Como definir permissões de NTFS mínimas e os direitos de utilizador para o IIS 5. x ou no IIS 6.0

Este artigo descreve como definir as permissões mínimas necessárias para uma dedicada Internet Information Services (IIS) 5.0, IIS 5.1 ou servidor IIS 6.0 Web.

O limite para este artigo

Aviso Este artigo é apenas válido para servidores Web dedicados que utilizar a funcionalidade básica do IIS, tais como a servir conteúdo HTML estático conteúdo ou simples Active Server Pages (ASP). Os requisitos de permissões que são descritos neste artigo são específicos apenas as permissões de base para um servidor Web dedicado que esteja a executar o IIS 5. x ou o IIS 6.0. Este artigo não se considera outros Microsoft e produtos de outros fabricantes que poderão exigir permissões diferentes. Pode rever a documentação do servidor e a aplicação de requisitos específicos de segurança. Recomendamos que reveja os artigos relacionados que são específicas para as funções do servidor Web.

Passos antes das configurações de permissões de teste num ambiente de produção

Antes de efectuar alterações de permissões no servidor Web de produção, a Microsoft recomenda que efectue os seguintes passos:

  1. Execute a versão mais recente da ferramenta IIS Lockdown. Os seguintes programas e serviços foram instalados como parte do conjunto de teste que foi utilizado para testar a segurança do servidor após a concessão de permissões descritas neste artigo:

    • Serviços de indexação

    • Serviços de terminal

    • Depurador de scripts

    • IIS

      • Ficheiros comuns

      • Documentação

      • Extensões de servidor do FrontPage 2000

      • Gestor de serviços Internet (HTML)

      • WWW

      • FTP

  2. Execute os seguintes testes de funcionalidade:

    • Documentos de hipertexto (HTML)

    • Active Server Pages (ASP)

    • Extensões de servidor do FrontPage, tais como ligar, editar e guardar, se o FPSE estiver activado enquanto utiliza a ferramenta de bloqueio

    • Proteger ligações de camadas (SSL) do Socket

Conceder permissão e de propriedade e para o administrador do sistema

Para tal, siga estes passos:

  1. Abra o Explorador do Windows. Para tal, clique em Iniciar, clique em programase, em seguida, clique em Explorador do Windows.

  2. Expanda o computador.

  3. Botão direito do rato na unidade de sistema (isto é normalmente a unidade C) e, em seguida, clique em Propriedades.

  4. Clique no separador segurança e, em seguida, clique em Avançadas para abrir a caixa de diálogo Definições de controlo de acesso para o disco Local .

  5. Clique no separador proprietário , clique para seleccionar a caixa de verificação Substituir proprietário em recipientes de Sub e objectos e, em seguida, clique em Aplicar. Se receber a seguinte mensagem de erro, clique em continuar:

    Ocorreu um erro aplicar informações sobre segurança para %systemdrive%\Pagefile.sys

  6. Se receber a seguinte mensagem de erro, clique em Sim:

    Não tem permissão para ler o conteúdo do directório %systemdrive%\System informações de Volume - confirma que deseja substituir a permissão de directório - serão substituída todas as permissões que lhe concedem controlo total

  7. Clique em OK para fechar a caixa de diálogo.

  8. Clique em Adicionar.

  9. Adicione os seguintes utilizadores e, em seguida, conceder-lhes a permissão NTFS controlo total:

    • Administrador

    • System

    • Proprietário criador

  10. Depois de ter adicionado estas permissões de NTFS, clique em Avançadas, clique para seleccionar a caixa de verificação Repor permissão em todos os objectos subordinados e permitir a propagação de permissões herdáveis e, em seguida, clique em Aplicar.

  11. Se receber a seguinte mensagem de erro, clique em continuar:

    Ocorreu um erro aplicar informações sobre segurança para %systemdrive%\Pagefile.sys

  12. Depois de repor as permissões de NTFS, clique em OK.

  13. Clique no grupo todos os utilizadores , clique em Removere, em seguida, clique em OK.

  14. Abra as propriedades para a pasta de ficheiros c:\Programas\Ficheiros %systemdrive%\Programas\Windows e, em seguida, clique em Adicionar a conta que é utilizada para acesso anónimo no separador segurança . Por predefinição, esta é a conta IUSR _ < NomeComputador >. Em seguida, adicione o grupo de utilizadores. Certifique-se de que só está seleccionadas:

    • Ler & executar

    • Listar conteúdo das pastas

    • Leitura

  15. Abra as propriedades para o directório de raiz que contém a Web content. Por predefinição, esta é a pasta de %systemdrive%\inetpub\wwwroot.. Clique no separador segurança , adicione a conta IUSR _ < NomeComputador > e o grupo de utilizadores e, em seguida, certifique-se de que só está seleccionadas:

    • Ler & executar

    • Listar conteúdo das pastas

    • Leitura

  16. Se deseja conceder permissão de escrita de NTFS para Inetpub\FTProot ou o caminho do directório para o local de FTP ou Web sites, repita o passo 15. Nota Não recomendamos a conceder permissões de NTFS de escrita para a conta anónima em quaisquer directórios, incluindo directórios utilizados pelo utilizada pelo serviço FTP. Isto pode causar dados desnecessários, para serem enviados para o servidor Web.

Desactive a herança de directórios de sistema

Para tal, siga estes passos:

  1. Na pasta %systemroot%\System32, seleccione todas as pastas excepto o seguinte:

    • Inetsrv

    • Certsrv (se existir)

    • COM

  2. As restantes pastas com o botão direito, clique em Propriedadese, em seguida, clique no separador segurança .

  3. Clique para desmarcar a caixa de verificação Allow inheritable permissions , clique em Copiare, em seguida, clique em OK.

  4. Na pasta % systemroot %, seleccione todas as pastas excepto o seguinte:

    • Assemblagem (se existir)

    • Ficheiros de programa transferidos

    • Ajuda

    • Microsoft.NET (se existir)

    • Páginas Web offline

    • System32

    • Tarefas

    • Temp

    • Web

  5. As restantes pastas com o botão direito, clique em Propriedadese, em seguida, clique no separador segurança .

  6. Clique para desmarcar a caixa de verificação Allow inheritable permissions , clique em Copiare, em seguida, clique em OK.

  7. Aplica permissões à seguinte:

    1. Abra as propriedades para a pasta % systemroot %, clique no separador segurança , adicione as contas IUSR _ < NomeComputador > e IWAM _ < NomeComputador > e o grupo de utilizadores e, em seguida, certifique-se de que só são seleccionados:

      • Ler & executar

      • Listar conteúdo das pastas

      • Leitura

    2. Abra as propriedades para a pasta %systemroot%\Temp, seleccione a conta de IUSR _ < NomeComputador > (esta conta já existe uma vez que herda a partir da pasta Winnt) e, em seguida, clique para seleccionar a caixa de verificação de Modificar . Repita este passo para a conta IWAM _ < NomeComputador > e o Grupo de utilizadores .

    3. Se os clientes de extensão de servidor do FrontPage tal como estão a ser utilizado o FrontPage ou Microsoft Visual InterDev, abra as propriedades para a pasta %systemdrive%\inetpub\wwwroot., seleccione o grupo de Utilizadores autenticados , seleccione o seguinte e, em seguida, clique em OK :

      • Modificar

      • Ler & executar

      • Listar conteúdo das pastas

      • Leitura

      • Escrita

Permissões de NTFS

A tabela seguinte lista as permissões que serão aplicadas quando seguir os passos na secção "Desactivar herança em directórios de sistema". Esta tabela é apenas para referência. Para aplicar as permissões na seguinte tabela, siga estes passos:

  1. Abra o Explorador do Windows. Para tal, clique em Iniciar, clique em programas, clique em Acessóriose, em seguida, clique em Explorador do Windows.

  2. Expanda o computador.

  3. Botão direito do rato % systemroot %e, em seguida, clique em Propriedades.

  4. Clique no separador segurança e, em seguida, clique em Avançadas.

  5. Faça duplo clique em permissõese, em seguida, seleccione a definição adequada na lista Aplicar em .

Nota Coluna em "aplicar a", o termo que predefinido refere-se a "Nesta pasta, subpastas e ficheiros."

Directório

Users\Groups

Permissões

Aplicar a

%systemroot%\ (c:\winnt)

Administrador

Controlo total

Predefinição

System

Controlo total

Predefinição

Utilizadores

Ler, executar

Predefinição

%systemroot%\system32

Administradores

Controlo total

Predefinição

System

Controlo total

Predefinição

Utilizadores

Ler, executar

Predefinição

%systemroot%\system32\inetsrv

Administradores

Controlo total

Predefinição

System

Controlo total

Predefinição

Utilizadores

Ler, executar

Predefinição

Inetpub\adminscripts

Administradores

Controlo total

Predefinição

Inetpub\urlscan (se existir)

Administradores

Controlo total

Predefinição

System

Controlo total

Predefinição

%systemroot%\system32\inetsrv\metaback

Administradores

Controlo total

Predefinição

System

Controlo total

Predefinição

%systemroot%\help\iishelp\common

Administradores

Controlo total

Esta pasta e ficheiros

System

Controlo total

Esta pasta e ficheiros

IWAM_<Machinename>

Ler, executar

Esta pasta e ficheiros

Rede

Controlo total

Esta pasta e ficheiros

Serviço

Esta pasta e ficheiros

Utilizadores

Ler, executar

Esta pasta e ficheiros

Inetpub\wwwroot (ou directórios de conteúdo)

Administradores

Controlo total

Esta pasta e ficheiros

System

Controlo total

Esta pasta e ficheiros

IWAM_<MachineName>

Ler, executar

Esta pasta e ficheiros

Serviço

Ler, executar

Esta pasta e ficheiros

Rede

Ler, executar

Esta pasta e ficheiros

Optional**:

Utilizadores

Ler, executar

Esta pasta e ficheiros

Nota Se estiver a utilizar o FrontPage Server Extensions, os utilizadores autenticados ou ao grupo utilizadores tem de ter a permissão de NTFS de alteração para criar, mudar o nome, para escrever ou para fornecer a funcionalidade que um programador poderá ter de ter um tipo de FrontPage do cliente, tal como Visual InterDev 6.0 ou do FrontPage 2002.

Conceder permissões no registo

  1. Clique em Iniciar, clique em Executar, escreva regedt32e, em seguida, clique em OK. Não utilize o Editor de registo porque este não permitem-lhe alterar permissões no Windows 2000.

  2. No Editor de registo, localize e seleccione HKEY_LOCAL_MACHINE.

  3. Expanda o sistema, expanda CurrentControlSete, em seguida, expanda Serviços.

  4. Seleccione a chave IISADMIN , clique em segurança (ou prima ALT + S) e, em seguida, seleccione Permissões (ou prima P).

  5. Clique para desmarcar a caixa de verificação de que as permissões herdáveis se propaguem para este objecto , clique em Copiare, em seguida, remova todos os utilizadores , excepto:

    • Administradores (permitir a leitura e de controlo total)

    • Sistema (permitir a leitura e de controlo total)

  6. Clique em OK.

  7. Repita os passos para a chave MSFTPSVC .

  8. Seleccione a chave de W3SVC , clique em segurançae, em seguida, clique em permissões.

  9. Clique para desmarcar a caixa de verificação de que as permissões herdáveis se propaguem para este objecto e, em seguida, remova todos os movimentos , excepto:

    • Administradores (permitir a leitura e de controlo total)

    • Sistema (permitir a leitura e de controlo total)

    • Rede (leitura)

    • Serviço (leitura)

    • IWAM _ < NomeComputador > (leitura)

  10. Clique em OK.

Registo

A tabela seguinte lista as permissões que serão aplicadas quando seguir os passos na secção "Conceder permissões no registo". Esta tabela é apenas para referência. Nota O acrónimo significa HKLM para HKEY_LOCAL_MACHINE.

Localização

Users\Groups

Permissões

HKLM\System\CurrentControlSet\Services\IISAdmin

Administradores

Controlo total

System

Controlo total

HKLM\System\CurrentControlSet\Services\MsFtpSvc

Administradores

Controlo total

System

Controlo total

HKLM\System\CurrentControlSet\Services\w3svc

Administradores

Controlo total

System

Controlo total

IWAM_<MachineName>

Leitura

Conceder direitos na política de segurança Local

  1. Clique em Iniciar, clique em Definiçõese, em seguida, clique em Painel de controlo.

  2. Faça duplo clique em Ferramentas administrativase, em seguida, faça duplo clique em Política de segurança Local.

  3. Na caixa de diálogo Definições de segurança Local , expanda Políticas locaise, em seguida, clique em Atribuição de direitos de utilizador.

  4. Modificar a política adequada:

    1. Faça duplo clique sobre a política.

    2. Seleccione e, em seguida, clique em Remover para qualquer utilizador que seja não listados na tabela.

    3. Adicione qualquer utilizador que não esteja listado. Para tal, clique em Adicionare, em seguida, seleccione o utilizador na caixa de diálogo Seleccionar utilizadores ou grupos .

Tenha em atenção que uma vez que uma política de controlador de domínio substitui a política local, tem de se certificar que a Definição de política efectiva corresponde à Definição de Política Local.

Políticas

A tabela seguinte lista as permissões que serão aplicadas quando seguir os passos na secção "Conceder direitos na política de segurança Local".

Política

Utilizadores

Iniciar sessão localmente

Administradores

IUSR _ < NomeComputador > (anónimos)

Utilizadores (autenticação necessária)

Aceder a este computador da rede

Administradores

ASPNet (.NET Framework)

IUSR _ < NomeComputador > (anónimos)

IWAM_<MachineName>

Utilizadores

Inicie sessão como tarefa Batch

ASPNet

Rede

IUSR_<MachineName>

IWAM_<MachineName>

Serviço

Início de sessão como um serviço

ASPNet

Rede

Ignorar verificação transversal

Administradores

IUSR _ < NomeComputador > (anónimos)

Utilizadores (básico, integrado, resumo)

IWAM_<MachineName>

Referências

Para mais informações sobre como restaurar permissões predefinidas de NTFS para o Windows 2000, clique nos números de artigo que se segue para visualizar os artigos na Microsoft Knowledge Base:

266118 como restaurar as permissões de NTFS predefinidas para o Windows 2000

Permissões de NTFS mínimo 260985 necessárias para utilizarem CDONTS

324068 como definir permissões para objectos específicos do IIS

815153 como configurar permissões de ficheiros NTFS para a segurança de aplicações do ASP.NET Para mais informações sobre as permissões necessárias para o IIS 6.0, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:

As permissões predefinidas de 812614 e direitos de utilizador para o IIS 6.0

Mais Informações

Este artigo não abrange qualquer um dos requisitos de segurança específicas dos seguintes papeis de servidor ou aplicações:

  • Controlador de domínio do Windows 2000

  • Microsoft Exchange 5.5 ou o Outlook Web Access do Microsoft Exchange 2000

  • Microsoft Small Business Server 2000

  • Ou o Microsoft SharePoint Portal Team Services

  • Microsoft Commerce Server 2000 ou Microsoft Commerce Server 2002

  • Microsoft BizTalk Server 2000 ou o Microsoft BizTalk Server 2002

  • Microsoft Content Management Server 2000 ou Microsoft Content Management Server 2002

  • Microsoft Application Center 2000

  • As aplicações de outros fabricantes que dependem de permissões adicionais

Precisa de mais ajuda?

Aumente os seus conhecimentos
Explore as formações
Seja o primeiro a obter novas funcionalidades
Aderir ao Microsoft insiders

As informações foram úteis?

Obrigado pelos seus comentários!

Obrigado pelo seu feedback! Parece que poderá ser benéfico reencaminhá-lo para um dos nossos agentes de suporte do Office.

×