Ovaj članak opisuje kako postaviti minimalne dozvole koje su potrebne za posvećenu Internet Information Services (IIS) 5.0, IIS 5.1 ili IIS 6.0 Web serverom.
Ograničenje za ovaj članak
Upozorenje Ovaj članak je važeća samo za posvećenu Web serveri koji koriste osnovne funkcionalnosti IIS, kao što su služi HTML statički sadržaj ili jednostavno Active Server Pages (ASP) sadržaja. Dozvolu uslove koji su opisani u ovom članku se odnose samo na osnovne dozvole za posvećenu Web serveru na kojem je pokrenut IIS 5. x ili IIS 6.0. Ovaj članak ne smatra druge Microsoft i nezavisnih proizvođača proizvoda koji mogu zahtijevati različite dozvole. Možete pregledati dokumentaciju servera i aplikacija za određene bezbednosne zahteve. Preporučujemo da pregledate Srodni članci koji su specifični za uloge vašeg Web servera.
Testiranje korake pre dozvole konfiguracijama u proizvodnom okruženju
Pre nego što unesete izmene dozvola na Web serveru za proizvodnju, preporučuje se da na sledeći način:
-
Pokrenite najnoviju verziju alatke za proveru IIS Lockdown. Sledeći programi i usluge su bili instalirani kao deo testa apartman koji je korišćen za testiranje bezbednosti servera nakon dodeljivanja dozvole navedeni u ovom članku:
-
Indeks usluga
-
Usluga terminala
-
U skriptama
-
IIS
-
Zajedničke datoteke
-
Dokumentacija
-
FrontPage Server Extensions 2000
-
Upravljač Internet usluge (HTML)
-
PREVOD:
-
FTP
-
-
-
Izvršavanje sledećih funkcionalnih testova:
-
Dokumenti hiperteksta (HTML)
-
Stranica aktivnog servera (ASP)
-
FrontPage Server Extensions, kao što su povezivanje, uređivanje i čuvanje, ako FPSE je omogućen dok koristite alatku za zakljucavanje
-
Secure Socket slojeva (SSL) veza
-
Grant vlasništvo i dozvole administratora i sistema
Da biste to uradili, sledite ove korake:
-
Otvorite Windows Explorer. Da biste to učinili, kliknite na dugme Start, izaberite stavku Programii zatim kliknite na dugme Windows Explorer.
-
Proširite stavku moj računar.
-
Desnom tipkom miša kliknite disk sistema (to je obično disk jedinica C), a zatim izaberite stavku Svojstva.
-
Izaberite karticu bezbednost , a zatim izaberite stavku Više opcija da biste otvorili dijaloški okvir Postavke za kontrolu pristupa za lokalni Disk .
-
Kliknite na karticu " vlasnik ", potvrdite izbor Zameni vlasnika na podmornicu kontejnera i objekte , a zatim Apply. Ako primite sljedeću poruku, kliknite na dugme Nastavi:
Došlo je do greške zatvaranje sigurnosnih informacija na %systemdrive%\Pagefile.sys
-
Ako primite sljedeću poruku, kliknite na dugme da:
Nemate dozvolu za čitanje sadržaja kataloga %systemdrive%\System informacije o volumenu - da želite zamijeniti dozvolu za katalog - sve dozvole će biti zamenjene vam daju punu kontrolu
-
Kliknite na dugme u redu da biste zatvorili dijaloški okvir.
-
Kliknite na dugme Dodaj.
-
Dodajte sledeći korisnici, a onda im dati dozvolu za punu kontrolu NTFS:
-
Administrator
-
Sistem
-
Autor i vlasnik
-
-
Nakon što ste dodali ove NTFS dozvole, kliknite na za napredne, potvrdite izbor u polju za potvrdu za poništavanje dozvole za sve podređene objekte i omogući Razdeljivanje naslednih dozvola i zatim Apply.
-
Ako primite sljedeću poruku, kliknite na dugme Nastavi:
Došlo je do greške zatvaranje sigurnosnih informacija na %systemdrive%\Pagefile.sys
-
Nakon što uspostavite početne vrednosti NTFS dozvole, kliknite na OK.
-
Kliknite na svako grupu, kliknite na dugme Uklonii zatim kliknite na dugme u redu.
-
Otvorite svojstva za "%systemdrive%\Program Files\Common datoteke", a zatim izaberite karticu bezbednost Dodaj nalog koji se koristi za anonimni pristup. Po podrazumevanim postavkama, ovo je konto IUSR_ < MachineName >. Zatim, dodati grupu korisnika. Uverite se da su izabrane samo na sledeći način:
-
Čitaj i izvrši
-
Lista sadržaja fascikle
-
Čitanje
-
-
Otvorite svojstva za osnovni direktorijum koji sadrži vašu Web sadržaja. Po podrazumevanim postavkama, to je %systemdrive%\Inetpub\Wwwroot fascikla. Izaberite karticu bezbednost , dodate konto IUSR_ < MachineName > a grupu korisnika, a zatim se uverite da su izabrane samo na sledeći način:
-
Čitaj i izvrši
-
Lista sadržaja fascikle
-
Čitanje
-
-
Ako želite da dodelite napisati NTFS dozvola za Inetpub\FTProot ili putanja direktorijum na FTP lokaciju ili lokacije, ponovite 15. Napomena Ne preporučujemo da odobrite napisati NTFS dozvole za anonimne račun u neke direktorijume, uključujući i kataloge koje koristi servis za FTP koristi. Ovo može izazvati nepotrebne podatke za postavljanje na Web server.
Onemogući nasledstvo za sistemske direktorijume
Da biste to uradili, sledite ove korake:
-
U fascikli %systemroot%\System32, izaberite sve mape osim na sledeći način:
-
Inetsrv
-
Certsrv (ako postoje)
-
COM
-
-
Kliknite desnim tasterom miša na preostale fascikle, izaberite stavku Svojstva, a zatim izaberite karticu bezbednost .
-
Kliknite da biste opozovite izbor u polju za potvrdu Dozvoli naslednih dozvola , kliknite Kopiraj, a zatim kliknite na dugme u redu.
-
U fascikli % systemroot %, izaberite sve mape osim na sledeći način:
-
Skupština (ako postoje)
-
Preuzete programske datoteke
-
Pomoć
-
Microsoft.NET (ako postoje)
-
Web stranice van mreže
-
System32
-
Zadaci
-
Privremene datoteke
-
Web
-
-
Kliknite desnim tasterom miša na preostale fascikle, izaberite stavku Svojstva, a zatim izaberite karticu bezbednost .
-
Kliknite da biste opozovite izbor u polju za potvrdu Dozvoli naslednih dozvola , kliknite Kopiraj, a zatim kliknite na dugme u redu.
-
Primenite dozvole na na sledeći način:
-
Otvorite svojstva fascikli % systemroot %, izaberite karticu bezbednost , dodavanje IUSR_ < MachineName > i IWAM_ < MachineName > konta i grupe " Korisnici " i onda se pobrini da ti je samo na sledeći način Izabrani:
-
Čitaj i izvrši
-
Lista sadržaja fascikle
-
Čitanje
-
-
Otvorite svojstva za fasciklu "%systemroot%\Temp", izaberite nalog IUSR_ < MachineName > (ovaj račun je već prisutna jer ona nasleđuje od Winnt fascikle), a zatim potvrdite izbor u polju za potvrdu Izmeni . Ponovite ovaj korak za konto IWAM_ < MachineName > i na Grupa za korisnike .
-
Ako klijenti za proširenje FrontPage Server kao što je FrontPage ili Microsoft Visual InterDev koriste, otvorite svojstva za fasciklu "%systemdrive%\Inetpub\Wwwroot", izaberite grupu Authenticated Users , izaberite sledeće i izaberite stavku u redu :
-
Izmenite
-
Čitaj i izvrši
-
Lista sadržaja fascikle
-
Čitanje
-
Pisanje
-
-
NTFS dozvole
Sledeća tabela prikazuje dozvole koje će biti zatvorene kada izvršite korake u odeljku „Onemogući nasledstva u direktorijumima sistema”. Ovaj sto je izgubio si se. Da biste primenili dozvole u tabeli, slijedite ove korake:
-
Otvorite Windows Explorer. Da biste to učinili, kliknite na dugme Start, izaberite stavku Programi, pribori onda kliknite na Windows Explorer.
-
Proširite stavku moj računar.
-
Desnom tipkom miša kliknite % systemroot %, a zatim izaberite stavku Svojstva.
-
Izaberite karticu bezbednost , a zatim izaberite stavku Više opcija.
-
Kliknite dvaput na stavku dozvola, a zatim izaberite odgovarajuću postavku sa liste Odnose na tragu .
Napomena U na „primeni na” kolona, termin podrazumevano se odnosi na „Ova fascikla, potfascikle i datoteke”.
Direktorijum |
Users\Groups |
Dozvole |
Primeni na |
---|---|---|---|
%systemroot%\ (c:\winnt) |
Administrator |
Potpuna kontrola |
Podrazumevani |
Sistem |
Potpuna kontrola |
Podrazumevani |
|
Korisnici |
Иitam, da se izvrši |
Podrazumevani |
|
%systemroot%\system32 |
Administratori |
Potpuna kontrola |
Podrazumevani |
Sistem |
Potpuna kontrola |
Podrazumevani |
|
Korisnici |
Иitam, da se izvrši |
Podrazumevani |
|
%systemroot%\system32\inetsrv |
Administratori |
Potpuna kontrola |
Podrazumevani |
Sistem |
Potpuna kontrola |
Podrazumevani |
|
Korisnici |
Иitam, da se izvrši |
Podrazumevani |
|
Inetpub\adminscripts |
Administratori |
Potpuna kontrola |
Podrazumevani |
Inetpub\urlscan (ako postoje) |
Administratori |
Potpuna kontrola |
Podrazumevani |
Sistem |
Potpuna kontrola |
Podrazumevani |
|
%systemroot%\system32\inetsrv\metaback |
Administratori |
Potpuna kontrola |
Podrazumevani |
Sistem |
Potpuna kontrola |
Podrazumevani |
|
%systemroot%\help\iishelp\common |
Administratori |
Potpuna kontrola |
Ova fascikla i datoteke |
Sistem |
Potpuna kontrola |
Ova fascikla i datoteke |
|
IWAM_<Machinename> |
Иitam, da se izvrši |
Ova fascikla i datoteke |
|
Mreža |
Potpuna kontrola |
Ova fascikla i datoteke |
|
Servis |
Ova fascikla i datoteke |
||
Korisnici |
Иitam, da se izvrši |
Ova fascikla i datoteke |
|
Inetpub\wwwroot (ili sadržaja direktorijuma) |
Administratori |
Potpuna kontrola |
Ova fascikla i datoteke |
Sistem |
Potpuna kontrola |
Ova fascikla i datoteke |
|
IWAM_<MachineName> |
Иitam, da se izvrši |
Ova fascikla i datoteke |
|
Servis |
Иitam, da se izvrši |
Ova fascikla i datoteke |
|
Mreža |
Иitam, da se izvrši |
Ova fascikla i datoteke |
|
Optional**: |
Korisnici |
Иitam, da se izvrši |
Ova fascikla i datoteke |
Napomena Ako koristite FrontPage Server Extensions, autorizovane korisnike ili grupe korisnika morate imati dozvolu za menjanje NTFS da biste kreirali, da biste preimenovali, pisati ili da obezbedi funkcionalnost koje projektant možda morati iz FrontPage-tip klijenta, kao što Vizuelni InterDev 6.0 ili FrontPage 2002.
Dodelite dozvole u registru
-
Kliknite na dugme Start, izaberite stavku Pokreni, otkucajte regedt32i zatim kliknite na dugme u redu. Nemojte koristiti Registry Editor jer to ne dozvoljava vam da promenite dozvole u operativnom sistemu Windows 2000.
-
U programu Registry Editor pronađite i izaberite HKEY_LOCAL_MACHINE.
-
Razvijanje sistema, razvijte CurrentControlSet, a zatim proširite stavku Services.
-
Izaberite IISADMIN ključ, kliknite na sigurnost (ili pritisnite ALT + S), a zatim izaberite Dozvole (ili pritisnite P).
-
Kliknite da biste opozovite izbor u polju za potvrdu Dozvoli nasledne dozvole od nadređenog da prenese na ovaj objekat , izaberite stavku Kopiraj, a zatim uklonite sve korisnike osim:
-
Administratori (omogućavaju čitanje i potpuna kontrola)
-
Sistem (omogućavaju čitanje i potpuna kontrola)
-
-
Kliknite na dugme U redu.
-
Ponovite korake za MSFTPSVC ključ.
-
Izaberite W3SVC ključ, izaberite karticu bezbednost, a zatim izaberite stavku dozvole.
-
Opozovite izbor u polju za potvrdu Dozvoli nasledne dozvole od nadređenog da prenese na ovaj objekat , a zatim uklonite sve stavke osim:
-
Administratori (omogućavaju čitanje i potpuna kontrola)
-
Sistem (omogućavaju čitanje i potpuna kontrola)
-
Mreža (čitanje)
-
Usluga (čitanje)
-
IWAM_ < MachineName > (čitanje)
-
-
Kliknite na dugme U redu.
Registra
Sledeća tabela prikazuje dozvole koje će biti zatvorene kada izvršite korake u odeljku „Grant dozvole u registru”. Ovaj sto je izgubio si se. Napomena Skraćenica HKLM predstavlja HKEY_LOCAL_MACHINE.
Lokacija |
Users\Groups |
Dozvole |
---|---|---|
HKLM\System\CurrentControlSet\Services\IISAdmin |
Administratori |
Potpuna kontrola |
Sistem |
Potpuna kontrola |
|
HKLM\System\CurrentControlSet\Services\MsFtpSvc |
Administratori |
Potpuna kontrola |
Sistem |
Potpuna kontrola |
|
HKLM\System\CurrentControlSet\Services\w3svc |
Administratori |
Potpuna kontrola |
Sistem |
Potpuna kontrola |
|
IWAM_<MachineName> |
Čitanje |
Grant prava u lokalne bezbednosne smernice
-
Kliknite na dugme Start, izaberite stavku Postavke, a zatim izaberite stavku Kontrolna tabla.
-
Kliknite dvaput na stavku Administrativne alatke, a zatim dvaput kliknite Lokalna pravila sigurnosti.
-
U dijaloški okvir Lokalne postavke bezbednosti , razvijanje Lokalne politike, a zatim izaberite stavku Dodeljivanje korisničkih prava.
-
Izmenite odgovarajuće politike:
-
Dvaput kliknite na politiku.
-
Izaberite, a zatim kliknite na dugme Ukloni za svaki korisnik koji je nije naveden u tabeli.
-
Dodajte bilo koji korisnik koji nije na listi. Da biste to učinili, kliknite na dugme Dodaj, a zatim izaberite korisnika u dijalogu Izaberite korisnike ili grupe .
-
Imajte na umu da jer smernice kontrolera domena ima prednost u odnosu na lokalnu politiku, morate proveriti da je Efikasan postavku pravila podudara Lokalne postavke smernice.
Politika
Sledeća tabela prikazuje dozvole koje će biti zatvorene kada izvršite korake u odeljku „Grant prava u lokalnoj politici bezbednosti”.
Politika |
Korisnici |
---|---|
Lokalno prijavljivanje |
Administratori |
IUSR_ < MachineName > (anonimno) |
|
Korisnici (verodostojnosti) |
|
Pristup ovom računaru sa mreže |
Administratori |
ASPNet (.NET Framework) |
|
IUSR_ < MachineName > (anonimno) |
|
IWAM_<MachineName> |
|
Korisnici |
|
Prijavite se kao grupne |
ASPNet |
Mreža |
|
IUSR_<MachineName> |
|
IWAM_<MachineName> |
|
Servis |
|
Prijavljivanje kao usluga |
ASPNet |
Mreža |
|
Premosti |
Administratori |
IUSR_ < MachineName > (anonimno) |
|
Korisnici (Basic, integrisana, Digest) |
|
IWAM_<MachineName> |
Reference
Za više informacija o tome kako da biste vratili podrazumevane dozvole NTFS za Windows 2000, kliknite na sledeći broj članka da biste videli članak u Microsoft bazi znanja:
Kako 266118 da biste vratili podrazumevane dozvole NTFS za Windows 2000
260985 minimum NTFS dozvole potrebne da biste koristili CDONTS
324068 kako da postavite IIS dozvole za određene objekte
815153 kako da konfigurišete NTFS dozvole za datoteku za bezbednost ASP.NET aplikacija Za više informacija o potrebne dozvole za IIS 6.0, kliknite na sledeći broj članka da biste videli članak u Microsoft bazi znanja:
812614 Podrazumevane dozvole i prava korisnika za IIS 6.0
Više informacija
Ovaj članak ne rešava bilo koji od određene bezbednosne zahteve sledeće uloge servera ili aplikacije:
-
Kontroler domene za Windows 2000
-
Microsoft Exchange 5.5 ili Microsoft Exchange 2000 Outlook Web Access
-
Microsoft Small Business Server 2000
-
Microsoft SharePoint Portal ili Team usluge
-
Microsoft Commerce Server 2000 ili Microsoft Commerce Server 2002
-
Microsoft BizTalk Server 2000 ili Microsoft BizTalk Server 2002
-
Sadržaj Microsoft Management Server 2000 ili Microsoft sadržaj Management Server 2002
-
Microsoft aplikacije centar 2000
-
Aplikacije nezavisnih proizvođača koje zavise od dodatne dozvole