Den här artikeln beskrivs hur du ställer in den lägsta behörigheten som krävs för en särskild Internet Information Services (IIS) 5.0, IIS 5.1 eller IIS 6.0-webbserver.
Begränsning för denna artikel
Varning Den här artikeln gäller endast för dedicerade webbservrar som använder grundläggande IIS-funktioner, till exempel innehåll som betjänar HTML statiskt innehåll eller enkel Active Server Pages (ASP). Behörighetskrav som beskrivs i den här artikeln gäller endast grundläggande behörigheter för en särskild webbserver som kör IIS 5. x eller IIS 6.0 . Denna artikel anses inte andra Microsoft och produkter från andra tillverkare som kan kräva olika behörigheter. Du kan granska server- och dokumentation för specifika säkerhetskrav. Vi rekommenderar att du Granska relaterade artiklar som är specifika för roller på din webbserver.
Testa före behörigheter konfigurationer i en produktionsmiljö
Innan du ändrar behörigheten på en webbserver för produktion, rekommenderar vi att du gör följande:
- Kör den senaste versionen av verktyget IIS Lockdown. Följande program och tjänster installerades som en del av programsviten test som användes för att testa serversäkerhet efter behörigheter som beskrivs i denna artikel:
- Index-tjänster
- Terminal Services
- Felsökningsprogram för skript
- IIS
- Gemensamma filer
- Dokumentation
- Servertillägg för FrontPage 2000
- Internet-tjänsthanteraren (HTML)
- WWW
- FTP
- Utför följande funktionella tester:
- Hypertext-dokument (HTML)
- Active Server Pages (ASP)
- Servertillägg för FrontPage, ansluta, redigera och spara om Servertillägg för Frontpage är aktiverad när du använder Låsningsverktyget för
- Secure Socket lager (SSL)-anslutningar
Bevilja äganderätt och behörighet för administratörer och systemet
Gör så här:
- Öppna Utforskaren. Genom att klicka på Start, klicka på programoch sedan på Windows Explorer.
- Expandera den här datorn.
- Högerklicka på systemenheten (detta är vanligtvis enhet C) och klicka sedan på Egenskaper.
- Klicka på fliken säkerhet och klicka sedan på Avancerat för att öppna dialogrutan Inställningar för åtkomstkontroll för lokal Disk .
- Klicka på fliken ägare , markerar du kryssrutan Ersätt ägare av Sub behållare och objekt och klicka sedan på Verkställ. Klicka på Fortsättom du får följande felmeddelande:Ett fel inträffade när säkerhetsinformation tillämpades till %systemdrive%\Pagefile.sys
- Klicka på Jaom du får följande felmeddelande:Du har inte behörighet att läsa innehållet i katalogen %systemdrive%\System Volume Information - vill du ändra behörighet för katalogen - All behörighet ersätts ger dig Full kontroll
- Klicka på OK för att stänga dialogrutan.
- Klicka på Lägg till.
- Lägg till följande användare och ge dem fullständig NTFS-behörighet:
- Administratör
- System
- Skapare ägare
- När du har lagt till dessa NTFS-behörigheter, klicka på Avancerat, markera kryssrutan Återställ behörigheter för alla underordnade objekt och aktivera spridning av ärftliga behörigheter och klicka sedan på Verkställ.
- Klicka på Fortsättom du får följande felmeddelande:Ett fel inträffade när säkerhetsinformation tillämpades till %systemdrive%\Pagefile.sys
- Klicka på OKnär du har återställt NTFS-behörigheter.
- Klicka på gruppen alla och klicka på Ta bort.
- Öppna Egenskaper för mappen %systemdrive%\Program\Microsoft c:\Program\Delade filer och klicka sedan på fliken säkerhet , Lägg till det konto som används för anonym åtkomst. Som standard är kontot IUSR_ < datornamn >. Sedan lägger du till gruppen användare. Se till att endast följande är markerade:
- Läsa och köra
- Visa mappinnehåll
- Läs
- Öppna Egenskaper för den rotkatalog som innehåller din webbplats innehåll. Som standard är detta mappen %systemdrive%\Inetpub\Wwwroot. Klicka på fliken säkerhet , lägga till kontot IUSR_ < datornamn > och gruppen användare och kontrollera att endast följande är markerade:
- Läsa och köra
- Visa mappinnehåll
- Läs
- Upprepa steg 15 om du vill bevilja skriva NTFS-behörighet för Inetpub\FTProot eller sökvägen till din FTP-plats eller platser. Obs! Vi rekommenderar inte att du anger skriva NTFS-behörigheter till det anonyma kontot i alla kataloger och kataloger som används av FTP-tjänsten använder. Detta kan orsaka onödiga data överföras till webbservern.
Inaktivera arv i kataloger i filsystemet
Gör så här:
- I mappen %systemroot%\System32 Markera alla mappar utom följande:
- Inetsrv
- Certsrv (om sådan finns)
- COM
- Högerklicka på de återstående mapparna, klicka på Egenskaperoch klicka sedan på fliken säkerhet .
- Klicka för att Avmarkera kryssrutan Tillåt att ärftliga behörigheter och klicka på Kopiera.
- Markera alla mappar utom följande i mappen % systemroot %:
- Sammansättningen (om sådan finns)
- Hämtade programfiler
- Hjälp
- Microsoft.NET (om sådan finns)
- Offlinewebbsidor
- System32
- Aktiviteter
- Temp
- Webben
- Högerklicka på de återstående mapparna, klicka på Egenskaperoch klicka sedan på fliken säkerhet .
- Klicka för att Avmarkera kryssrutan Tillåt att ärftliga behörigheter och klicka på Kopiera.
- Tillämpas följande behörigheter:
- Öppna Egenskaper för mappen % systemroot %, klicka på fliken säkerhet , lägga till kontona IUSR_ < datornamn > och IWAM_ < datornamn > och gruppen användare och kontrollera att det är endast följande valda:
- Läsa och köra
- Visa mappinnehåll
- Läs
- Öppna Egenskaper för mappen %systemroot%\Temp, Markera kontot IUSR_ < datornamn > (det här kontot finns redan eftersom den ärver från mappen Winnt) och markera kryssrutan Ändra . Upprepa det här steget för kontot IWAM_ < datornamn > och Gruppen användare .
- Om FrontPage Server Extension klienter som FrontPage eller Microsoft Visual InterDev används, öppna Egenskaper för mappen %systemdrive%\Inetpub\Wwwroot, markerar du gruppen Autentiserade användare , markera följande och klicka sedan på OK :
- Ändra
- Läsa och köra
- Visa mappinnehåll
- Läs
- Skriva
- Öppna Egenskaper för mappen % systemroot %, klicka på fliken säkerhet , lägga till kontona IUSR_ < datornamn > och IWAM_ < datornamn > och gruppen användare och kontrollera att det är endast följande valda:
NTFS-behörigheter
I följande tabell visas de behörigheter som kommer att användas när du följer anvisningarna i avsnittet ”Inaktivera arv i systemkatalogerna”. Den här tabellen är endast för referens.Gör så här om du vill tillämpa behörigheter i följande tabell:
Obs! Om du använder servertillägg för FrontPage, måste autentiserade användare eller gruppen användare ha behörigheten Ändra NTFS-att skapa, byta namn på, skriva eller att tillhandahålla de funktioner som utvecklare kan behöva ha från en FrontPage-klient, till exempel Visual InterDev 6.0 eller FrontPage 2002.
- Öppna Utforskaren. Genom att klicka på Start, program, Tillbehöroch klicka sedan på Utforskaren.
- Expandera den här datorn.
- Högerklicka på % systemroot %.
- Klicka på fliken säkerhet och klicka sedan på Avancerat.
- Dubbelklicka på behörighetoch välj sedan lämplig inställning i listan Tillämpa på .
Katalog | Users\Groups | Behörigheter | Gäller för |
---|---|---|---|
%systemroot%\ (c:\winnt) | Administratör | Fullständig kontroll | Standard |
System | Fullständig kontroll | Standard | |
Användare | Läsa, köra | Standard | |
%systemroot%\system32 | Administratörer | Fullständig kontroll | Standard |
System | Fullständig kontroll | Standard | |
Användare | Läsa, köra | Standard | |
%systemroot%\system32\inetsrv | Administratörer | Fullständig kontroll | Standard |
System | Fullständig kontroll | Standard | |
Användare | Läsa, köra | Standard | |
Inetpub\adminscripts | Administratörer | Fullständig kontroll | Standard |
Inetpub\urlscan (om sådan finns) | Administratörer | Fullständig kontroll | Standard |
System | Fullständig kontroll | Standard | |
%systemroot%\system32\inetsrv\metaback | Administratörer | Fullständig kontroll | Standard |
System | Fullständig kontroll | Standard | |
%systemroot%\help\iishelp\common | Administratörer | Fullständig kontroll | Den här mappen och filer |
System | Fullständig kontroll | Den här mappen och filer | |
IWAM_<Machinename> | Läsa, köra | Den här mappen och filer | |
Nätverk | Fullständig kontroll | Den här mappen och filer | |
Service | Den här mappen och filer | ||
Användare | Läsa, köra | Den här mappen och filer | |
Inetpub\Wwwroot (eller innehåll kataloger) | Administratörer | Fullständig kontroll | Den här mappen och filer |
System | Fullständig kontroll | Den här mappen och filer | |
IWAM_<MachineName> | Läsa, köra | Den här mappen och filer | |
Service | Läsa, köra | Den här mappen och filer | |
Nätverk | Läsa, köra | Den här mappen och filer | |
Optional**: | Användare | Läsa, köra | Den här mappen och filer |
Bevilja behörigheter i registret
- Klicka på Start, Kör, Skriv regedt32och klicka sedan på OK. Använd inte Registereditorn eftersom det kan du inte ändra behörigheter i Windows 2000.
- Leta upp och markera HKEY_LOCAL_MACHINEi Registereditorn.
- Expandera SystemCurrentControlSet, och expandera sedan tjänster.
- Markera nyckeln IISADMIN , klicka på säkerhet (eller tryck på ALT + S) och välj sedan Behörigheter (eller tryck på P).
- Klicka för att avmarkera kryssrutan Tillåt att ärftliga behörigheter sprids till detta objekt , klicka på Kopieraoch sedan ta bort alla användare utom:
- Administratörer (kan läsa och fullständig behörighet)
- System (kan läsa och fullständig behörighet)
- Klicka på OK.
- Upprepa stegen för nyckeln MSFTPSVC .
- Markera nyckeln W3SVC , klicka på säkerhetoch klicka sedan på behörigheter.
- Avmarkera kryssrutan Tillåt att ärftliga behörigheter sprids till detta objekt och sedan ta bort alla poster utom:
- Administratörer (kan läsa och fullständig behörighet)
- System (kan läsa och fullständig behörighet)
- Nätverket (läsa)
- Service (läsa)
- IWAM_ < datornamn > (läsa)
- Klicka på OK.
Registret
I följande tabell visas de behörigheter som kommer att användas när du följer anvisningarna i avsnittet ”bevilja behörigheter i registret”. Den här tabellen är endast för referens.Obs! Akronymen HKLM står för HKEY_LOCAL_MACHINE.Plats | Users\Groups | Behörigheter |
---|---|---|
HKLM\System\CurrentControlSet\Services\IISAdmin | Administratörer | Fullständig kontroll |
System | Fullständig kontroll | |
HKLM\System\CurrentControlSet\Services\MsFtpSvc | Administratörer | Fullständig kontroll |
System | Fullständig kontroll | |
HKLM\System\CurrentControlSet\Services\w3svc | Administratörer | Fullständig kontroll |
System | Fullständig kontroll | |
IWAM_<MachineName> | Läs |
Bevilja rättigheter i den lokala säkerhetsprincipen
- Klicka på Start, klicka på Inställningaroch klicka sedan på Kontrollpanelen.
- Dubbelklicka på Administrationsverktygoch sedan dubbelklicka på Lokal säkerhetsprincip.
- I dialogrutan Lokala säkerhetsinställningarLokalaprinciper och klicka sedan på Tilldelning av användarrättigheter.
- Ändra principen:
- Dubbelklicka på principen.
- Markera och klicka på Ta bort för alla användare som inte finns med i tabellen.
- Lägga till en användare som inte finns med i listan. Om du vill göra detta klickar du på Lägg tilloch markera användaren i dialogrutan Välj användare eller grupper .
Principer
I följande tabell visas de behörigheter som kommer att användas när du följer anvisningarna i avsnittet ”bevilja rättigheter i den lokala säkerhetsprincipen”.Principen | Användare |
---|---|
Lokal inloggning | Administratörer |
IUSR_ < datornamn > (anonym) | |
Användarna (autentisering krävs) | |
Åtkomst till den här datorn från nätverket | Administratörer |
ASPNet (.NET Framework) | |
IUSR_ < datornamn > (anonym) | |
IWAM_<MachineName> | |
Användare | |
Logga in som Batch-jobb | ASPNet |
Nätverk | |
IUSR_<MachineName> | |
IWAM_<MachineName> | |
Service | |
Logga in som en tjänst | ASPNet |
Nätverk | |
Kringgå bläddringskontroll | Administratörer |
IUSR_ < datornamn > (anonym) | |
Användare (Basic, integrerade Digest) | |
IWAM_<MachineName> |
Referenser
Mer information om hur du återställer standard NTFS-behörigheter för Windows 2000 klickar du på följande artikelnummer och läser artiklarna i Microsoft Knowledge Base:
266118 hur du återställer standard NTFS-behörigheter för Windows 2000
260985 minsta NTFS-behörigheter som krävs för att använda CDONTS
324068 hur du ställer in IIS-behörigheter för specifika objekt
815153 hur du konfigurerar NTFS-filbehörigheter för säkerhet för ASP.NET-program
Mer information om behörighet för IIS 6.0, klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:812614 Standardbehörigheter och användarrättigheter för IIS 6.0
Mer information
Den här artikeln behandlar inte någon av särskilda säkerhetskrav för följande serverroller eller program:
- Windows 2000-domänkontrollant
- Microsoft Exchange 5.5 eller Microsoft Exchange 2000 Outlook Web Access
- Microsoft Small Business Server 2000
- Microsoft SharePoint Portal eller Team Services
- Microsoft Commerce Server 2000 eller Microsoft Commerce Server 2002
- Microsoft BizTalk Server 2000 eller Microsoft BizTalk Server 2002
- Microsoft Content Management Server 2000 eller Microsoft Content Management Server 2002
- Microsoft Application Center 2000
- Tredje parts-program som är beroende av ytterligare behörigheter