Acest articol descrie cum se setează permisiunile minime necesare pentru o dedicat Internet Information Services (IIS) 5.0, IIS 5.1 sau server IIS 6.0 Web.
Limitare pentru acest articol
Avertisment Acest articol este doar valid pentru dedicat servere Web care utilizează funcționalitatea de bază IIS, cum ar fi servire conţinut HTML statice conținut sau simplă Active Server Pages (ASP). Cerințele de permisiune care sunt descrise în acest articol sunt specifice numai permisiunile de bază pentru un server dedicat Web pe care se execută IIS 5. x sau IIS 6.0. Acest articol nu ia în considerare alte Microsoft și produse terțe care pot necesita permisiuni diferite. Puteți vedea documentația server și aplicația pentru cerințele de securitate specifice. Vă recomandăm să revizuiți articolele corelate specifice pentru roluri de pe serverul Web.
Testarea pași înainte de permisiuni configurațiile într-un mediu de producție
Înainte de a face modificări de permisiune pe un server Web de producție, se recomandă să efectuați următorii pași:
-
Executați Cea mai recentă versiune a instrumentului Lockdown IIS. Următoarele programe și servicii s-au instalat ca parte a suitei test care s-a utilizat pentru a testa securitate server după acordarea de permisiuni menționate în acest articol:
-
Index de servicii
-
Terminal Services
-
Script Debugger
-
IIS
-
Common Files
-
Documentație
-
Extensiile de FrontPage Server 2000
-
Managerul de servicii Internet (HTML)
-
WWW
-
FTP
-
-
-
Efectuați următoarele teste funcţionale:
-
Documente hipertext (HTML)
-
Active Server Pages (ASP)
-
FrontPage Server Extensions, cum ar fi conectarea, editarea și salvarea, dacă FPSE este activată în timp ce utilizați instrumentul Lockdown
-
Secure Socket straturi conexiuni (SSL)
-
Acordă dreptul de proprietate și permisiunea de administrator și la sistemul de
Pentru a face acest lucru, urmați acești pași:
-
Deschideţi Windows Explorer. Pentru aceasta, faceți clic pe Start, faceți clic pe programeși apoi faceți clic pe Windows Explorer.
-
Extindeți computerul meu.
-
Faceți clic dreapta pe unitatea de sistem (aceasta este de regulă unitatea C), și apoi faceți clic pe Proprietăți.
-
Faceți clic pe fila Securitate , și apoi faceți clic pe Complex pentru a deschide caseta de dialog Setări de Control acces pentru disc Local .
-
Faceți clic pe fila proprietar , faceți clic pentru a bifa caseta de selectare Înlocuiește proprietarul din Sub containere și obiecte , și apoi faceți clic pe se aplică. Dacă primiţi următorul mesaj de eroare, faceți clic pe continuare:
Eroare la aplicarea informații de securitate pentru %systemdrive%\Pagefile.sys
-
Dacă primiţi următorul mesaj de eroare, faceți clic pe Da:
Nu aveți permisiunea de a citi conținutul directorului %systemdrive%\System Volume Information - doriți să Înlocuiți permisiunile directorului - permisiunea toate vor fi înlocuite cu care vă acordă Control total
-
Faceți clic pe OK pentru a închide caseta de dialog.
-
Faceți clic pe Adăugare.
-
Adăugați următoarele utilizatori și apoi să le acorde permisiunea Full Control NTFS:
-
Administrator
-
Sistem
-
Creator Owner
-
-
După ce ați adăugat aceste permisiuni NTFS, faceți clic pe Complex, faceți clic pentru a bifa caseta de selectare Reinițializare permisiune pe toate obiectele fiu și activați propagarea permisiunile transmisibile și apoi faceți clic pe se aplică.
-
Dacă primiţi următorul mesaj de eroare, faceți clic pe continuare:
Eroare la aplicarea informații de securitate pentru %systemdrive%\Pagefile.sys
-
După ce ați resetaţi permisiunile NTFS, faceți clic pe OK.
-
Faceți clic pe grupul Everyone , faceți clic pe Eliminare, și apoi faceți clic pe OK.
-
Deschideți proprietățile pentru folderul %systemdrive%\Program Files Files, și apoi faceți clic pe fila Securitate Adăugare cont care este utilizat pentru acces anonim. În mod implicit, acesta este contul IUSR_ < MachineName >. Apoi, adăugaţi grupul utilizatori. Asigurați-vă că sunt selectate numai următoarele:
-
Citiți și să Execute
-
Listare conținut Folder
-
Citire
-
-
Deschideți proprietățile pentru directorul rădăcină care găzduiește conținut de pe Web. În mod implicit, acesta este folderul %systemdrive%\Inetpub\Wwwroot. Faceți clic pe fila Securitate , adăugați contul IUSR_ < MachineName > și grupul utilizatori și apoi asigurați-vă că sunt selectate numai următoarele:
-
Citiți și să Execute
-
Listare conținut Folder
-
Citire
-
-
Dacă doriți să acorde permisiunea de scriere NTFS pentru Inetpub\FTProot sau calea directorului pentru site-ul FTP sau site-uri, repetați pasul 15. Notă Nu recomandăm că vă acordați permisiuni NTFS scrie la contul anonim în directoare, inclusiv directoare utilizate de utilizarea serviciului FTP. Acest lucru poate provoca date nu sunt necesare pentru a fi încărcat pe serverul Web.
Dezactivați moștenire în directoarele de sistem
Pentru a face acest lucru, urmați acești pași:
-
În folderul %systemroot%\System32, selectați toate folderele, cu excepția următoarele:
-
Inetsrv
-
Certsrv (dacă există)
-
COM
-
-
Faceți clic dreapta pe folderele rămase, faceți clic pe Proprietăți, și apoi faceți clic pe fila Securitate .
-
Faceți clic pentru a debifa caseta de selectare Allow permisiunile transmisibile , faceți clic pe Copiereși apoi faceți clic pe OK.
-
În folderul % systemroot %, selectați toate folderele, cu excepția următoarele:
-
Asamblare (dacă există)
-
Fișierele de Program descărcate
-
ajutor
-
Microsoft.NET (dacă există)
-
Paginile Web offline
-
System32
-
Activități
-
Temp
-
Web
-
-
Faceți clic dreapta pe folderele rămase, faceți clic pe Proprietăți, și apoi faceți clic pe fila Securitate .
-
Faceți clic pentru a debifa caseta de selectare Allow permisiunile transmisibile , faceți clic pe Copiereși apoi faceți clic pe OK.
-
Aplică următoarele permisiuni:
-
Deschideți proprietățile pentru folderul % systemroot %, faceți clic pe fila Securitate , Adăugați conturile IUSR_ < MachineName > și IWAM_ < MachineName > și grupul utilizatori și apoi asigurați-vă că numai următoarele selectat:
-
Citiți și să Execute
-
Listare conținut Folder
-
Citire
-
-
Deschideți proprietățile pentru folderul %systemroot%\Temp, selectați contul IUSR_ < MachineName > (acest cont este deja prezent, deoarece acesta moștenește din folderul Winnt) și apoi faceți clic pentru a bifa caseta de selectare Modify . Repetați acest pas pentru contul IWAM_ < MachineName > și Grupul de utilizatori .
-
Dacă FrontPage Server extensie clienți cum ar fi FrontPage sau Microsoft Visual InterDev sunt utilizate, deschideți proprietățile pentru folderul %systemdrive%\Inetpub\Wwwroot, selectați grupul de Utilizatori autentificați , selectați următoarele și apoi faceți clic pe OK :
-
Modificați
-
Citiți și să Execute
-
Listare conținut Folder
-
Citire
-
Scriere
-
-
Permisiunile NTFS
Următorul tabel listează permisiunile care vor fi aplicate când urmați pașii din secțiunea "Disable moștenire în directoarele de sistem". Acest tabel este numai pentru referinţă. Pentru a aplica permisiuni în următorul tabel, urmați acești pași:
-
Deschideţi Windows Explorer. Pentru aceasta, faceți clic pe Start, faceți clic pe programe, faceți clic pe Accesoriiși apoi faceți clic pe Windows Explorer.
-
Extindeți computerul meu.
-
Faceți clic dreapta pe % systemroot %, și apoi faceți clic pe Proprietăți.
-
Faceți clic pe fila Securitate , și apoi faceți clic pe Complex.
-
Faceți dublu clic pe permisiuniși apoi selectați setarea corespunzător din lista de Aplica pe .
Notă În "se aplică" coloana, termenul implicit se referă la "Acest folder, subfolderele și fișierele."
Director |
Users\Groups |
Permisiuni |
Se aplică la |
---|---|---|---|
%systemroot%\ (c:\winnt) |
Administrator |
Control total |
În mod implicit |
Sistem |
Control total |
În mod implicit |
|
Utilizatori |
Citiți, executa |
În mod implicit |
|
%systemroot%\system32 |
Administratorii |
Control total |
În mod implicit |
Sistem |
Control total |
În mod implicit |
|
Utilizatori |
Citiți, executa |
În mod implicit |
|
%systemroot%\system32\inetsrv |
Administratorii |
Control total |
În mod implicit |
Sistem |
Control total |
În mod implicit |
|
Utilizatori |
Citiți, executa |
În mod implicit |
|
Inetpub\adminscripts |
Administratorii |
Control total |
În mod implicit |
Inetpub\urlscan (dacă există) |
Administratorii |
Control total |
În mod implicit |
Sistem |
Control total |
În mod implicit |
|
%systemroot%\system32\inetsrv\metaback |
Administratorii |
Control total |
În mod implicit |
Sistem |
Control total |
În mod implicit |
|
%systemroot%\help\iishelp\common |
Administratorii |
Control total |
Acest folder și fișiere |
Sistem |
Control total |
Acest folder și fișiere |
|
IWAM_<Machinename> |
Citiți, executa |
Acest folder și fișiere |
|
Rețea |
Control total |
Acest folder și fișiere |
|
Service |
Acest folder și fișiere |
||
Utilizatori |
Citiți, executa |
Acest folder și fișiere |
|
Inetpub\wwwroot (sau conținut directoare) |
Administratorii |
Control total |
Acest folder și fișiere |
Sistem |
Control total |
Acest folder și fișiere |
|
IWAM_<MachineName> |
Citiți, executa |
Acest folder și fișiere |
|
Service |
Citiți, executa |
Acest folder și fișiere |
|
Rețea |
Citiți, executa |
Acest folder și fișiere |
|
Optional**: |
Utilizatori |
Citiți, executa |
Acest folder și fișiere |
Notă Dacă utilizați FrontPage Server Extensions, utilizatorii autentificați sau grupul utilizatori trebuie să aveți permisiunea de modificare NTFS pentru a crea, pentru a redenumi, să scrie sau pentru a furniza funcționalitatea un dezvoltator poate fi necesar să aveți un tip de FrontPage de client, cum ar fi Visual InterDev 6.0 sau FrontPage 2002.
Acordați permisiuni în registry
-
Faceți clic pe Start, faceți clic pe Executare, tastați regedt32și apoi faceți clic pe OK. Utilizați Registry Editor, deoarece acesta nu permite modificarea permisiunilor în Windows 2000.
-
În Registry Editor, găsiți și selectați HKEY_LOCAL_MACHINE.
-
Extindeți sistem, extindeți CurrentControlSetși apoi extindeți Services.
-
Selectați cheia IISADMIN , faceți clic pe Securitate (sau apăsați ALT + S), apoi selectați Permisiuni (sau apăsați P).
-
Faceți clic pentru a debifa caseta de selectare Allow permisiunile transmisibile de la părintele să se propage la acest obiect , faceți clic pe Copiere, și apoi eliminați toate utilizatori , cu excepția:
-
Administratori (permite Read și Full Control)
-
Sistem (permite Read și Full Control)
-
-
Faceți clic pe OK.
-
Repetați pașii pentru cheia MSFTPSVC .
-
Selectați cheia W3SVC , faceți clic pe Securitateși apoi faceți clic pe permisiuni.
-
Faceți clic pentru a debifa caseta de selectare Allow permisiunile transmisibile de la părintele să se propage la acest obiect și apoi eliminați toate intrările cu excepția:
-
Administratori (permite Read și Full Control)
-
Sistem (permite Read și Full Control)
-
Rețea (citire)
-
Service (citire)
-
IWAM_ < MachineName > (citire)
-
-
Faceți clic pe OK.
Registry
Următorul tabel listează permisiunile care vor fi aplicate când urmați pașii din secțiunea "Acordarea permisiunilor în registry". Acest tabel este numai pentru referinţă. Notă HKLM reprezintă abrevierea HKEY_LOCAL_MACHINE.
Locație |
Users\Groups |
Permisiuni |
---|---|---|
HKLM\System\CurrentControlSet\Services\IISAdmin |
Administratorii |
Control total |
Sistem |
Control total |
|
HKLM\System\CurrentControlSet\Services\MsFtpSvc |
Administratorii |
Control total |
Sistem |
Control total |
|
HKLM\System\CurrentControlSet\Services\w3svc |
Administratorii |
Control total |
Sistem |
Control total |
|
IWAM_<MachineName> |
Citire |
Acordarea drepturilor în Politica de securitate locală
-
Faceți clic pe Start, faceți clic pe Setăriși apoi faceți clic pe Panoul de Control.
-
Faceți dublu clic pe Instrumente de administrareși apoi faceți dublu clic pe Politica de securitate locală.
-
În caseta de dialog Local Security Settings , extindeți Local Policiesși apoi faceți clic pe User Rights Assignment.
-
Modificați politica corespunzătoare:
-
Faceți dublu clic pe politica.
-
Selectați și apoi faceți clic pe Eliminare pentru orice utilizator care este nu sunt listate în tabel.
-
Adăugați un utilizator care nu este listat. Pentru aceasta, faceți clic pe Adăugareşi selectaţi utilizatorul în caseta de dialog Selectare utilizatori sau grupuri .
-
Rețineți că, deoarece o politică de controler de domeniu suprascrie politica locală, trebuie să vă asigurați că Efective setarea de politică coincide cu Setarea de politică locale.
Politici
Următorul tabel listează permisiunile care vor fi aplicate când urmați pașii din secțiunea "Grant drepturi în Local Security Policy".
Politica |
Utilizatori |
---|---|
Faceți Log on local |
Administratorii |
IUSR_ < MachineName > (anonim) |
|
Utilizatori (autentificare necesare) |
|
Acces la acest computer din rețea |
Administratorii |
ASPNet (.NET Framework) |
|
IUSR_ < MachineName > (anonim) |
|
IWAM_<MachineName> |
|
Utilizatori |
|
Faceți Log on ca pe loturi |
ASPNet |
Rețea |
|
IUSR_<MachineName> |
|
IWAM_<MachineName> |
|
Service |
|
Log on ca un serviciu |
ASPNet |
Rețea |
|
Bypass Traverse Checking |
Administratorii |
IUSR_ < MachineName > (anonim) |
|
Utilizatori (Basic, integrate, Digest) |
|
IWAM_<MachineName> |
Referințe
Pentru mai multe informații despre cum se restaurează implicit permisiunile NTFS pentru Windows 2000, faceți clic pe următoarele numere de articol pentru a vedea articolele în baza de cunoștințe Microsoft:
266118 cum se restaurează permisiunile NTFS implicite pentru Windows 2000
260985 minim NTFS permisiunile necesare pentru a utiliza CDONTS
324068 cum se setează permisiunile IIS pentru obiecte specifice
815153 cum se configurează permisiunile de fișiere NTFS pentru securitatea aplicațiilor ASP.NET Pentru mai multe informații despre permisiunile necesare pentru IIS 6.0, faceți clic pe următorul număr de articol pentru a vedea articolul în baza de cunoștințe Microsoft:
812614 permisiunile implicite și drepturile de utilizator pentru IIS 6.0
Mai multe informații
Acest articol nu se referă la oricare dintre cerințele de securitate specifice următoarele roluri de server sau aplicații:
-
Controler de domeniu Windows 2000
-
Microsoft Exchange 5.5 sau Microsoft Exchange 2000 Outlook Web Access
-
Microsoft Small Business Server 2000
-
Microsoft SharePoint Portal sau Team Services
-
Microsoft Commerce Server 2000 sau Microsoft Commerce Server 2002
-
Microsoft BizTalk Server 2000 sau Microsoft BizTalk Server 2002
-
Conținut Microsoft Management Server 2000 sau Microsoft conținut Management Server 2002
-
Microsoft Application Center 2000
-
Aplicații terțe care depind de permisiuni suplimentare