วิธีการตั้งค่าการอนุญาต NTFS ต่ำสุดและสิทธิ์ของผู้ใช้สำหรับ IIS 5.x หรือ IIS 6.0


บทความนี้อธิบายวิธีการตั้งค่าสิทธิ์ขั้นต่ำที่จำเป็นสำหรับเฉพาะ Internet Information Services (IIS) 5.0, IIS 5.1 หรือ IIS 6.0 เว็บเซิร์ฟเวอร์

ข้อจำกัดของบทความนี้


คำเตือน บทความนี้จะถูกต้องสำหรับเว็บเซิร์ฟเวอร์โดยเฉพาะที่ใช้ฟังก์ชัน IIS พื้นฐาน เช่นเนื้อหา HTML แบบสแตติกอย่างง่าย หรือเนื้อหา Active Server Page (ASP) ทำหน้าที่ เท่านั้น ข้อกำหนดสิทธิ์ที่อธิบายไว้ในบทความนี้มีเฉพาะเมื่อต้องการสิทธิ์สำหรับเฉพาะเว็บเซิร์ฟเวอร์ที่กำลังเรียกใช้ IIS 5 พื้นฐานเท่านั้น xหรือIIS 6.0 บทความนี้ไม่ถือว่าMicrosoft อื่นและผลิตภัณฑ์อื่น ๆที่อาจจำเป็นต้องมีสิทธิ์ที่แตกต่างกัน คุณสามารถตรวจทานเอกสารเซิร์ฟเวอร์และแอพลิเคชันสำหรับความต้องการด้านความปลอดภัยที่เฉพาะเจาะจง เราขอแนะนำให้คุณตรวจทานบทความที่เกี่ยวข้องที่ระบุเฉพาะสำหรับบทบาทของเว็บเซิร์ฟเวอร์ของคุณ

การทดสอบขั้นตอนก่อนการกำหนดค่าสิทธิ์ในสภาพแวดล้อมการผลิต


ก่อนที่คุณเปลี่ยนแปลงสิทธิ์บนเว็บเซิร์ฟเวอร์ที่ผลิต เราขอแนะนำให้ คุณทำขั้นตอนต่อไปนี้:
  1. เรียกใช้เวอร์ชันล่าสุดของ IIS Lockdown Tool โปรแกรมและบริการต่อไปนี้ถูกติดตั้งเป็นส่วนหนึ่งของชุดการทดสอบที่ถูกใช้เพื่อทดสอบความปลอดภัยเซิร์ฟเวอร์หลังจากสิทธิอธิบายไว้ในบทความนี้:
    • บริการการทำดัชนี
    • บริการเทอร์มินัล
    • ดีบักเกอร์สคริปต์
    • IIS
      • ไฟล์ทั่วไป
      • เอกสารประกอบ
      • ส่วนขยายเซิร์ฟเวอร์ของ FrontPage 2000
      • โปรแกรมจัดการบริการทางอินเทอร์เน็ต (HTML)
      • เว็บไซต์
      • FTP
  2. ทำการทดสอบการทำงานต่อไปนี้:
    • เอกสารข้อความหลายมิติ (HTML)
    • เพจที่ใช้งานเซิร์ฟเวอร์ (ASP)
    • FrontPage Server Extensions เช่นการเชื่อมต่อ แก้ไข หรือ การ บันทึก ถ้าเปิดใช้งาน FPSE ในขณะที่คุณใช้เครื่องมือ Lockdown
    • การรักษาความปลอดภัยให้กับการเชื่อมต่อซ็อกเก็ตชั้น (SSL)

ความเป็นเจ้าของเงินช่วยเหลือและสิทธิ์ใน การดูแล และระบบ


โดยทำตามขั้นตอนต่อไปนี้:
  1. เปิด Windows Explorer การทำเช่นนี้ คลิกเริ่มคลิกโปรแกรมแล้ว คลิก Windows Explorer
  2. ขยายคอมพิวเตอร์ของฉัน
  3. คลิกขวาไดรฟ์ระบบ (ซึ่งปกติจะเป็นไดรฟ์ C), แล้ว คลิ กคุณสมบัติ
  4. คลิกแท็บความปลอดภัยและจากนั้น คลิกขั้นสูงเพื่อเปิดกล่องโต้ตอบการตั้งค่าการควบคุมการเข้าถึงสำหรับดิสก์ภายในเครื่อง
  5. คลิกที่แท็บเจ้าของคลิกเพื่อเลือกกล่องกาเครื่องหมายแทนที่เจ้าของบนคอนเทนเนอร์ย่อยและวัตถุแล้ว คลิ กนำไปใช้ ถ้าคุณได้รับข้อความแสดงข้อผิดพลาดต่อไปนี้ คลิกดำเนินการต่อ:
    เกิดข้อผิดพลาดนำข้อมูลความปลอดภัยกับ %systemdrive%\Pagefile.sys
  6. หากคุณได้รับข้อความแสดงข้อผิดพลาดต่อไปนี้ คลิกYes:
    คุณไม่มีสิทธิ์ในการอ่านเนื้อหาของไดเรกทอรี %systemdrive%\System มูลไดรฟ์ - คุณต้องการแทนที่สิทธิ์ไดเรกทอรี - สิทธิ์ทั้งหมดจะถูกแทนในการอนุญาตให้คุณควบคุมทั้งหมด
  7. คลิกตกลงเพื่อปิดกล่องโต้ตอบ
  8. คลิก เพิ่ม
  9. เพิ่มผู้ใช้ต่อไปนี้ และจากนั้น ให้สิทธิแบบ NTFS การควบคุมแบบเต็ม:
    • ผู้ดูแล
    • ระบบ
    • เจ้าของผู้สร้าง
  10. หลังจากที่คุณได้เพิ่มสิทธิ์เหล่านี้ NTFS คลิกขั้นสูงคลิกเพื่อเลือกกล่องกาเครื่องหมายการตั้งค่าสิทธิ์บนวัตถุลูกทั้งหมด และเปิดใช้งานการแพร่กระจายของสิทธิ์ที่สามารถสืบทอดได้และจากนั้น คลิกนำไปใช้
  11. ถ้าคุณได้รับข้อความแสดงข้อผิดพลาดต่อไปนี้ คลิกดำเนินการต่อ:
    เกิดข้อผิดพลาดนำข้อมูลความปลอดภัยกับ %systemdrive%\Pagefile.sys
  12. หลังจากที่คุณได้ตั้งค่าการอนุญาต NTFS คลิกตกลง
  13. คลิกกลุ่มทุกคนคลิกเอาออกและจากนั้น คลิกตกลง
  14. เปิดคุณสมบัติสำหรับโฟลเดอร์แฟ้ม Files\Common %systemdrive%\Program และจากนั้น คลิกแท็บความปลอดภัยเพิ่มบัญชีที่ใช้สำหรับการเข้าถึงแบบไม่ระบุชื่อ โดยค่าเริ่มต้น นี่คือบัญชี IUSR_ < MachineName > เพิ่มกลุ่มผู้ใช้แล้ว ตรวจสอบให้แน่ใจว่า มีเลือกเฉพาะต่อไปนี้:
    • อ่าน และปฏิบัติการ
    • แสดงเนื้อหาโฟลเดอร์
    • อ่าน
  15. เปิดคุณสมบัติสำหรับไดเรกทอรีรากที่จัดเก็บเนื้อหาเว็บของคุณ โดยค่าเริ่มต้น นี่คือโฟลเดอร์ %systemdrive%\Inetpub\Wwwroot คลิกแท็บความปลอดภัยเพิ่ม IUSR_ < MachineName > บัญชีและกลุ่มผู้ใช้ และตรวจสอบให้แน่ใจว่า มีเลือกเฉพาะต่อไปนี้:
    • อ่าน และปฏิบัติการ
    • แสดงเนื้อหาโฟลเดอร์
    • อ่าน
  16. ถ้าคุณต้องการให้สิทธิ์ในการเขียน NTFS สำหรับ Inetpub\FTProot หรือพาธไดเรกทอรีสำหรับ FTP ไซต์หรือไซต์ของคุณ ทำซ้ำขั้นตอนที่ 15 หมายเหตุ เราไม่แนะนำว่า คุณให้สิทธิ์ NTFS เขียนไปยังบัญชีที่ไม่ระบุชื่อในไดเรกทอรีใด ๆ รวมถึงไดเรกทอรีที่ใช้งาน โดยการใช้บริการ FTP ซึ่งสามารถทำให้ข้อมูลที่ไม่จำเป็นจะถูกอัปโหลดไปยังเว็บเซิร์ฟเวอร์ของคุณ

ปิดใช้งานการสืบทอดในไดเรกทอรีระบบ


โดยทำตามขั้นตอนต่อไปนี้:
  1. ในโฟลเดอร์ %systemroot%\System32 เลือกโฟลเดอร์ทั้งหมดยกเว้นต่อไปนี้:
    • Inetsrv
    • Certsrv (ถ้ามี)
    • COM
  2. คลิกขวาที่โฟลเดอร์ที่เหลือ คลิกคุณสมบัติและจากนั้น คลิกแท็บความปลอดภัย
  3. คลิ กเพื่อยกเลิกเลือกกล่องกาเครื่องหมายอนุญาตให้สิทธิ์ที่สามารถสืบทอดได้คลิกคัดลอกแล้ว คลิกตกลง
  4. ในโฟลเดอร์% systemroot % เลือกโฟลเดอร์ทั้งหมดยกเว้นต่อไปนี้:
    • แอสเซมบลี (ถ้ามี)
    • แฟ้มโปรแกรมที่ดาวน์โหลดมา
    • วิธีใช้
    • Microsoft.NET (ถ้ามี)
    • เว็บเพจออฟไลน์
    • System32
    • งาน
    • ชั่วคราว
    • เว็บ
  5. คลิกขวาที่โฟลเดอร์ที่เหลือ คลิกคุณสมบัติและจากนั้น คลิกแท็บความปลอดภัย
  6. คลิ กเพื่อยกเลิกเลือกกล่องกาเครื่องหมายอนุญาตให้สิทธิ์ที่สามารถสืบทอดได้คลิกคัดลอกแล้ว คลิกตกลง
  7. ใช้สิทธิ์ต่อไปนี้:
    1. เปิดคุณสมบัติสำหรับโฟลเดอร์% systemroot % คลิกแท็บความปลอดภัยเพิ่มIUSR_ < MachineName >และ< MachineName > IWAM_บัญชีและกลุ่มผู้ใช้และตรวจสอบให้แน่ใจว่า เฉพาะต่อไปนี้ เลือก:
      • อ่าน และปฏิบัติการ
      • แสดงเนื้อหาโฟลเดอร์
      • อ่าน
    2. เปิดคุณสมบัติสำหรับโฟลเดอร์ %systemroot%\Temp เลือกบัญชีIUSR_ < MachineName > (บัญชีผู้ใช้นี้อยู่แล้วเนื่องจากสืบทอดจากโฟลเดอร์ Winnt), และจากนั้น คลิกเพื่อเลือกกล่องกาเครื่องหมายปรับเปลี่ยน ทำซ้ำขั้นตอนนี้สำหรับบัญชีIWAM_ < MachineName >และ กลุ่มผู้ใช้
    3. ถ้าไคลเอ็นต์ส่วนขยายเซิร์ฟเวอร์ของ FrontPage เช่น FrontPage หรือ Microsoft Visual InterDev ใช้ เปิดคุณสมบัติสำหรับโฟลเดอร์ %systemdrive%\Inetpub\Wwwroot เลือกกลุ่มผู้ใช้ที่รับรองความถูกต้องเลือกต่อไปนี้ และจากนั้น คลิกตกลง:
      • ปรับเปลี่ยน
      • อ่าน และปฏิบัติการ
      • แสดงเนื้อหาโฟลเดอร์
      • อ่าน
      • เขียน

การอนุญาต NTFS


ตารางต่อไปนี้แสดงรายการสิทธิ์ที่จะใช้เมื่อคุณทำตามขั้นตอนในส่วน "ปิดใช้งานการสืบทอดในไดเรกทอรีระบบ" ตารางนี้มีไว้สำหรับอ้างอิงเท่านั้นเมื่อต้องการใช้สิทธิ์ที่อยู่ในตารางต่อไปนี้ ให้ทำตามขั้นตอนเหล่านี้:
  1. เปิด Windows Explorer การทำเช่นนี้ คลิกเริ่มคลิกโปรแกรมคลิกเบ็ดเตล็ดแล้ว คลิกWindows Explorer
  2. ขยายคอมพิวเตอร์ของฉัน
  3. คลิกขวาที่% systemroot %และจากนั้น คลิกคุณสมบัติ
  4. คลิกแท็บความปลอดภัยและจากนั้น คลิกขั้นสูง
  5. คลิกสองครั้งที่สิทธิ์แล้ว เลือกการตั้งค่าที่เหมาะสมจากรายการใช้ไป
หมายเหตุ  คอลัมน์ในการ "นำไปใช้กับ" คำเริ่มต้นหมายถึง "นี้โฟลเดอร์ โฟลเดอร์ย่อย และแฟ้ม"
ไดเรกทอรี Users\Groups สิทธิ์ นำไปใช้กับ
%systemroot%\ (c:\winnt) ผู้ดูแล ควบคุมทั้งหมด ค่าเริ่มต้น
  ระบบ ควบคุมทั้งหมด ค่าเริ่มต้น
  ผู้ใช้ อ่าน ดำเนินการ ค่าเริ่มต้น
%systemroot%\system32 ผู้ดูแล ควบคุมทั้งหมด ค่าเริ่มต้น
  ระบบ ควบคุมทั้งหมด ค่าเริ่มต้น
  ผู้ใช้ อ่าน ดำเนินการ ค่าเริ่มต้น
%systemroot%\system32\inetsrv ผู้ดูแล ควบคุมทั้งหมด ค่าเริ่มต้น
  ระบบ ควบคุมทั้งหมด ค่าเริ่มต้น
  ผู้ใช้ อ่าน ดำเนินการ ค่าเริ่มต้น
Inetpub\adminscripts ผู้ดูแล ควบคุมทั้งหมด ค่าเริ่มต้น
Inetpub\urlscan (ถ้ามี) ผู้ดูแล ควบคุมทั้งหมด ค่าเริ่มต้น
  ระบบ ควบคุมทั้งหมด ค่าเริ่มต้น
%systemroot%\system32\inetsrv\metaback ผู้ดูแล ควบคุมทั้งหมด ค่าเริ่มต้น
  ระบบ ควบคุมทั้งหมด ค่าเริ่มต้น
%systemroot%\help\iishelp\common ผู้ดูแล ควบคุมทั้งหมด โฟลเดอร์และแฟ้มนี้
  ระบบ ควบคุมทั้งหมด โฟลเดอร์และแฟ้มนี้
  IWAM_<Machinename> อ่าน ดำเนินการ โฟลเดอร์และแฟ้มนี้
  เครือข่าย ควบคุมทั้งหมด โฟลเดอร์และแฟ้มนี้
  การบริการ   โฟลเดอร์และแฟ้มนี้
  ผู้ใช้ อ่าน ดำเนินการ โฟลเดอร์และแฟ้มนี้
Inetpub\wwwroot (หรือไดเรกทอรีเนื้อหา) ผู้ดูแล ควบคุมทั้งหมด โฟลเดอร์และแฟ้มนี้
  ระบบ ควบคุมทั้งหมด โฟลเดอร์และแฟ้มนี้
  IWAM_<MachineName> อ่าน ดำเนินการ โฟลเดอร์และแฟ้มนี้
  การบริการ อ่าน ดำเนินการ โฟลเดอร์และแฟ้มนี้
  เครือข่าย อ่าน ดำเนินการ โฟลเดอร์และแฟ้มนี้
Optional**: ผู้ใช้ อ่าน ดำเนินการ โฟลเดอร์และแฟ้มนี้
หมายเหตุ ถ้าคุณกำลังใช้ FrontPage Server Extensions พิสูจน์ตัวจริงของผู้ใช้หรือกลุ่มผู้ใช้ต้องมีสิทธิ์ในการเปลี่ยนแปลง NTFS เพื่อสร้าง เปลี่ยนชื่อ เขียน หรือ เพื่อให้ฟังก์ชันการทำงานที่นักพัฒนาอาจจำเป็นต้องมีจาก FrontPage-ชนิดของไคลเอนต์ เช่น Visual InterDev 6.0 หรือ FrontPage 2002

ให้สิทธิ์ในรีจิสทรี


  1. คลิกเริ่มคลิกเรียกใช้พิมพ์regedt32แล้ว คลิ กตกลง ใช้ตัวแก้ไขรีจิสทรีได้เนื่องจากจะอนุญาตให้คุณเปลี่ยนแปลงสิทธิ์ใน Windows 2000
  2. ใน Registry Editor ค้นหา และเลือกHKEY_LOCAL_MACHINE
  3. ขยายระบบขยายขึ้นกับและจากนั้น ขยายบริการ
  4. เลือกคีย์IISADMINคลิกความปลอดภัย(หรือกด ALT + S), และจากนั้น เลือก สิทธิ์ (หรือกด P)
  5. คลิ กเพื่อยกเลิกเลือกกล่องกาเครื่องหมายอนุญาตให้สิทธิ์ที่สามารถสืบทอดได้จากแม่เพื่อเผยแพร่สู่วัตถุนี้คลิกคัดลอกแล้ว เอาออกทั้งหมดผู้ใช้ยกเว้น:
    • ผู้ดูแลระบบ (อนุญาตให้อ่านและควบคุมทั้งหมด)
    • ระบบ (อนุญาตให้อ่านและควบคุมทั้งหมด)
  6. คลิก ตกลง
  7. ทำซ้ำขั้นตอนสำหรับคีย์MSFTPSVC
  8. เลือกคีย์W3SVCคลิกความปลอดภัยและจากนั้น คลิกสิทธิ์
  9. คลิกเพื่อล้างกล่องกาเครื่องหมายอนุญาตให้สิทธิ์ที่สามารถสืบทอดได้จากแม่เพื่อเผยแพร่สู่วัตถุนี้และเอาออกทั้งหมดรายการยกเว้นแล้ว:
    • ผู้ดูแลระบบ (อนุญาตให้อ่านและควบคุมทั้งหมด)
    • ระบบ (อนุญาตให้อ่านและควบคุมทั้งหมด)
    • เครือข่าย (อ่าน)
    • การบริการ (อ่าน)
    • IWAM_ < MachineName > (อ่าน)
  10. คลิก ตกลง

รีจิสทรี

ตารางต่อไปนี้แสดงรายการสิทธิ์ที่จะใช้เมื่อคุณทำตามขั้นตอนในส่วน "เงินช่วยเหลือสิทธิ์ในรีจิสทรี" ตารางนี้มีไว้สำหรับอ้างอิงเท่านั้นหมายเหตุ คำย่อของ HKLM หมายถึงสำหรับ HKEY_LOCAL_MACHINE
ตำแหน่ง Users\Groups สิทธิ์
HKLM\System\CurrentControlSet\Services\IISAdmin ผู้ดูแล ควบคุมทั้งหมด
  ระบบ ควบคุมทั้งหมด
HKLM\System\CurrentControlSet\Services\MsFtpSvc ผู้ดูแล ควบคุมทั้งหมด
  ระบบ ควบคุมทั้งหมด
HKLM\System\CurrentControlSet\Services\w3svc ผู้ดูแล ควบคุมทั้งหมด
  ระบบ ควบคุมทั้งหมด
  IWAM_<MachineName> อ่าน

เงินช่วยเหลือสิทธิ์ในนโยบายความปลอดภัยท้องถิ่น


  1. คลิกเริ่มคลิกการตั้งค่าและจากนั้น คลิก'แผงควบคุม'
  2. คลิกสองครั้งที่เครื่องมือการจัดการและจากนั้น คลิกสองครั้งที่นโยบายความปลอดภัยท้องถิ่น
  3. ในกล่องโต้ตอบการตั้งค่าความปลอดภัยท้องถิ่นขยายนโยบายท้องถิ่นและจากนั้น คลิกกำหนดสิทธิ์ของผู้ใช้
  4. ปรับเปลี่ยนนโยบายที่เหมาะสม:
    1. คลิกสองครั้งที่นโยบาย
    2. เลือก และจากนั้น คลิกเอาออกสำหรับผู้ใช้ใด ๆ ที่จะไม่แสดงในตาราง
    3. เพิ่มผู้ใช้ที่ไม่มีอยู่ เมื่อต้องการทำเช่นนี้ ให้คลิก เพิ่มจากนั้นเลือกผู้ใช้ในกล่องโต้ตอบการเลือกผู้ใช้หรือกลุ่ม
โปรดสังเกตว่า เนื่องจากนโยบายตัวควบคุมโดเมนแทนนโยบายท้องถิ่น คุณต้องแน่ใจว่าการตั้งค่านโยบายมีผลบังคับใช้ให้ตรงกับการตั้งค่านโยบายภายในเครื่อง

นโยบาย

ตารางต่อไปนี้แสดงรายการสิทธิ์ที่จะใช้เมื่อคุณทำตามขั้นตอนในส่วน "เงินช่วยเหลือสิทธิ์ในนโยบายความปลอดภัยท้องถิ่น"
นโยบาย ผู้ใช้
เข้าสู่ระบบแบบท้องถิ่น ผู้ดูแล
  IUSR_ < MachineName > (แบบไม่ระบุชื่อ)
  ผู้ใช้ (จำเป็นต้องใช้การรับรองความถูกต้อง)
การเข้าถึงคอมพิวเตอร์เครื่องนี้จากเครือข่าย ผู้ดูแล
  ASPNet (.NET Framework)
  IUSR_ < MachineName > (แบบไม่ระบุชื่อ)
  IWAM_<MachineName>
  ผู้ใช้
เข้าสู่ระบบเป็นชุดงาน ASPNet
  เครือข่าย
  IUSR_<MachineName>
  IWAM_<MachineName>
  การบริการ
เข้าสู่ระบบเป็นการบริการ ASPNet
  เครือข่าย
ข้ามการตรวจสอบละเอียด ผู้ดูแล
  IUSR_ < MachineName > (แบบไม่ระบุชื่อ)
  ผู้ใช้ (Basic รวม แยกย่อย)
  IWAM_<MachineName>

อ้างอิง


สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการคืนค่าเริ่มต้นการอนุญาต NTFS สำหรับ Windows 2000 คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
266118วิธีคืนค่าสิทธิ์เริ่มต้น NTFS สำหรับ Windows 2000
260985สิทธิ NTFS ขั้นต่ำที่จำเป็นต้องใช้ CDONTS
วิธีการ324068การตั้งค่าการอนุญาต IIS สำหรับวัตถุที่ระบุ
815153วิธีการกำหนดค่าสิทธิ์ของแฟ้ม NTFS เพื่อความปลอดภัยของโปรแกรมประยุกต์ ASP.NET
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับสิทธิ์ที่จำเป็นสำหรับ IIS 6.0 คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
เริ่มต้นสิทธิ์และสิทธิ์ของผู้ใช้สำหรับ IIS 6.0 812614

ข้อมูลเพิ่มเติม


บทความนี้ที่อยู่หนึ่งของความต้องการด้านความปลอดภัยเฉพาะของโปรแกรมประยุกต์หรือบทบาทเซิร์ฟเวอร์ต่อไปนี้:
  • ตัวควบคุมโดเมนของ Windows 2000
  • Microsoft Exchange 5.5 หรือ Microsoft Exchange 2000 Outlook Web Access
  • เซิร์ฟเวอร์ธุรกิจขนาดเล็ก Microsoft 2000
  • เว็บไซต์ Microsoft SharePoint หรือบริการทีม
  • เซิร์ฟเวอร์ Microsoft Commerce 2000 หรือ Microsoft Commerce เซิร์ฟเวอร์ 2002
  • Microsoft BizTalk Server 2000 หรือ Microsoft BizTalk Server 2002
  • เซิร์ฟเวอร์การจัดการเนื้อหา Microsoft 2000 หรือเซิร์ฟเวอร์การจัดการเนื้อหา Microsoft 2002
  • 2000 ศูนย์แอพลิเคชัน Microsoft
  • แอพลิเคชันของบุคคลที่สามที่ขึ้นอยู่กับสิทธิ์เพิ่มเติม