Bu makalede ayrılmış Internet Information Services (IIS) 5.0, IIS 5.1 veya IIS 6.0 Web sunucusu için gerekli olan minimum izinlerin nasıl ayarlanacağı açıklanır.
Bu makale için sınırlama
Uyarı Bu makale yalnızca HTML statik içerik veya basit Active Server Pages (ASP) içerik sunan gibi temel IIS işlevselliğini kullanmak ayrılmış Web sunucuları için geçerlidir. Bu makalede açıklanan izin gereksinimleri yalnızca IIS 5 çalıştıran adanmış bir Web sunucusu için temel izinleri özgüdür. x veya IIS 6.0. Bu makalede, farklı izinler gerektiren diğer Microsoft ve üçüncü taraf ürünleri dikkate almaz. Özel güvenlik gereksinimleri için sunucu ve uygulama belgeleri gözden geçirebilirsiniz. Öneririz, Web sunucunuzun rollerini özgü ilgili makaleleri gözden geçirin .
Bir üretim ortamında izinleri yapılandırmaları önce test adımları
Bir üretim Web sunucusunda izin değişiklikleri yapmadan önce aşağıdakileri yapmanızı öneririz:
-
IIS Kilitleme Aracı en son sürümünüçalıştırın. Aşağıdaki programlar ve hizmetler bu makalede özetlenen izinleri verme sonra sunucu güvenliğini test etmek için kullanılan test paketinin bir parçası olarak yüklenen:
-
Dizin Hizmetleri
-
Terminal Hizmetleri
-
Komut dosyası hata ayıklayıcısı
-
IIS
-
Ortak dosyalar
-
Belgeleri
-
FrontPage Sunucu Uzantıları 2000
-
Internet Services Manager (HTML)
-
WWW
-
FTP
-
-
-
Aşağıdaki işlev sınamalarını gerçekleştirin:
-
Köprü metni belgelerini (HTML)
-
Active Server Pages (ASP)
-
Bağlanma, düzenleme ve kaydetme FPSE kilitleme aracını kullanırken etkinleştirilirse, gibi FrontPage Sunucu Uzantıları
-
Güvenli Yuva Katmanı (SSL) bağlantıları
-
Yönetici ve sistem için sahiplik ve izin verin
Bunu yapmak için şu adımları izleyin:
-
Windows Gezgini'ni açın. Bunu yapmak için Başlat' ı tıklatın, Programlar' ı tıklatın ve sonra tıklatın Windows Gezgini.
-
Bilgisayarım' ı genişletin.
-
(Bu genellikle C sürücüsüdür) sistem sürücüsünü sağ tıklatın ve sonra Özellikler' i tıklatın.
-
Güvenlik sekmesini tıklatın ve sonra Yerel Disk için erişim denetim ayarları iletişim kutusunu açmak için Gelişmiş ' i tıklatın.
-
Sahibi sekmesini tıklatın, Alt kapsayıcıların ve nesnelerin sahibi değiştir onay kutusunu tıklatıp seçin ve sonra Uygula' yı tıklatın. Aşağıdaki hata iletisini alırsanız, devam' ı tıklatın:
%Systemdrive%\Pagefile.sys için güvenlik bilgileri uygulanırken bir hata oluştu
-
Aşağıdaki hata iletisini alırsanız, Evet' i tıklatın:
Dizin %systemdrive%\System Volume Information - içeriğini okuma izniniz yok dizin izin değiştirmek istiyor musunuz - tüm izinleri Tam Denetim izni verme değiştirilecektir.
-
İletişim kutusunu kapatmak için Tamam ' ı tıklatın.
-
Ekle'ye tıklayın.
-
Aşağıdaki kullanıcılar ekleyebilir ve daha sonra bunları tam denetim NTFS izni verin:
-
Yönetici
-
Sistem
-
Oluşturan sahip
-
-
Bu NTFS izinleri ekledikten sonra Gelişmiş' i tıklatın, tüm alt nesnelerin izinlerini Sıfırla ve devralınabilen izinlerin dağıtılmasını etkinleştir onay kutusunu tıklatıp seçin ve sonra Uygula' yı tıklatın.
-
Aşağıdaki hata iletisini alırsanız, devam' ı tıklatın:
%Systemdrive%\Pagefile.sys için güvenlik bilgileri uygulanırken bir hata oluştu
-
NTFS izinleri sıfırladıktan sonra Tamam' ı tıklatın.
-
Everyone grubu tıklatın, Kaldır' ı tıklatın ve sonra Tamam' ı tıklatın.
-
%Systemdrive%\Program Files\Common Files klasörünün özelliklerini açın ve sonra da Anonim erişim için kullanılan hesabı ekleme Güvenlik sekmesini tıklatın. Varsayılan değer olarak IUSR_ < makineadı > hesap budur. Daha sonra kullanıcılar grubuna ekleyin. Yalnızca aşağıda seçili olduğundan emin olun:
-
Okuma ve yürütme
-
Klasör içeriğini listele
-
Okuma
-
-
Web içerik tutan kök dizini için Özellikleri'ni açın. Varsayılan olarak, bu %systemdrive%\Inetpub\Wwwroot klasörüdür. Güvenlik sekmesini tıklatın, IUSR_ < makineadı > hesabı ve Users grubuna eklemeniz ve ardından yalnızca aşağıda seçili olduğundan emin olun:
-
Okuma ve yürütme
-
Klasör içeriğini listele
-
Okuma
-
-
Inetpub\FTProot yazma NTFS izinlerini veya FTP sitesi veya siteler için dizin yolunu vermek istiyorsanız, 15 arasındaki adımları yineleyin. Not: FTP hizmetinin kullandığı kullanılan dizinler dahil olmak üzere herhangi bir dizin içinde anonim hesap için NTFS yazma izinleri vermek önermiyoruz. Bu, Web sunucunuz için karşıya yüklenecek gereksiz verileri neden olabilir.
Kalıtıma sistem dizinleri devre dışı bırakma
Bunu yapmak için şu adımları izleyin:
-
%Systemroot%\System32 klasöründe, aşağıdakiler dışında tüm klasörleri seçin:
-
Inetsrv
-
Certsrv (varsa)
-
COM
-
-
Kalan klasörleri sağ tıklatın, Özellikler' i tıklatın ve sonra Güvenlik sekmesini tıklatın.
-
Devralınabilir izinlerin izin ver onay kutusunu temizleyin, Kopyala' yı tıklatın ve Tamam' ı tıklatın.
-
% Systemroot % klasöründe, aşağıdakiler dışında tüm klasörleri seçin:
-
Derleme (varsa)
-
Karşıdan yüklenen Program dosyaları
-
Yardım
-
Microsoft.NET (varsa)
-
Çevrimdışı Web sayfaları
-
System32
-
Görevleri
-
Temp
-
Web
-
-
Kalan klasörleri sağ tıklatın, Özellikler' i tıklatın ve sonra Güvenlik sekmesini tıklatın.
-
Devralınabilir izinlerin izin ver onay kutusunu temizleyin, Kopyala' yı tıklatın ve Tamam' ı tıklatın.
-
Aşağıdaki izinleri uygula:
-
% Systemroot % klasörü özelliklerini açmak, Güvenlik sekmesini tıklatın, IUSR_ < makineadı > ve < makineadı > IWAM_ hesapları ve Users grubuna ekleyin ve sonra yalnızca aşağıdaki olduğundan emin olun Seçilen:
-
Okuma ve yürütme
-
Klasör içeriğini listele
-
Okuma
-
-
Özelliklerini %systemroot%\Temp klasörünü açın (Winnt klasöründen devraldığı için bu hesabı zaten var) IUSR_ < makineadı > hesabı seçin ve sonra Değiştir onay kutusunu seçmek için tıklatın. IWAM_ < makineadı > hesabı için bu adımları yineleyin ve Users grubu.
-
FrontPage sunucu uzantısı istemcileri gibi FrontPage veya Microsoft Visual InterDev kullanıldığından, %systemdrive%\Inetpub\Wwwroot klasörün özelliklerini açın, Authenticated Users grubunu seçin, aşağıdakileri seçin ve Tamam'ı tıklatın, :
-
Değiştirme
-
Okuma ve yürütme
-
Klasör içeriğini listele
-
Okuma
-
Yazma
-
-
NTFS izinleri
Aşağıdaki tabloda, "Sistem dizinleri devre dışı bırakma kalıtıma" bölümündeki adımları izlediğinizde, uygulanacak izinleri listeler. Bu tablo yalnızca başvuru amacıyla kullanılır. Aşağıdaki tabloda izinleri uygulamak için şu adımları izleyin:
-
Windows Gezgini'ni açın. Bunu yapmak için Başlat' ı tıklatın, Programlar' ı tıklatın, Donatılar' ı tıklatın ve sonra Windows Explorer' ı tıklatın.
-
Bilgisayarım' ı genişletin.
-
% Systemroot %sağ tıklatın ve sonra Özellikler' i tıklatın.
-
Güvenlik sekmesini tıklatın ve sonra Gelişmiş' i tıklatın.
-
İzinçift tıklatın ve ardından Uygula listeden uygun ayarı seçin.
Not: "Uygulamak için" sütunu, terim varsayılan "Bu klasör, alt klasörler ve dosyalar için." anlamına gelir.
|
Dizin |
Users\Groups |
İzinler |
Uygula |
|---|---|---|---|
|
%systemroot%\ (c:\winnt) |
Yönetici |
Tam Denetim |
Varsayılan |
|
Sistem |
Tam Denetim |
Varsayılan |
|
|
Kullanıcılar |
Okuma, yürütmek |
Varsayılan |
|
|
%systemroot%\system32 |
Yöneticiler |
Tam Denetim |
Varsayılan |
|
Sistem |
Tam Denetim |
Varsayılan |
|
|
Kullanıcılar |
Okuma, yürütmek |
Varsayılan |
|
|
%systemroot%\system32\inetsrv |
Yöneticiler |
Tam Denetim |
Varsayılan |
|
Sistem |
Tam Denetim |
Varsayılan |
|
|
Kullanıcılar |
Okuma, yürütmek |
Varsayılan |
|
|
Inetpub\adminscripts |
Yöneticiler |
Tam Denetim |
Varsayılan |
|
Inetpub\urlscan (varsa) |
Yöneticiler |
Tam Denetim |
Varsayılan |
|
Sistem |
Tam Denetim |
Varsayılan |
|
|
%systemroot%\system32\inetsrv\metaback |
Yöneticiler |
Tam Denetim |
Varsayılan |
|
Sistem |
Tam Denetim |
Varsayılan |
|
|
%systemroot%\help\iishelp\common |
Yöneticiler |
Tam Denetim |
Bu klasör ve dosyalar |
|
Sistem |
Tam Denetim |
Bu klasör ve dosyalar |
|
|
IWAM_<Machinename> |
Okuma, yürütmek |
Bu klasör ve dosyalar |
|
|
Ağ |
Tam Denetim |
Bu klasör ve dosyalar |
|
|
Hizmet |
Bu klasör ve dosyalar |
||
|
Kullanıcılar |
Okuma, yürütmek |
Bu klasör ve dosyalar |
|
|
Inetpub\Wwwroot (ya da içerik dizinleri) |
Yöneticiler |
Tam Denetim |
Bu klasör ve dosyalar |
|
Sistem |
Tam Denetim |
Bu klasör ve dosyalar |
|
|
IWAM_<MachineName> |
Okuma, yürütmek |
Bu klasör ve dosyalar |
|
|
Hizmet |
Okuma, yürütmek |
Bu klasör ve dosyalar |
|
|
Ağ |
Okuma, yürütmek |
Bu klasör ve dosyalar |
|
|
Optional**: |
Kullanıcılar |
Okuma, yürütmek |
Bu klasör ve dosyalar |
Not: FrontPage Server Extensions'ı kullanıyorsanız Authenticated Users veya Users grubunun oluşturmak için yeniden adlandırmak için yazmaya veya Geliştirici bir FrontPage-istemci türü, aşağıdaki gibi olması gerekebilir işlevselliği sağlamak için değişiklik NTFS izni olmalıdır Visual InterDev 6.0 veya FrontPage 2002.
Kayıt defteri izinleri
-
Başlat' ı tıklatın, Çalıştır' ı tıklatın, regedt32yazın ve Tamam' ı tıklatın. Kayıt Defteri Düzenleyicisi'ni, Windows 2000'de izinleri değiştirmenize izin vermemesi nedeniyle kullanmayın.
-
Kayıt Defteri Düzenleyicisi'nde bulun ve HKEY_LOCAL_MACHINEseçin.
-
Sistem' i genişletin, CurrentControlSetgenişletin ve sonra da Services' ı genişletin.
-
IISADMIN anahtarı seçin, Güvenlik ' i tıklatın (veya ALT + S tuşlarına basın) ve sonra seçin İzinler (veya P tuşuna basın).
-
Devralınabilir izinlerin üstten bu nesneye geçirilmesine izin ver onay kutusunu temizleyin, Kopyala' yı tıklatın ve sonra tüm kullanıcılar dışındakaldırmak için tıklatın:
-
Yöneticiler (okuma ve tam denetim izin ver)
-
Sistem (okuma ve tam denetim izin ver)
-
-
Tamam'a tıklayın.
-
MSFTPSVC anahtarının arasındaki adımları yineleyin.
-
W3SVC anahtarının seçin, Güvenlik' i tıklatın ve ardından izinler' i tıklatın.
-
Devralınabilir izinlerin üstten bu nesneye geçirilmesine izin ver onay kutusunu temizlemek için tıklatın ve sonra tüm girdileri dışındakikaldırın:
-
Yöneticiler (okuma ve tam denetim izin ver)
-
Sistem (okuma ve tam denetim izin ver)
-
Ağ (okuma)
-
Hizmet (okuma)
-
IWAM_ < makineadı > (okuma)
-
-
Tamam'a tıklayın.
Kayıt defteri
Aşağıdaki tabloda yer alan "Kayıt defteri izinleri verin" bölümündeki adımları izlediğinizde, uygulanacak izinleri listeler. Bu tablo yalnızca başvuru amacıyla kullanılır. Not: Kısaltması için HKEY_LOCAL_MACHINE HKLM anlamına gelir.
|
Konum |
Users\Groups |
İzinler |
|---|---|---|
|
HKLM\System\CurrentControlSet\Services\IISAdmin |
Yöneticiler |
Tam Denetim |
|
Sistem |
Tam Denetim |
|
|
HKLM\System\CurrentControlSet\Services\MsFtpSvc |
Yöneticiler |
Tam Denetim |
|
Sistem |
Tam Denetim |
|
|
HKLM\System\CurrentControlSet\Services\w3svc |
Yöneticiler |
Tam Denetim |
|
Sistem |
Tam Denetim |
|
|
IWAM_<MachineName> |
Okuma |
Yerel Güvenlik İlkesi hakları verme
-
Başlat' ı tıklatın, Ayarlar' ı tıklatın ve sonra Denetim Masası' nı tıklatın.
-
Yönetimsel Araçlar' ı çift tıklatın ve ardından Yerel Güvenlik İlkesi' ni çift tıklatın.
-
Yerel güvenlik ayarları iletişim kutusunda, Yerel ilkeler' i genişletin ve Kullanıcı hakları ataması' nı tıklatın.
-
Uygun ilke değiştirin:
-
İlkeyi çift tıklatın.
-
Seçin ve olan herhangi bir kullanıcı için Kaldır ' ı tıklatın tabloda listelenmeyen .
-
Listede olmayan herhangi bir kullanıcı ekleyin. Bunu yapmak için tıklatın Ekleve kullanıcıları veya Grupları Seç iletişim kutusunda bir kullanıcı seçin.
-
Bir etki alanı denetleyicisi ilkesi yerel ilke geçersiz kıldığından, Etkin ilke ayarıYerel ilke ayarıeşleştiğinden emin olun gerekir olduğunu unutmayın.
İlkeleri
Aşağıdaki tabloda, "Yerel Güvenlik İlkesi hakları verme" bölümündeki adımları izlediğinizde, uygulanacak izinleri listeler.
|
İlke |
Kullanıcılar |
|---|---|
|
Yerel olarak oturum açma |
Yöneticiler |
|
IUSR_ < makineadı > (anonim) |
|
|
Kullanıcılar (kimlik doğrulama gerekli) |
|
|
Bu bilgisayara ağdan eriş |
Yöneticiler |
|
ASPNet (.NET Framework) |
|
|
IUSR_ < makineadı > (anonim) |
|
|
IWAM_<MachineName> |
|
|
Kullanıcılar |
|
|
Toplu iş olarak oturum aç |
ASPNet |
|
Ağ |
|
|
IUSR_<MachineName> |
|
|
IWAM_<MachineName> |
|
|
Hizmet |
|
|
Hizmet olarak oturum açma |
ASPNet |
|
Ağ |
|
|
Çapraz geçiş denetimini atla |
Yöneticiler |
|
IUSR_ < makineadı > (anonim) |
|
|
Kullanıcılar (temel, Özet, tümleşik) |
|
|
IWAM_<MachineName> |
Başvurular
Windows 2000 için NTFS izinlerini varsayılan geri yükleme hakkında daha fazla bilgi için Microsoft Bilgi Bankası'ndaki makaleleri görüntülemek üzere aşağıdaki makale numaralarını tıklatın:
266118 Windows 2000 varsayılan NTFS izinlerini geri yükleme
260985 CDONTS kullanmak için gerekli minimum NTFS izinleri
324068 belirli nesneler için IIS izinlerini ayarlama hakkında
815153 ASP.NET uygulamalarının güvenliği için NTFS dosya izinlerini yapılandırma hakkında IIS 6.0 için gerekli izinler hakkında daha fazla bilgi için Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
812614 varsayılan izinler ve kullanıcı hakları için IIS 6.0
Ek Bilgi
Bu makalede, aşağıdaki sunucu rollerine ya da uygulamalara özel güvenlik gereksinimlerini herhangi birini gidermez:
-
Windows 2000 etki alanı denetleyicisi
-
Microsoft Exchange 5.5 veya Microsoft Exchange 2000 Outlook Web erişimi
-
Microsoft Small Business Server 2000
-
Microsoft SharePoint Portal veya Team Services
-
Microsoft Commerce Server 2000 veya Microsoft Commerce Server 2002
-
Microsoft BizTalk Server 2000 veya Microsoft BizTalk Server 2002
-
Microsoft Content Management Server 2000 veya Microsoft Content Management Server 2002
-
Microsoft Application Center 2000
-
Ek izinlere bağlıdır üçüncü taraf uygulamalar
