Tento článok popisuje, ako nastaviť minimálne povolenia, ktoré sú potrebné pre vyhradené Internet Information Services (IIS) 5.0, IIS 5.1 alebo IIS 6.0 webový server.
Obmedzenie pre tento článok
Upozornenie: Tento článok platí len pre vyhradené servery, používajúce základnú funkčnosť IIS, ako napríklad doručovanie obsahu HTML statické obsah alebo jednoduché stránky ASP (Active Server). Povolenie požiadavky, ktoré sú popísané v tomto článku sa vzťahujú iba na základné povolenia pre Vyhradený serverom so systémom IIS 5. x alebo IIS 6.0. Tento článok sa nepovažuje iných Microsoft a produktmi iných výrobcov môžu vyžadovať rôzne povolenia. Si môžete prezrieť server a aplikácie dokumentácii špecifických bezpečnostných požiadaviek. Odporúčame Skontrolujte súvisiace články ktoré sú špecifické pre roly webového servera.
Testovacie kroky pred povolenia konfigurácie v produkčnom prostredí
Skôr, než zmeníte povolenia na výrobu webového servera, odporúčame vykonať nasledujúce kroky:
-
Spustiť najaktuálnejšiu verziu nástroja IIS Lockdown. Tieto programy a služby nainštalované ako súčasť balíka test použitý na testovanie servera po vydaní povolenia, ktoré sú uvedené v tomto článku:
-
Index služby
-
Terminálové služby
-
Nástroj na ladenie skriptov
-
SLUŽBA IIS
-
Spoločné súbory
-
Dokumentácia
-
Rozšírenia servera FrontPage 2000
-
Správca internetových služieb (HTML)
-
WWW
-
FTP
-
-
-
Vykonajte nasledujúce testy funkčnosti:
-
Hypertextových dokumentov (HTML)
-
Active Server Pages (ASP)
-
Rozšírenia servera FrontPage, pripojenie, úprava a ukladanie, ak FPSE zapnuté pri používaní nástroja uzamknutie
-
Secure Socket vrstvy pripojenia (SSL).
-
Grant vlastníctva a povolenie správcu a systém
Postupujte podľa nasledujúcich krokov:
-
Otvorte program Windows Prieskumník. Chcete urobiť, kliknite na tlačidlo Štartprogramy, a potom kliknite na Program Windows Prieskumník.
-
Rozbaľte môj počítač.
-
Kliknite pravým tlačidlom myši systémovej jednotky (obvykle je to jednotka C) a potom kliknite na položku Vlastnosti.
-
Kliknite na kartu zabezpečenie a kliknite na tlačidlo Spresniť otvorte dialógové okno Nastavenia riadenia prístupu na lokálny Disk .
-
Kliknite na kartu vlastník , začiarknite políčko Nahradiť vlastníka Sub kontajnerov a objektov a kliknite na tlačidlo Apply. Ak sa zobrazí chybové hlásenie, kliknite na tlačidlo pokračovať:
Vyskytla sa chyba uplatňovania bezpečnostných informácií o %systemdrive%\Pagefile.sys
-
Ak sa zobrazí chybové hlásenie, kliknite na tlačidlo Áno:
Nemáte povolenie na čítanie obsahu adresára %systemdrive%\System Volume Information - chcete nahradiť povolenia adresár - všetky povolenia bude nahradený úplný prístup
-
Kliknite na tlačidlo OK zatvorte dialógové okno.
-
Kliknite na tlačidlo Pridať.
-
Pridať týchto používateľov, a potom im povolenia na úplné ovládanie NTFS:
-
Správca
-
Systém
-
Creator Owner
-
-
Po pridaní tieto povolenia NTFS, kliknite na položku Rozšírené, kliknite na políčko Vynulovať povolenia pre všetky podradené objekty a zapnúť šírenie dedičných povolení a kliknite na tlačidlo Apply.
-
Ak sa zobrazí chybové hlásenie, kliknite na tlačidlo pokračovať:
Vyskytla sa chyba uplatňovania bezpečnostných informácií o %systemdrive%\Pagefile.sys
-
Po obnovení povolenia NTFS, kliknite na tlačidlo OK.
-
Kliknite na skupinu Everyone , kliknite na položku odstrániťa kliknite na tlačidlo OK.
-
Otvorte vlastnosti priečinka Program Files %systemdrive%\Program a kliknite na tlačidlo zabezpečenia kreslenie pridať konto používané pre anonymný prístup. Toto je predvolene IUSR_ < MachineName > konto. Pridajte skupiny Users. Uistite sa, že sú vybraté iba nasledovné:
-
Čítať a vykonávať
-
Obsah priečinka
-
Čítanie
-
-
Otvorte vlastnosti pre koreňový adresár obsahujúci webového obsahu. Toto je predvolene priečinku %systemdrive%\Inetpub\Wwwroot. Kliknite na kartu zabezpečenie , pridať IUSR_ < MachineName > konto a skupiny používateľov a uistite sa, že sú vybraté iba nasledovné:
-
Čítať a vykonávať
-
Obsah priečinka
-
Čítanie
-
-
Ak chcete udeliť písať NTFS povolenie forInetpub\FTProot alebo cestu k adresáru pre vaše FTP miesto alebo miesta, opakujte krok 15. Poznámka: Neodporúčame, že povolenia NTFS zapisovať anonymný konto v žiadnych adresárov, vrátane adresárov používa FTP služba využíva. Môže to spôsobiť nepotrebné údaje na odovzdanie na webovom serveri.
Vypnúť dedičnosť systémových adresárov
Postupujte podľa nasledujúcich krokov:
-
%Systemroot%\System32 priečinok, vyberte všetky priečinky okrem nasledujúcich:
-
Inetsrv
-
Certsrv (ak existujú)
-
COM
-
-
Kliknite pravým tlačidlom myši na zostávajúce priečinky kliknite na položku Vlastnostia potom kliknite na kartu zabezpečenie .
-
Kliknutím zrušte začiarknutie políčka Povoliť dedičné povolenia , Kopírovať, a kliknite na tlačidlo OK.
-
V priečinku % systemroot %, vyberte všetky priečinky okrem nasledujúcich:
-
Zhromaždenie (ak existujú)
-
Prevzaté programové súbory
-
pomoc
-
Microsoft.NET (ak existujú)
-
Webové stránky v režime offline
-
System32
-
Úlohy
-
Temp
-
Web
-
-
Kliknite pravým tlačidlom myši na zostávajúce priečinky kliknite na položku Vlastnostia potom kliknite na kartu zabezpečenie .
-
Kliknutím zrušte začiarknutie políčka Povoliť dedičné povolenia , Kopírovať, a kliknite na tlačidlo OK.
-
Prideliť povolenia takto:
-
Otvorte vlastnosti priečinku % systemroot %, kliknite na kartu zabezpečenie , pridať IUSR_ < MachineName > a < MachineName > IWAM_ účty a skupiny používateľov a uistite sa, či sú len vybraté:
-
Čítať a vykonávať
-
Obsah priečinka
-
Čítanie
-
-
Otvorte vlastnosti priečinku %systemroot%\Temp < MachineName > IUSR_ účet (Toto konto je už prítomný pretože dedí z priečinku Winnt) a kliknite na políčko Upraviť . Zopakujte tento krok pre IWAM_ < MachineName > konto a Skupina users .
-
Ak FrontPage Server Extension klientov, ako sa používajú FrontPage alebo Microsoft angličtine, otvorte vlastnosti priečinku %systemdrive%\Inetpub\Wwwroot, vyberte skupina Authenticated Users , vyberte a kliknite na tlačidlo OK :
-
Upraviť
-
Čítať a vykonávať
-
Obsah priečinka
-
Čítanie
-
Zápis
-
-
Povolenia NTFS
Nasledujúca tabuľka obsahuje povolenia, ktoré sa použije po vykonaní krokov v časti "Vypnúť dedičnosť systémových adresárov". Táto tabuľka je len na referenčné účely. Ak chcete použiť povolenia v nasledujúcej tabuľke, postupujte nasledovne:
-
Otvorte program Windows Prieskumník. Chcete urobiť, kliknite na tlačidlo Štart, programy, príslušenstvoa kliknite na tlačidlo Windows Explorer.
-
Rozbaľte môj počítač.
-
Kliknite pravým tlačidlom myši na priečinok % systemroot %a potom kliknite na položku Vlastnosti.
-
Kliknite na kartu zabezpečenie a kliknite na položku Rozšírené.
-
Dvakrát kliknite na položku povoleniaa vyberte príslušné nastavenie v zozname Použiť na .
Poznámka: V "vzťahuje na" stĺpec, termín predvolené odkazuje na "Tento priečinok, podpriečinky a súbory."
Adresár |
Users\Groups |
Povolenia |
Použite |
---|---|---|---|
%systemroot%\ (c:\winnt) |
Správca |
Úplné ovládanie |
Predvolené |
Systém |
Úplné ovládanie |
Predvolené |
|
Používatelia |
Prečítajte si, realizovať |
Predvolené |
|
%systemroot%\system32 |
Správcovia |
Úplné ovládanie |
Predvolené |
Systém |
Úplné ovládanie |
Predvolené |
|
Používatelia |
Prečítajte si, realizovať |
Predvolené |
|
%systemroot%\system32\inetsrv |
Správcovia |
Úplné ovládanie |
Predvolené |
Systém |
Úplné ovládanie |
Predvolené |
|
Používatelia |
Prečítajte si, realizovať |
Predvolené |
|
Inetpub\adminscripts |
Správcovia |
Úplné ovládanie |
Predvolené |
Inetpub\urlscan (ak existujú) |
Správcovia |
Úplné ovládanie |
Predvolené |
Systém |
Úplné ovládanie |
Predvolené |
|
%systemroot%\system32\inetsrv\metaback |
Správcovia |
Úplné ovládanie |
Predvolené |
Systém |
Úplné ovládanie |
Predvolené |
|
%systemroot%\help\iishelp\common |
Správcovia |
Úplné ovládanie |
Tento priečinok a súbory |
Systém |
Úplné ovládanie |
Tento priečinok a súbory |
|
IWAM_<Machinename> |
Prečítajte si, realizovať |
Tento priečinok a súbory |
|
Sieť |
Úplné ovládanie |
Tento priečinok a súbory |
|
Služba |
Tento priečinok a súbory |
||
Používatelia |
Prečítajte si, realizovať |
Tento priečinok a súbory |
|
Inetpub\wwwroot (alebo obsah adresára) |
Správcovia |
Úplné ovládanie |
Tento priečinok a súbory |
Systém |
Úplné ovládanie |
Tento priečinok a súbory |
|
IWAM_<MachineName> |
Prečítajte si, realizovať |
Tento priečinok a súbory |
|
Služba |
Prečítajte si, realizovať |
Tento priečinok a súbory |
|
Sieť |
Prečítajte si, realizovať |
Tento priečinok a súbory |
|
Optional**: |
Používatelia |
Prečítajte si, realizovať |
Tento priečinok a súbory |
Poznámka: Ak používate rozšírenia servera FrontPage, Authenticated Users alebo skupiny používateľov musíte mať povolenie na zmenu NTFS na vytvorenie, premenovanie, písať alebo poskytovať funkcie, ktoré Vývojár môže mať z FrontPage-typ klienta, ako Angličtine 6.0 alebo FrontPage 2002.
Udelenie povolení databázy registry
-
Kliknite na tlačidlo Štart, kliknite na tlačidlo Spustiť, typu regedt32a kliknite na tlačidlo OK. Nepoužívajte Editor databázy Registry, pretože to neumožňuje zmeniť povolenia v systéme Windows 2000.
-
V editore databázy Registry vyhľadajte a vyberte HKEY_LOCAL_MACHINE.
-
Rozbaľte systém, rozbaľte položku CurrentControlSeta rozbaľte služby.
-
Vyberte IISADMIN kľúč, kliknite na tlačidlo zabezpečenia (alebo stlačte kombináciu klávesov ALT + S) a vyberte Povolenia (alebo stlačte kláves P).
-
Kliknutím zrušte začiarknutie políčka Povoliť dedičné povolenia od nadradeného na podradené objekty , Kopírovať, a potom odstráňte všetkých používateľov okrem:
-
Správcovia (povoliť čítanie a úplné ovládanie)
-
Systém (povoliť čítanie a úplné ovládanie)
-
-
Kliknite na tlačidlo OK.
-
Opakujte kroky MSFTPSVC kľúča.
-
Vyberte kľúč W3SVC , kliknitea kliknite na položku povolenia.
-
Zrušte začiarknutie políčka Povoliť dedičné povolenia od nadradeného na podradené objekty , a potom odstráňte všetky položky okrem:
-
Správcovia (povoliť čítanie a úplné ovládanie)
-
Systém (povoliť čítanie a úplné ovládanie)
-
Siete (čítanie)
-
Služba (čítať)
-
IWAM_ < MachineName > (čítať)
-
-
Kliknite na tlačidlo OK.
Databázy Registry
Nasledujúca tabuľka obsahuje povolenia, ktoré sa použije po vykonaní krokov v časti "Udelenie povolení databázy registry". Táto tabuľka je len na referenčné účely. Poznámka: Skratka HKLM znamená HKEY_LOCAL_MACHINE.
Umiestnenie |
Users\Groups |
Povolenia |
---|---|---|
HKLM\System\CurrentControlSet\Services\IISAdmin |
Správcovia |
Úplné ovládanie |
Systém |
Úplné ovládanie |
|
HKLM\System\CurrentControlSet\Services\MsFtpSvc |
Správcovia |
Úplné ovládanie |
Systém |
Úplné ovládanie |
|
HKLM\System\CurrentControlSet\Services\w3svc |
Správcovia |
Úplné ovládanie |
Systém |
Úplné ovládanie |
|
IWAM_<MachineName> |
Čítanie |
Udelenie práv v lokálnej politiky zabezpečenia
-
Kliknite na tlačidlo Štart, kliknite na položku Nastaveniea kliknite na položku Ovládací Panel.
-
Dvakrát kliknite na položku Nástroje na správua potom dvakrát kliknite na Lokálna politika zabezpečenia.
-
V dialógovom okne Miestne nastavenia zabezpečenia , rozbaľte Lokálne politikya kliknite na tlačidlo Priradenie práv používateľov.
-
Úpravy príslušnej politiky:
-
Dvakrát kliknite na politiku.
-
Vyberte a kliknite na položku odstrániť používateľ, ktorý nie je uvedený v tabuľke.
-
Pridať používateľa, ktorý nie je uvedený. Chcete urobiť, kliknite na tlačidlo Pridať, a potom vyberte používateľa v dialógovom okne Výber používateľov a skupín .
-
Všimnite si, že pretože politiky radiča domény prepíše lokálnej politiky, musíte sa uistiť, že efektívne politiky farbám Miestne nastavenie politiky.
Podmienky
Nasledujúca tabuľka obsahuje povolenia, ktoré sa použije po vykonaní krokov v časti "Udelenie práva v lokálnej politike zabezpečenia".
Politika |
Používatelia |
---|---|
Prihlásiť sa lokálne |
Správcovia |
IUSR_ < MachineName > (anonymný) |
|
Používateľom (vyžaduje sa overenie) |
|
Prístup k tomuto počítaču zo siete |
Správcovia |
ASPNet (.NET Framework) |
|
IUSR_ < MachineName > (anonymný) |
|
IWAM_<MachineName> |
|
Používatelia |
|
Prihláste sa ako dávkové úlohy |
ASPNet |
Sieť |
|
IUSR_<MachineName> |
|
IWAM_<MachineName> |
|
Služba |
|
Prihlásenie ako služba |
ASPNet |
Sieť |
|
Obísť kontrolu prechádzania |
Správcovia |
IUSR_ < MachineName > (anonymný) |
|
Používatelia (Basic, integrované, súhrn) |
|
IWAM_<MachineName> |
Odkazy
Ďalšie informácie o tom, ako obnoviť predvolené povolenia NTFS pre systém Windows 2000, po kliknutí na nasledovné číslo článku publikovaného v databáze Microsoft Knowledge Base:
266118 ako obnoviť predvolené povolenia NTFS pre systém Windows 2000
260985 minimálne povolenia NTFS vyžadované na používanie CDONTS
324068 ako nastaviť IIS povolenia pre konkrétne objekty
815153 ako nakonfigurovať povolenia NTFS súbor zabezpečenia technológie ASP.NET aplikácií Ďalšie informácie o požadovaných povoleniach pre IIS 6.0, po kliknutí na nasledovné číslo článku publikovaného v databáze Microsoft Knowledge Base:
812614 predvolené povolenia a používateľské práva pre IIS 6.0
Ďalšie informácie
Tento článok sa nezaoberá niektorý z osobitných bezpečnostných požiadaviek nasledujúce roly servera alebo aplikácie:
-
Radič domény systému Windows 2000
-
Microsoft Exchange 5.5 alebo Microsoft Exchange 2000 Outlook Web Access
-
Microsoft Small Business Server 2000
-
Microsoft SharePoint Portal alebo Team Services
-
Microsoft Commerce Server 2000 alebo Microsoft Commerce Server 2002
-
Microsoft BizTalk Server 2000 alebo Microsoft BizTalk Server 2002
-
Microsoft Content Management Server 2000 alebo Microsoft Content Management Server 2002
-
Microsoft Application Center 2000
-
Aplikácie tretej strany, ktoré závisia od ďalšie povolenia