Este artigo descreve como definir as permissões mínimas necessárias para um dedicado Internet Information Services (IIS) 5.0, IIS 5.1 ou servidor Web IIS 6.0.
A limitação para este artigo
Aviso: Este artigo só é válido para servidores Web dedicados que usam funcionalidade IIS básica, como a apresentação de conteúdo HTML estático simples ou conteúdo Active Server Pages (ASP). Os requisitos de permissão descritos nesse artigo são específicos apenas para as permissões básicas para um servidor Web dedicado que esteja executando o IIS 5. x ou o IIS 6.0. Este artigo não considera outros produtos da Microsoft e outras empresas que possam exigir permissões diferentes. Você pode examinar a documentação de aplicativos e servidores para requisitos específicos de segurança. Recomendamos que você Examine artigos relacionados que são específicos para as funções do seu servidor Web.
Etapas de testes antes das configurações de permissões em um ambiente de produção
Antes de fazer alterações de permissão em um servidor Web de produção, recomendamos que você execute as seguintes etapas:
-
Execute a versão mais recente da ferramenta IIS Lockdown. Os seguintes programas e serviços foram instalados como parte da suíte de testes que foi usada para testar a segurança do servidor depois de aplicar as permissões mencionadas neste artigo:
-
Serviços de indexação
-
Serviços de Terminal
-
Depurador de scripts
-
IIS
-
Arquivos comuns
-
Documentação
-
Extensões de servidor do FrontPage 2000
-
Gerenciador de serviços de Internet (HTML)
-
WWW
-
FTP
-
-
-
Execute os seguintes testes funcionais:
-
Documentos de hipertexto (HTML)
-
Active Server Pages (ASP)
-
Extensões de servidor do FrontPage, como conexão, edição e gravação, se o FPSE estiver ativado ao usar a ferramenta Lockdown
-
Proteger conexões de SSL (camadas) do soquete
-
Oferecer propriedade e permissão para o administrador e para o sistema
Para fazer isso, execute estas etapas:
-
Abra o Windows Explorer. Para fazer isso, clique em Iniciar, clique em programase, em seguida, clique em O Windows Explorer.
-
Expanda Meu computador.
-
Clique com botão direito a unidade do sistema (geralmente é a unidade C) e, em seguida, clique em Propriedades.
-
Clique na guia segurança e, em seguida, clique em Avançado para abrir a caixa de diálogo Configurações de controle de acesso de disco Local .
-
Clique na guia proprietário , clique para selecionar a caixa de seleção Substituir o proprietário em sub-recipientes e objetos e, em seguida, clique em Aplicar. Se você receber a seguinte mensagem de erro, clique em continuar:
Erro ao aplicar as informações de segurança para %systemdrive%\Pagefile.sys
-
Se você receber a seguinte mensagem de erro, clique em Sim:
Você não tem permissão para ler o conteúdo da pasta %systemdrive%\System Volume Information - deseja substituir a permissão de diretório - todas as permissões serão substituídas concedendo controle total
-
Clique em OK para fechar a caixa de diálogo.
-
Clique em Adicionar.
-
Adicione os seguintes usuários e conceda-lhes a permissão NTFS de controle total:
-
Administrador
-
Sistema
-
Proprietário criador
-
-
Após adicionar essas permissões NTFS, clique em Avançado, clique para selecionar a caixa de seleção Redefinir permissões em todos os objetos filho e ativará a propagação de permissões herdáveis e, em seguida, clique em Aplicar.
-
Se você receber a seguinte mensagem de erro, clique em continuar:
Erro ao aplicar as informações de segurança para %systemdrive%\Pagefile.sys
-
Após redefinir as permissões NTFS, clique em Okey.
-
Clique no grupo todos , clique em Removere, em seguida, clique em Okey.
-
Abra as propriedades da pasta %systemdrive%\Program Files\Common Files e, em seguida, clique na guia segurança adicionar a conta usada para acesso anônimo. Por padrão, esta é a conta IUSR _ < MachineName >. Em seguida, adicione o grupo usuários. Certifique-se de que apenas o seguinte está selecionado:
-
Ler e executar
-
Listar conteúdo de pastas
-
Leitura
-
-
Abra as propriedades para o diretório raiz que contém seu conteúdo Web. Por padrão, essa é a pasta %systemdrive%\Inetpub\Wwwroot.. Clique na guia segurança , adicione a conta IUSR _ < MachineName > e o grupo de usuários e, em seguida, certifique-se de que apenas o seguinte está selecionado:
-
Ler e executar
-
Listar conteúdo de pastas
-
Leitura
-
-
Se você quiser conceder permissão NTFS Write para Inetpub\FTProot ou o caminho do diretório para o site ou sites FTP, repita a etapa 15. Observação: Não recomendamos a concessão de permissões NTFS Write para contas anônimas em qualquer diretório, incluindo os usados pelos serviços FTP. Isso pode causar dados desnecessários sejam carregados para o servidor Web.
Desativar herança nos diretórios de sistema
Para fazer isso, execute estas etapas:
-
Na pasta %systemroot%\System32, selecione todas as pastas, exceto as seguintes:
-
Inetsrv
-
Certsrv (se houver)
-
COM
-
-
Clique com botão direito das pastas restantes, clique em Propriedadese, em seguida, clique na guia segurança .
-
Clique para desmarcar a caixa de seleção Allow inheritable permissions , clique em Copiare, em seguida, clique em Okey.
-
Na pasta % systemroot %, selecione todas as pastas, exceto as seguintes:
-
Assembly (se houver)
-
Arquivos de programa baixados
-
Ajuda
-
Microsoft.NET (se houver)
-
Páginas da Web offline
-
System32
-
Tarefas
-
Temp
-
Na Web
-
-
Clique com botão direito das pastas restantes, clique em Propriedadese, em seguida, clique na guia segurança .
-
Clique para desmarcar a caixa de seleção Allow inheritable permissions , clique em Copiare, em seguida, clique em Okey.
-
Aplica permissões para o seguinte:
-
Abra as propriedades para a pasta % systemroot %, clique na guia segurança , adicione as contas IUSR _ < MachineName > e IWAM _ < MachineName > e o grupo usuários e verifique se apenas o seguinte está selecionado:
-
Ler e executar
-
Listar conteúdo de pastas
-
Leitura
-
-
Abra as propriedades da pasta %systemroot%\Temp, selecione a conta IUSR _ < MachineName > (essa conta já está presente porque ela é herdada da pasta Winnt) e, em seguida, clique para selecionar a caixa de seleção Modificar . Repita essa etapa para a conta IWAM _ < MachineName > e o Grupo de usuários .
-
Se clientes de extensão de servidor do FrontPage, como FrontPage ou Microsoft Visual InterDev estiverem sendo usados, abra as propriedades da pasta %systemdrive%\Inetpub\Wwwroot, selecione o grupo Usuários autenticados , selecione o seguinte e, em seguida, clique em Okey :
-
Modificar
-
Ler e executar
-
Listar conteúdo de pastas
-
Leitura
-
Gravação
-
-
Permissões de NTFS
A tabela a seguir lista as permissões que serão aplicadas quando você seguir as etapas na seção "Desativar herança nos diretórios de sistema". Esta tabela é somente para referência. Para aplicar as permissões na tabela a seguir, execute as seguintes etapas:
-
Abra o Windows Explorer. Para fazer isso, clique em Iniciar, clique em programas, em Acessóriose, em seguida, clique em Windows Explorer.
-
Expanda Meu computador.
-
Clique com botão direito % systemroot %e, em seguida, clique em Propriedades.
-
Clique na guia segurança e, em seguida, clique em Avançado.
-
Clique duas vezes em permissãoe, em seguida, selecione a configuração apropriada na lista Aplicar em .
Observação: Coluna em "aplicar a", o termo que Default se refere a "Esta pasta, subpastas e arquivos."
Diretório |
Users\Groups |
Permissões |
Aplicar a |
---|---|---|---|
%systemroot%\ (c:\winnt) |
Administrador |
Controle total |
Padrão |
Sistema |
Controle total |
Padrão |
|
Usuários |
Ler, executar |
Padrão |
|
%systemroot%\system32 |
Administradores |
Controle total |
Padrão |
Sistema |
Controle total |
Padrão |
|
Usuários |
Ler, executar |
Padrão |
|
%systemroot%\system32\inetsrv |
Administradores |
Controle total |
Padrão |
Sistema |
Controle total |
Padrão |
|
Usuários |
Ler, executar |
Padrão |
|
Inetpub\adminscripts |
Administradores |
Controle total |
Padrão |
Inetpub\urlscan (se houver) |
Administradores |
Controle total |
Padrão |
Sistema |
Controle total |
Padrão |
|
%systemroot%\system32\inetsrv\metaback |
Administradores |
Controle total |
Padrão |
Sistema |
Controle total |
Padrão |
|
%systemroot%\help\iishelp\common |
Administradores |
Controle total |
Esta pasta e arquivos |
Sistema |
Controle total |
Esta pasta e arquivos |
|
IWAM_<Machinename> |
Ler, executar |
Esta pasta e arquivos |
|
Rede |
Controle total |
Esta pasta e arquivos |
|
Serviço |
Esta pasta e arquivos |
||
Usuários |
Ler, executar |
Esta pasta e arquivos |
|
Inetpub\wwwroot (ou diretórios de conteúdo) |
Administradores |
Controle total |
Esta pasta e arquivos |
Sistema |
Controle total |
Esta pasta e arquivos |
|
IWAM_<MachineName> |
Ler, executar |
Esta pasta e arquivos |
|
Serviço |
Ler, executar |
Esta pasta e arquivos |
|
Rede |
Ler, executar |
Esta pasta e arquivos |
|
Optional**: |
Usuários |
Ler, executar |
Esta pasta e arquivos |
Observação: Se você estiver usando as extensões de servidor do FrontPage, usuários autenticados ou grupo de usuários deve ter a permissão Alterar NTFS para criar, renomear, gravar ou fornecer a funcionalidade que um desenvolvedor pode precisar de um tipo FrontPage do cliente, como Visual InterDev 6.0 ou o FrontPage 2002.
Conceder permissões no registro
-
Clique em Iniciar, clique em Executar, digite regedt32, e clique em OK. Não use o Editor do registro porque ele não lhe permite alterar permissões no Windows 2000.
-
No Editor do registro, localize e selecione HKEY_LOCAL_MACHINE.
-
Expanda sistema, expanda CurrentControlSete Serviços.
-
Selecione a chave IISADMIN , clique em segurança (ou pressione ALT + S) e, em seguida, selecione Permissões (ou pressione P).
-
Clique para desmarcar a caixa de seleção Permitir que permissões herdadas do pai se propaguem para este objeto , clique em Copiare, em seguida, remova todos os usuários, exceto:
-
Administrators (Permitir leitura e controle total)
-
System (Permitir leitura e controle total)
-
-
Clique em OK.
-
Repita as etapas para a chave MSFTPSVC .
-
Selecione a chave W3SVC , clique em segurançae, em seguida, clique em permissões.
-
Clique para desmarcar a caixa de seleção Permitir que permissões herdadas do pai se propaguem para este objeto e, em seguida, remova todas as entradas, exceto:
-
Administrators (Permitir leitura e controle total)
-
System (Permitir leitura e controle total)
-
Network (leitura)
-
Service (leitura)
-
IWAM _ < MachineName > (leitura)
-
-
Clique em OK.
Registro
A tabela a seguir lista as permissões que serão aplicadas quando você seguir as etapas na seção "Conceder permissões no registro". Esta tabela é somente para referência. Observação: O acrônimo HKLM significa HKEY_LOCAL_MACHINE.
Local |
Users\Groups |
Permissões |
---|---|---|
HKLM\System\CurrentControlSet\Services\IISAdmin |
Administradores |
Controle total |
Sistema |
Controle total |
|
HKLM\System\CurrentControlSet\Services\MsFtpSvc |
Administradores |
Controle total |
Sistema |
Controle total |
|
HKLM\System\CurrentControlSet\Services\w3svc |
Administradores |
Controle total |
Sistema |
Controle total |
|
IWAM_<MachineName> |
Leitura |
Conceder direitos na diretiva de segurança Local
-
Clique em Iniciar, clique em configuraçõese, em seguida, clique em Painel de controle.
-
Clique duas vezes em Ferramentas administrativase, em seguida, clique duas vezes em Diretiva de segurança Local.
-
Na caixa de diálogo Configurações locais de segurança , expanda Diretivas locaise, em seguida, clique em Atribuição de direitos de usuário.
-
Modifique a diretiva apropriada:
-
Clique duas vezes na diretiva.
-
Selecione e, em seguida, clique em Remover para qualquer usuário que não está listado na tabela.
-
Adicione qualquer usuário que não está listado. Para fazer isso, clique em Adicionare selecione o usuário na caixa de diálogo Selecionar usuários ou grupos .
-
Observe que como uma diretiva de controlador de domínio substitui a diretiva local, você deve garantir que a Configuração de diretiva efetiva coincide com a Configuração da diretiva Local.
Políticas
A tabela a seguir lista as permissões que serão aplicadas quando você seguir as etapas na seção "Conceder direitos na diretiva de segurança Local".
Política |
Usuários |
---|---|
Faça logon localmente |
Administradores |
IUSR _ < MachineName > (anônimo) |
|
Usuários (autenticação necessária) |
|
Acesso a este computador pela rede |
Administradores |
ASPNet (.NET Framework) |
|
IUSR _ < MachineName > (anônimo) |
|
IWAM_<MachineName> |
|
Usuários |
|
Faça logon como um trabalho em lotes |
ASPNet |
Rede |
|
IUSR_<MachineName> |
|
IWAM_<MachineName> |
|
Serviço |
|
Faça logon como um serviço |
ASPNet |
Rede |
|
Ignorar a verificação completa |
Administradores |
IUSR _ < MachineName > (anônimo) |
|
Usuários (Basic, integrado, síntese) |
|
IWAM_<MachineName> |
Referências
Para obter mais informações sobre como restaurar as permissões NTFS padrão para o Windows 2000, clique nos números abaixo para visualizar os artigos na Base de Conhecimento da Microsoft:
266118 como restaurar as permissões de NTFS padrão para Windows 2000
260985 as permissões de NTFS mínimas necessárias para usar o CDONTS
324068 como configurar as permissões IIS para objetos específicos
815153 como configurar permissões de arquivo NTFS para segurança de aplicativos ASP.NET Para obter mais informações sobre as permissões necessárias para o IIS 6.0, clique no número abaixo para ler o artigo na Base de Conhecimento da Microsoft:
812614 permissões padrão e direitos do usuário para o IIS 6.0
Informações adicionais
Este artigo não aborda qualquer uma das necessidades específicas de segurança dos aplicativos ou funções de servidor a seguir:
-
Controlador de domínio do Windows 2000
-
Microsoft Exchange 5.5 ou o Microsoft Exchange 2000 Outlook Web Access
-
Microsoft Small Business Server 2000
-
Microsoft SharePoint Portal ou Team Services
-
Microsoft Commerce Server 2000 ou Microsoft Commerce Server 2002
-
Microsoft BizTalk Server 2000 ou o Microsoft BizTalk Server 2002
-
Microsoft Content Management Server 2000 ou o Microsoft Content Management Server 2002
-
Microsoft Application Center 2000
-
Os aplicativos de terceiros que dependem de permissões adicionais