Den här artikeln beskrivs hur du ställer in den lägsta behörigheten som krävs för en särskild Internet Information Services (IIS) 5.0, IIS 5.1 eller IIS 6.0-webbserver.
Begränsning för denna artikel
Varning Den här artikeln gäller endast för dedicerade webbservrar som använder grundläggande IIS-funktioner, till exempel innehåll som betjänar HTML statiskt innehåll eller enkel Active Server Pages (ASP). Behörighetskrav som beskrivs i den här artikeln gäller endast grundläggande behörigheter för en särskild webbserver som kör IIS 5. x eller IIS 6.0. Denna artikel anses inte andra Microsoft och produkter från andra tillverkare som kan kräva olika behörigheter. Du kan granska server- och dokumentation för specifika säkerhetskrav. Vi rekommenderar att du Granska relaterade artiklar som är specifika för roller på din webbserver.
Testa före behörigheter konfigurationer i en produktionsmiljö
Innan du ändrar behörigheten på en webbserver för produktion, rekommenderar vi att du gör följande:
-
Kör den senaste versionen av verktyget IIS Lockdown. Följande program och tjänster installerades som en del av programsviten test som användes för att testa serversäkerhet efter behörigheter som beskrivs i denna artikel:
-
Index-tjänster
-
Terminal Services
-
Felsökningsprogram för skript
-
IIS
-
Gemensamma filer
-
Dokumentation
-
Servertillägg för FrontPage 2000
-
Internet-tjänsthanteraren (HTML)
-
WWW
-
FTP
-
-
-
Utför följande funktionella tester:
-
Hypertext-dokument (HTML)
-
Active Server Pages (ASP)
-
Servertillägg för FrontPage, ansluta, redigera och spara om Servertillägg för Frontpage är aktiverad när du använder Låsningsverktyget för
-
Secure Socket lager (SSL)-anslutningar
-
Bevilja äganderätt och behörighet för administratörer och systemet
Gör så här:
-
Öppna Utforskaren. Genom att klicka på Start, klicka på programoch sedan på Windows Explorer.
-
Expandera den här datorn.
-
Högerklicka på systemenheten (detta är vanligtvis enhet C) och klicka sedan på Egenskaper.
-
Klicka på fliken säkerhet och klicka sedan på Avancerat för att öppna dialogrutan Inställningar för åtkomstkontroll för lokal Disk .
-
Klicka på fliken ägare , markerar du kryssrutan Ersätt ägare av Sub behållare och objekt och klicka sedan på Verkställ. Klicka på Fortsättom du får följande felmeddelande:
Ett fel inträffade när säkerhetsinformation tillämpades till %systemdrive%\Pagefile.sys
-
Klicka på Jaom du får följande felmeddelande:
Du har inte behörighet att läsa innehållet i katalogen %systemdrive%\System Volume Information - vill du ändra behörighet för katalogen - All behörighet ersätts ger dig Full kontroll
-
Klicka på OK för att stänga dialogrutan.
-
Klicka på Lägg till.
-
Lägg till följande användare och ge dem fullständig NTFS-behörighet:
-
Administratör
-
System
-
Skapare ägare
-
-
När du har lagt till dessa NTFS-behörigheter, klicka på Avancerat, markera kryssrutan Återställ behörigheter för alla underordnade objekt och aktivera spridning av ärftliga behörigheter och klicka sedan på Verkställ.
-
Klicka på Fortsättom du får följande felmeddelande:
Ett fel inträffade när säkerhetsinformation tillämpades till %systemdrive%\Pagefile.sys
-
Klicka på OKnär du har återställt NTFS-behörigheter.
-
Klicka på gruppen alla och klicka på Ta bort.
-
Öppna Egenskaper för mappen %systemdrive%\Program\Microsoft c:\Program\Delade filer och klicka sedan på fliken säkerhet , Lägg till det konto som används för anonym åtkomst. Som standard är kontot IUSR_ < datornamn >. Sedan lägger du till gruppen användare. Se till att endast följande är markerade:
-
Läsa och köra
-
Visa mappinnehåll
-
Läs
-
-
Öppna Egenskaper för den rotkatalog som innehåller din webbplats innehåll. Som standard är detta mappen %systemdrive%\Inetpub\Wwwroot. Klicka på fliken säkerhet , lägga till kontot IUSR_ < datornamn > och gruppen användare och kontrollera att endast följande är markerade:
-
Läsa och köra
-
Visa mappinnehåll
-
Läs
-
-
Upprepa steg 15 om du vill bevilja skriva NTFS-behörighet för Inetpub\FTProot eller sökvägen till din FTP-plats eller platser. Obs! Vi rekommenderar inte att du anger skriva NTFS-behörigheter till det anonyma kontot i alla kataloger och kataloger som används av FTP-tjänsten använder. Detta kan orsaka onödiga data överföras till webbservern.
Inaktivera arv i kataloger i filsystemet
Gör så här:
-
I mappen %systemroot%\System32 Markera alla mappar utom följande:
-
Inetsrv
-
Certsrv (om sådan finns)
-
COM
-
-
Högerklicka på de återstående mapparna, klicka på Egenskaperoch klicka sedan på fliken säkerhet .
-
Klicka för att Avmarkera kryssrutan Tillåt att ärftliga behörigheter och klicka på Kopiera.
-
Markera alla mappar utom följande i mappen % systemroot %:
-
Sammansättningen (om sådan finns)
-
Hämtade programfiler
-
Hjälp
-
Microsoft.NET (om sådan finns)
-
Offlinewebbsidor
-
System32
-
Aktiviteter
-
Temp
-
Webben
-
-
Högerklicka på de återstående mapparna, klicka på Egenskaperoch klicka sedan på fliken säkerhet .
-
Klicka för att Avmarkera kryssrutan Tillåt att ärftliga behörigheter och klicka på Kopiera.
-
Tillämpas följande behörigheter:
-
Öppna Egenskaper för mappen % systemroot %, klicka på fliken säkerhet , lägga till kontona IUSR_ < datornamn > och IWAM_ < datornamn > och gruppen användare och kontrollera att det är endast följande valda:
-
Läsa och köra
-
Visa mappinnehåll
-
Läs
-
-
Öppna Egenskaper för mappen %systemroot%\Temp, Markera kontot IUSR_ < datornamn > (det här kontot finns redan eftersom den ärver från mappen Winnt) och markera kryssrutan Ändra . Upprepa det här steget för kontot IWAM_ < datornamn > och Gruppen användare .
-
Om FrontPage Server Extension klienter som FrontPage eller Microsoft Visual InterDev används, öppna Egenskaper för mappen %systemdrive%\Inetpub\Wwwroot, markerar du gruppen Autentiserade användare , markera följande och klicka sedan på OK :
-
Ändra
-
Läsa och köra
-
Visa mappinnehåll
-
Läs
-
Skriva
-
-
NTFS-behörigheter
I följande tabell visas de behörigheter som kommer att användas när du följer anvisningarna i avsnittet ”Inaktivera arv i systemkatalogerna”. Den här tabellen är endast för referens. Gör så här om du vill tillämpa behörigheter i följande tabell:
-
Öppna Utforskaren. Genom att klicka på Start, program, Tillbehöroch klicka sedan på Utforskaren.
-
Expandera den här datorn.
-
Högerklicka på % systemroot %.
-
Klicka på fliken säkerhet och klicka sedan på Avancerat.
-
Dubbelklicka på behörighetoch välj sedan lämplig inställning i listan Tillämpa på .
Obs! I den ”gäller för” kolumn, begreppet standard hänvisar till ”den här mappen, undermappar och filer”.
|
Katalog |
Users\Groups |
Behörigheter |
Gäller för |
|---|---|---|---|
|
%systemroot%\ (c:\winnt) |
Administratör |
Fullständig kontroll |
Standard |
|
System |
Fullständig kontroll |
Standard |
|
|
Användare |
Läsa, köra |
Standard |
|
|
%systemroot%\system32 |
Administratörer |
Fullständig kontroll |
Standard |
|
System |
Fullständig kontroll |
Standard |
|
|
Användare |
Läsa, köra |
Standard |
|
|
%systemroot%\system32\inetsrv |
Administratörer |
Fullständig kontroll |
Standard |
|
System |
Fullständig kontroll |
Standard |
|
|
Användare |
Läsa, köra |
Standard |
|
|
Inetpub\adminscripts |
Administratörer |
Fullständig kontroll |
Standard |
|
Inetpub\urlscan (om sådan finns) |
Administratörer |
Fullständig kontroll |
Standard |
|
System |
Fullständig kontroll |
Standard |
|
|
%systemroot%\system32\inetsrv\metaback |
Administratörer |
Fullständig kontroll |
Standard |
|
System |
Fullständig kontroll |
Standard |
|
|
%systemroot%\help\iishelp\common |
Administratörer |
Fullständig kontroll |
Den här mappen och filer |
|
System |
Fullständig kontroll |
Den här mappen och filer |
|
|
IWAM_<Machinename> |
Läsa, köra |
Den här mappen och filer |
|
|
Nätverk |
Fullständig kontroll |
Den här mappen och filer |
|
|
Service |
Den här mappen och filer |
||
|
Användare |
Läsa, köra |
Den här mappen och filer |
|
|
Inetpub\Wwwroot (eller innehåll kataloger) |
Administratörer |
Fullständig kontroll |
Den här mappen och filer |
|
System |
Fullständig kontroll |
Den här mappen och filer |
|
|
IWAM_<MachineName> |
Läsa, köra |
Den här mappen och filer |
|
|
Service |
Läsa, köra |
Den här mappen och filer |
|
|
Nätverk |
Läsa, köra |
Den här mappen och filer |
|
|
Optional**: |
Användare |
Läsa, köra |
Den här mappen och filer |
Obs! Om du använder servertillägg för FrontPage, måste autentiserade användare eller gruppen användare ha behörigheten Ändra NTFS-att skapa, byta namn på, skriva eller att tillhandahålla de funktioner som utvecklare kan behöva ha från en FrontPage-klient, till exempel Visual InterDev 6.0 eller FrontPage 2002.
Bevilja behörigheter i registret
-
Klicka på Start, Kör, Skriv regedt32och klicka sedan på OK. Använd inte Registereditorn eftersom det kan du inte ändra behörigheter i Windows 2000.
-
Leta upp och markera HKEY_LOCAL_MACHINEi Registereditorn.
-
Expandera SystemCurrentControlSet, och expandera sedan tjänster.
-
Markera nyckeln IISADMIN , klicka på säkerhet (eller tryck på ALT + S) och välj sedan Behörigheter (eller tryck på P).
-
Klicka för att avmarkera kryssrutan Tillåt att ärftliga behörigheter sprids till detta objekt , klicka på Kopieraoch sedan ta bort alla användare utom:
-
Administratörer (kan läsa och fullständig behörighet)
-
System (kan läsa och fullständig behörighet)
-
-
Klicka på OK.
-
Upprepa stegen för nyckeln MSFTPSVC .
-
Markera nyckeln W3SVC , klicka på säkerhetoch klicka sedan på behörigheter.
-
Avmarkera kryssrutan Tillåt att ärftliga behörigheter sprids till detta objekt och sedan ta bort alla poster utom:
-
Administratörer (kan läsa och fullständig behörighet)
-
System (kan läsa och fullständig behörighet)
-
Nätverket (läsa)
-
Service (läsa)
-
IWAM_ < datornamn > (läsa)
-
-
Klicka på OK.
Registret
I följande tabell visas de behörigheter som kommer att användas när du följer anvisningarna i avsnittet ”bevilja behörigheter i registret”. Den här tabellen är endast för referens. Obs! Akronymen HKLM står för HKEY_LOCAL_MACHINE.
|
Plats |
Users\Groups |
Behörigheter |
|---|---|---|
|
HKLM\System\CurrentControlSet\Services\IISAdmin |
Administratörer |
Fullständig kontroll |
|
System |
Fullständig kontroll |
|
|
HKLM\System\CurrentControlSet\Services\MsFtpSvc |
Administratörer |
Fullständig kontroll |
|
System |
Fullständig kontroll |
|
|
HKLM\System\CurrentControlSet\Services\w3svc |
Administratörer |
Fullständig kontroll |
|
System |
Fullständig kontroll |
|
|
IWAM_<MachineName> |
Läs |
Bevilja rättigheter i den lokala säkerhetsprincipen
-
Klicka på Start, klicka på Inställningaroch klicka sedan på Kontrollpanelen.
-
Dubbelklicka på Administrationsverktygoch sedan dubbelklicka på Lokal säkerhetsprincip.
-
I dialogrutan Lokala säkerhetsinställningarLokalaprinciper och klicka sedan på Tilldelning av användarrättigheter.
-
Ändra principen:
-
Dubbelklicka på principen.
-
Markera och klicka på Ta bort för alla användare som inte finns med i tabellen.
-
Lägga till en användare som inte finns med i listan. Om du vill göra detta klickar du på Lägg tilloch markera användaren i dialogrutan Välj användare eller grupper .
-
Observera att eftersom en styrenhet domänprincip åsidosätter den lokala principen, måste du se till att Effektiva inställningen matchar Lokala principinställning.
Principer
I följande tabell visas de behörigheter som kommer att användas när du följer anvisningarna i avsnittet ”bevilja rättigheter i den lokala säkerhetsprincipen”.
|
Principen |
Användare |
|---|---|
|
Lokal inloggning |
Administratörer |
|
IUSR_ < datornamn > (anonym) |
|
|
Användarna (autentisering krävs) |
|
|
Åtkomst till den här datorn från nätverket |
Administratörer |
|
ASPNet (.NET Framework) |
|
|
IUSR_ < datornamn > (anonym) |
|
|
IWAM_<MachineName> |
|
|
Användare |
|
|
Logga in som Batch-jobb |
ASPNet |
|
Nätverk |
|
|
IUSR_<MachineName> |
|
|
IWAM_<MachineName> |
|
|
Service |
|
|
Logga in som en tjänst |
ASPNet |
|
Nätverk |
|
|
Kringgå bläddringskontroll |
Administratörer |
|
IUSR_ < datornamn > (anonym) |
|
|
Användare (Basic, integrerade Digest) |
|
|
IWAM_<MachineName> |
Referenser
Mer information om hur du återställer standard NTFS-behörigheter för Windows 2000 klickar du på följande artikelnummer och läser artiklarna i Microsoft Knowledge Base:
266118 hur du återställer standard NTFS-behörigheter för Windows 2000
260985 minsta NTFS-behörigheter som krävs för att använda CDONTS
324068 hur du ställer in IIS-behörigheter för specifika objekt
815153 hur du konfigurerar NTFS-filbehörigheter för säkerhet för ASP.NET-program Mer information om behörighet för IIS 6.0, klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
812614 Standardbehörigheter och användarrättigheter för IIS 6.0
Mer information
Den här artikeln behandlar inte någon av särskilda säkerhetskrav för följande serverroller eller program:
-
Windows 2000-domänkontrollant
-
Microsoft Exchange 5.5 eller Microsoft Exchange 2000 Outlook Web Access
-
Microsoft Small Business Server 2000
-
Microsoft SharePoint Portal eller Team Services
-
Microsoft Commerce Server 2000 eller Microsoft Commerce Server 2002
-
Microsoft BizTalk Server 2000 eller Microsoft BizTalk Server 2002
-
Microsoft Content Management Server 2000 eller Microsoft Content Management Server 2002
-
Microsoft Application Center 2000
-
Tredje parts-program som är beroende av ytterligare behörigheter
