Ange minsta NTFS-behörigheter och användarrättigheter för IIS 5.x eller IIS 6.0


Den här artikeln beskrivs hur du ställer in den lägsta behörigheten som krävs för en särskild Internet Information Services (IIS) 5.0, IIS 5.1 eller IIS 6.0-webbserver.

Begränsning för denna artikel


Varning Den här artikeln gäller endast för dedicerade webbservrar som använder grundläggande IIS-funktioner, till exempel innehåll som betjänar HTML statiskt innehåll eller enkel Active Server Pages (ASP). Behörighetskrav som beskrivs i den här artikeln gäller endast grundläggande behörigheter för en särskild webbserver som kör IIS 5. x eller IIS 6.0 . Denna artikel anses inte andra Microsoft och produkter från andra tillverkare som kan kräva olika behörigheter. Du kan granska server- och dokumentation för specifika säkerhetskrav. Vi rekommenderar att du Granska relaterade artiklar som är specifika för roller på din webbserver.

Testa före behörigheter konfigurationer i en produktionsmiljö


Innan du ändrar behörigheten på en webbserver för produktion, rekommenderar vi att du gör följande:
  1. Kör den senaste versionen av verktyget IIS Lockdown. Följande program och tjänster installerades som en del av programsviten test som användes för att testa serversäkerhet efter behörigheter som beskrivs i denna artikel:
    • Index-tjänster
    • Terminal Services
    • Felsökningsprogram för skript
    • IIS
      • Gemensamma filer
      • Dokumentation
      • Servertillägg för FrontPage 2000
      • Internet-tjänsthanteraren (HTML)
      • WWW
      • FTP
  2. Utför följande funktionella tester:
    • Hypertext-dokument (HTML)
    • Active Server Pages (ASP)
    • Servertillägg för FrontPage, ansluta, redigera och spara om Servertillägg för Frontpage är aktiverad när du använder Låsningsverktyget för
    • Secure Socket lager (SSL)-anslutningar

Bevilja äganderätt och behörighet för administratörer och systemet


Gör så här:
  1. Öppna Utforskaren. Genom att klicka på Start, klicka på programoch sedan på Windows Explorer.
  2. Expandera den här datorn.
  3. Högerklicka på systemenheten (detta är vanligtvis enhet C) och klicka sedan på Egenskaper.
  4. Klicka på fliken säkerhet och klicka sedan på Avancerat för att öppna dialogrutan Inställningar för åtkomstkontroll för lokal Disk .
  5. Klicka på fliken ägare , markerar du kryssrutan Ersätt ägare av Sub behållare och objekt och klicka sedan på Verkställ. Klicka på Fortsättom du får följande felmeddelande:
    Ett fel inträffade när säkerhetsinformation tillämpades till %systemdrive%\Pagefile.sys
  6. Klicka på Jaom du får följande felmeddelande:
    Du har inte behörighet att läsa innehållet i katalogen %systemdrive%\System Volume Information - vill du ändra behörighet för katalogen - All behörighet ersätts ger dig Full kontroll
  7. Klicka på OK för att stänga dialogrutan.
  8. Klicka på Lägg till.
  9. Lägg till följande användare och ge dem fullständig NTFS-behörighet:
    • Administratör
    • System
    • Skapare ägare
  10. När du har lagt till dessa NTFS-behörigheter, klicka på Avancerat, markera kryssrutan Återställ behörigheter för alla underordnade objekt och aktivera spridning av ärftliga behörigheter och klicka sedan på Verkställ.
  11. Klicka på Fortsättom du får följande felmeddelande:
    Ett fel inträffade när säkerhetsinformation tillämpades till %systemdrive%\Pagefile.sys
  12. Klicka på OKnär du har återställt NTFS-behörigheter.
  13. Klicka på gruppen alla och klicka på Ta bort.
  14. Öppna Egenskaper för mappen %systemdrive%\Program\Microsoft c:\Program\Delade filer och klicka sedan på fliken säkerhet , Lägg till det konto som används för anonym åtkomst. Som standard är kontot IUSR_ < datornamn >. Sedan lägger du till gruppen användare. Se till att endast följande är markerade:
    • Läsa och köra
    • Visa mappinnehåll
    • Läs
  15. Öppna Egenskaper för den rotkatalog som innehåller din webbplats innehåll. Som standard är detta mappen %systemdrive%\Inetpub\Wwwroot. Klicka på fliken säkerhet , lägga till kontot IUSR_ < datornamn > och gruppen användare och kontrollera att endast följande är markerade:
    • Läsa och köra
    • Visa mappinnehåll
    • Läs
  16. Upprepa steg 15 om du vill bevilja skriva NTFS-behörighet för Inetpub\FTProot eller sökvägen till din FTP-plats eller platser. Obs! Vi rekommenderar inte att du anger skriva NTFS-behörigheter till det anonyma kontot i alla kataloger och kataloger som används av FTP-tjänsten använder. Detta kan orsaka onödiga data överföras till webbservern.

Inaktivera arv i kataloger i filsystemet


Gör så här:
  1. I mappen %systemroot%\System32 Markera alla mappar utom följande:
    • Inetsrv
    • Certsrv (om sådan finns)
    • COM
  2. Högerklicka på de återstående mapparna, klicka på Egenskaperoch klicka sedan på fliken säkerhet .
  3. Klicka för att Avmarkera kryssrutan Tillåt att ärftliga behörigheter och klicka på Kopiera.
  4. Markera alla mappar utom följande i mappen % systemroot %:
    • Sammansättningen (om sådan finns)
    • Hämtade programfiler
    • Hjälp
    • Microsoft.NET (om sådan finns)
    • Offlinewebbsidor
    • System32
    • Aktiviteter
    • Temp
    • Webben
  5. Högerklicka på de återstående mapparna, klicka på Egenskaperoch klicka sedan på fliken säkerhet .
  6. Klicka för att Avmarkera kryssrutan Tillåt att ärftliga behörigheter och klicka på Kopiera.
  7. Tillämpas följande behörigheter:
    1. Öppna Egenskaper för mappen % systemroot %, klicka på fliken säkerhet , lägga till kontona IUSR_ < datornamn > och IWAM_ < datornamn > och gruppen användare och kontrollera att det är endast följande valda:
      • Läsa och köra
      • Visa mappinnehåll
      • Läs
    2. Öppna Egenskaper för mappen %systemroot%\Temp, Markera kontot IUSR_ < datornamn > (det här kontot finns redan eftersom den ärver från mappen Winnt) och markera kryssrutan Ändra . Upprepa det här steget för kontot IWAM_ < datornamn > och Gruppen användare .
    3. Om FrontPage Server Extension klienter som FrontPage eller Microsoft Visual InterDev används, öppna Egenskaper för mappen %systemdrive%\Inetpub\Wwwroot, markerar du gruppen Autentiserade användare , markera följande och klicka sedan på OK :
      • Ändra
      • Läsa och köra
      • Visa mappinnehåll
      • Läs
      • Skriva

NTFS-behörigheter


I följande tabell visas de behörigheter som kommer att användas när du följer anvisningarna i avsnittet ”Inaktivera arv i systemkatalogerna”. Den här tabellen är endast för referens.Gör så här om du vill tillämpa behörigheter i följande tabell:
  1. Öppna Utforskaren. Genom att klicka på Start, program, Tillbehöroch klicka sedan på Utforskaren.
  2. Expandera den här datorn.
  3. Högerklicka på % systemroot %.
  4. Klicka på fliken säkerhet och klicka sedan på Avancerat.
  5. Dubbelklicka på behörighetoch välj sedan lämplig inställning i listan Tillämpa på .
Obs!  I den ”gäller för” kolumn, begreppet standard hänvisar till ”den här mappen, undermappar och filer”.
Katalog Users\Groups Behörigheter Gäller för
%systemroot%\ (c:\winnt) Administratör Fullständig kontroll Standard
  System Fullständig kontroll Standard
  Användare Läsa, köra Standard
%systemroot%\system32 Administratörer Fullständig kontroll Standard
  System Fullständig kontroll Standard
  Användare Läsa, köra Standard
%systemroot%\system32\inetsrv Administratörer Fullständig kontroll Standard
  System Fullständig kontroll Standard
  Användare Läsa, köra Standard
Inetpub\adminscripts Administratörer Fullständig kontroll Standard
Inetpub\urlscan (om sådan finns) Administratörer Fullständig kontroll Standard
  System Fullständig kontroll Standard
%systemroot%\system32\inetsrv\metaback Administratörer Fullständig kontroll Standard
  System Fullständig kontroll Standard
%systemroot%\help\iishelp\common Administratörer Fullständig kontroll Den här mappen och filer
  System Fullständig kontroll Den här mappen och filer
  IWAM_<Machinename> Läsa, köra Den här mappen och filer
  Nätverk Fullständig kontroll Den här mappen och filer
  Service   Den här mappen och filer
  Användare Läsa, köra Den här mappen och filer
Inetpub\Wwwroot (eller innehåll kataloger) Administratörer Fullständig kontroll Den här mappen och filer
  System Fullständig kontroll Den här mappen och filer
  IWAM_<MachineName> Läsa, köra Den här mappen och filer
  Service Läsa, köra Den här mappen och filer
  Nätverk Läsa, köra Den här mappen och filer
Optional**: Användare Läsa, köra Den här mappen och filer
Obs! Om du använder servertillägg för FrontPage, måste autentiserade användare eller gruppen användare ha behörigheten Ändra NTFS-att skapa, byta namn på, skriva eller att tillhandahålla de funktioner som utvecklare kan behöva ha från en FrontPage-klient, till exempel Visual InterDev 6.0 eller FrontPage 2002.

Bevilja behörigheter i registret


  1. Klicka på Start, Kör, Skriv regedt32och klicka sedan på OK. Använd inte Registereditorn eftersom det kan du inte ändra behörigheter i Windows 2000.
  2. Leta upp och markera HKEY_LOCAL_MACHINEi Registereditorn.
  3. Expandera SystemCurrentControlSet, och expandera sedan tjänster.
  4. Markera nyckeln IISADMIN , klicka på säkerhet (eller tryck på ALT + S) och välj sedan Behörigheter (eller tryck på P).
  5. Klicka för att avmarkera kryssrutan Tillåt att ärftliga behörigheter sprids till detta objekt , klicka på Kopieraoch sedan ta bort alla användare utom:
    • Administratörer (kan läsa och fullständig behörighet)
    • System (kan läsa och fullständig behörighet)
  6. Klicka på OK.
  7. Upprepa stegen för nyckeln MSFTPSVC .
  8. Markera nyckeln W3SVC , klicka på säkerhetoch klicka sedan på behörigheter.
  9. Avmarkera kryssrutan Tillåt att ärftliga behörigheter sprids till detta objekt och sedan ta bort alla poster utom:
    • Administratörer (kan läsa och fullständig behörighet)
    • System (kan läsa och fullständig behörighet)
    • Nätverket (läsa)
    • Service (läsa)
    • IWAM_ < datornamn > (läsa)
  10. Klicka på OK.

Registret

I följande tabell visas de behörigheter som kommer att användas när du följer anvisningarna i avsnittet ”bevilja behörigheter i registret”. Den här tabellen är endast för referens.Obs! Akronymen HKLM står för HKEY_LOCAL_MACHINE.
Plats Users\Groups Behörigheter
HKLM\System\CurrentControlSet\Services\IISAdmin Administratörer Fullständig kontroll
  System Fullständig kontroll
HKLM\System\CurrentControlSet\Services\MsFtpSvc Administratörer Fullständig kontroll
  System Fullständig kontroll
HKLM\System\CurrentControlSet\Services\w3svc Administratörer Fullständig kontroll
  System Fullständig kontroll
  IWAM_<MachineName> Läs

Bevilja rättigheter i den lokala säkerhetsprincipen


  1. Klicka på Start, klicka på Inställningaroch klicka sedan på Kontrollpanelen.
  2. Dubbelklicka på Administrationsverktygoch sedan dubbelklicka på Lokal säkerhetsprincip.
  3. I dialogrutan Lokala säkerhetsinställningarLokalaprinciper och klicka sedan på Tilldelning av användarrättigheter.
  4. Ändra principen:
    1. Dubbelklicka på principen.
    2. Markera och klicka på Ta bort för alla användare som inte finns med i tabellen.
    3. Lägga till en användare som inte finns med i listan. Om du vill göra detta klickar du på Lägg tilloch markera användaren i dialogrutan Välj användare eller grupper .
Observera att eftersom en styrenhet domänprincip åsidosätter den lokala principen, måste du se till att Effektiva inställningen matchar Lokala principinställning.

Principer

I följande tabell visas de behörigheter som kommer att användas när du följer anvisningarna i avsnittet ”bevilja rättigheter i den lokala säkerhetsprincipen”.
Principen Användare
Lokal inloggning Administratörer
  IUSR_ < datornamn > (anonym)
  Användarna (autentisering krävs)
Åtkomst till den här datorn från nätverket Administratörer
  ASPNet (.NET Framework)
  IUSR_ < datornamn > (anonym)
  IWAM_<MachineName>
  Användare
Logga in som Batch-jobb ASPNet
  Nätverk
  IUSR_<MachineName>
  IWAM_<MachineName>
  Service
Logga in som en tjänst ASPNet
  Nätverk
Kringgå bläddringskontroll Administratörer
  IUSR_ < datornamn > (anonym)
  Användare (Basic, integrerade Digest)
  IWAM_<MachineName>

Referenser


Mer information om hur du återställer standard NTFS-behörigheter för Windows 2000 klickar du på följande artikelnummer och läser artiklarna i Microsoft Knowledge Base:
266118 hur du återställer standard NTFS-behörigheter för Windows 2000
260985 minsta NTFS-behörigheter som krävs för att använda CDONTS
324068 hur du ställer in IIS-behörigheter för specifika objekt
815153 hur du konfigurerar NTFS-filbehörigheter för säkerhet för ASP.NET-program
Mer information om behörighet för IIS 6.0, klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
812614 Standardbehörigheter och användarrättigheter för IIS 6.0

Mer information


Den här artikeln behandlar inte någon av särskilda säkerhetskrav för följande serverroller eller program:
  • Windows 2000-domänkontrollant
  • Microsoft Exchange 5.5 eller Microsoft Exchange 2000 Outlook Web Access
  • Microsoft Small Business Server 2000
  • Microsoft SharePoint Portal eller Team Services
  • Microsoft Commerce Server 2000 eller Microsoft Commerce Server 2002
  • Microsoft BizTalk Server 2000 eller Microsoft BizTalk Server 2002
  • Microsoft Content Management Server 2000 eller Microsoft Content Management Server 2002
  • Microsoft Application Center 2000
  • Tredje parts-program som är beroende av ytterligare behörigheter