelden als Service |
ASPNet |
Netwerk |
|
Controle op bladeren negeren |
Beheerders |
IUSR_ < computernaam > (anoniem) |
|
Gebruikers (Basic, geïntegreerd, Digest) |
|
IWAM_<MachineName> |
Verwijzingen
Voor meer informatie over het herstellen van standaardmachtigingen voor NTFS voor Windows 2000, klikt u op de volgende artikelnummers om de artikelen in de Microsoft Knowledge Base:
266118 het herstellen van de standaard NTFS-machtigingen voor Windows 2000
260985 minimum NTFS-machtigingen vereist voor het gebruik van CDONTS
324068 het IIS-machtigingen voor bepaalde objecten instellen
815153 het configureren van NTFS-bestandsmachtigingen voor de beveiliging van ASP.NET-toepassingen Voor meer informatie over de vereiste machtigingen voor IIS 6.0, klikt u op het volgende artikel in de Microsoft Knowledge Base:
812614 Standaardmachtigingen en gebruikersrechten voor IIS 6.0
Meer informatie
Dit artikel heeft geen betrekking op een van de specifieke beveiligingsvereisten van de volgende serverfuncties of -toepassingen:
-
Windows 2000-domeincontroller
-
Microsoft Exchange 5.5 of Outlook Web Access voor Exchange 2000
-
Microsoft Small Business Server 2000
-
Microsoft SharePoint Portal of teamservices
-
Microsoft Commerce Server 2000 of Microsoft Commerce Server 2002
-
Microsoft BizTalk Server 2000 of Microsoft BizTalk Server 2002
-
Microsoft Content Management Server 2000 of Microsoft Content Management Server 2002
-
Microsoft Application Center 2000
-
De toepassingen van andere leveranciers die afhankelijk van aanvullende machtigingen zijn