У цій статті описується вибір мінімальний набір дозволів, необхідний для виділеного інформаційних служб Інтернету (IIS) 5.0, IIS 5.1 або IIS 6.0 веб-сервера.
У цій статті, для обмеження
Увага! Ця стаття дійсна тільки виділений веб-серверів, що використання основних функцій служби IIS, наприклад, де HTML статичного вмісту або просто Active Server Pages (ASP) вмісту. Вимоги дозволу, описані в цій статті, які стосуються конкретних лише основні дозволи на доступ до спеціальний веб-сервер під керуванням служб IIS 5. x або IIS 6.0. У цій статті, не розглядає інші корпорації Майкрософт і сторонніх виробників , які можуть викликати, інші дозволи. Сервер і застосування документації безпеки вимог, можна переглянути. Рекомендується Переглянути пов'язані статті , специфічні для ролі веб-сервера.
Перевірка дії, перш ніж конфігурації дозволів у середовищі виробництва
Перш ніж вносити зміни у виробництві веб-сервера, ми рекомендуємо, виконання таких дій:
-
Запустіть найновішу версію засобу блокування IIS. До таких програм і служб, інстальовані входить до складу пакету тест, який використовувався для перевірки безпеки сервера після надання дозволів, описана в цій статті:
-
Індекс служби
-
Служби терміналів
-
Налагоджувач сценаріїв
-
СЛУЖБИ IIS
-
Спільні файли
-
Документація
-
До розширення сервера FrontPage 2000
-
Диспетчер служб Інтернету з (HTML)
-
WWW:
-
FTP
-
-
-
Виконати такі функціональні тести.
-
Документи з гіпертексту (HTML)
-
Активні серверні сторінки (ASP)
-
Розширення сервера FrontPage, наприклад, підключення, редагування та збереження, якщо FPSE під час використання засобу блокування
-
Безпечний сокет шарами (SSL) з'єднання
-
Надання права власності та дозволи адміністратора а також до системи
Щоб це зробити, виконайте такі дії:
-
Відкрийте провідник Windows. Для цього натисніть кнопку Пуск, програмиі натисніть кнопку У провіднику Windows.
-
Розгорніть розділ з мого комп'ютера.
-
Клацніть правою кнопкою миші на системному диску (зазвичай це диск C) і натисніть кнопку Властивості.
-
Перейдіть на вкладку Безпека та виберіть Додаткові параметри , щоб відкрити діалогове вікно " Параметри керування доступом для локального диска ".
-
На вкладці власник , установіть прапорець поруч із пунктом Замінити власника Sub контейнерів і об'єктів і натисніть кнопку Застосувати. Якщо з'являється таке повідомлення про помилку, натисніть кнопку " продовжити":
Застосування відомості про безпеку, %systemdrive%\Pagefile.sys сталася помилка
-
Якщо з'являється таке повідомлення про помилку, натисніть кнопку так:
Ви не маєте дозволу на читання вмісту каталогу, %systemdrive%\System Volume Information - ви хочете, щоб замінити дозвіл каталог – усі дозволи будуть замінені надання вам повний доступ
-
Натисніть кнопку "ОК" , щоб закрити діалогове вікно.
-
Натисніть кнопку Додавання.
-
Додати наступні користувачі і потім надавайте повний контроль-NTFS-дозволи:
-
Адміністратор
-
Система
-
Власник-створювач
-
-
Додавши ці дозволи на NTFS, Додатково, установіть прапорець скидання дозволів для всіх дочірніх об'єктів і ввімкнути розповсюдження успадкованих дозволів і натисніть кнопку Застосувати.
-
Якщо з'являється таке повідомлення про помилку, натисніть кнопку " продовжити":
Застосування відомості про безпеку, %systemdrive%\Pagefile.sys сталася помилка
-
Після скидання дозволи NTFS, натисніть кнопку " OK".
-
Усі групи, натисніть кнопку Видалитита натисніть кнопку OK.
-
Відкрийте властивості папки %systemdrive%\Program Files\Common файли і потім на вкладці безпеки додати обліковий запис, який використовується для анонімного доступу. За промовчанням це IUSR_ < MachineName > облікового запису. Додайте до групи користувачів. Переконайтеся, що вибрано лише такі:
-
Читання та виконання
-
Зміст папки
-
Читання
-
-
Відкрийте властивості для кореневого каталогу, який містить веб-вмісту. За промовчанням це папка ' %systemdrive%\Inetpub\Wwwroot. Перейдіть на вкладку Безпека , додайте обліковий запис IUSR_ < MachineName > і до групи користувачів і переконайтеся, що вибрано лише такі:
-
Читання та виконання
-
Зміст папки
-
Читання
-
-
Надання дозволу NTFS, записування Inetpub\FTProot або каталог шлях до FTP-сайт або веб-сайтів, повторіть крок 15. Примітка. Не рекомендовано надати дозволи NTFS, записування анонімного облікового запису в будь-який каталогів, включаючи довідники, які використовуються під час використання служби FTP. Це може викликати, непотрібні дані для надсилання до веб-сервера.
Вимкнути успадкування системної папки
Щоб це зробити, виконайте такі дії:
-
У папці %systemroot%\System32, виділіть всі папки, крім таких:
-
Inetsrv
-
Certsrv (за наявності)
-
COM
-
-
Інших папок, клацніть правою кнопкою миші, виберіть Властивостіта відкрийте вкладку безпеки .
-
Клацніть, щоб зняти прапорець дозволити поширення успадкованих дозволів , клацніть Копіюватита натисніть кнопку OK.
-
У папці % systemroot %, виділіть всі папки, крім таких дій:
-
Складання (за наявності)
-
Файлів
-
Допомога
-
Microsoft.NET (за наявності)
-
Веб-сторінок, що в автономному режимі
-
System32
-
Завдання
-
Temp
-
Web
-
-
Інших папок, клацніть правою кнопкою миші, виберіть Властивостіта відкрийте вкладку безпеки .
-
Клацніть, щоб зняти прапорець дозволити поширення успадкованих дозволів , клацніть Копіюватита натисніть кнопку OK.
-
Дозволи на застосовуються такі:
-
Відкрийте властивості в папці % systemroot %, перейдіть на вкладку Безпека , додавання облікових записів IUSR_ < MachineName > , так і IWAM_ < MachineName > і до групи користувачів і потім перевірте, чи лише такі Вибрані:
-
Читання та виконання
-
Зміст папки
-
Читання
-
-
Відкрийте властивості %systemroot%\Temp папки, виберіть обліковий запис IUSR_ < MachineName > (цей обліковий запис уже існує, оскільки він успадковує від папка Winnt) і встановіть прапорець поруч із пунктом змінити . Повторіть цей крок для IWAM_ < MachineName > облікового запису та Користувачі.
-
Якщо клієнти розширення FrontPage-Server такі, як Microsoft FrontPage або Microsoft Visual InterDev. використовуються, відкрийте властивості папки %systemdrive%\Inetpub\Wwwroot, виберіть групу Автентифіковані користувачі , виберіть нижче і натисніть кнопку OK :
-
Змінення
-
Читання та виконання
-
Зміст папки
-
Читання
-
Записування
-
-
Дозволи NTFS
Наведена нижче таблиця містить, дозволи, які буде застосовано під час виконання дії, описані в розділі "Вимкнути успадкування системної папки". У цій таблиці є лише для довідки. Щоб застосувати дозволи в наведеній нижче таблиці, виконайте такі дії:
-
Відкрийте провідник Windows. Для цього натисніть кнопку Пуск, програми, стандартніта клацніть Провідник Windows.
-
Розгорніть розділ з мого комп'ютера.
-
% Systemroot %, клацніть правою кнопкою миші та виберіть пункт Властивості.
-
Перейдіть на вкладку Безпека та клацніть Додатково.
-
Двічі клацніть на дозвілі виберіть відповідні настройки Застосовуються до списку.
Примітка. У полі "застосовується до", стовпці, термін, який відповідає за замовчуванням "Цю папку, підпапки та файли."
|
Каталог |
Users\Groups |
Дозволи |
Застосувати до |
|---|---|---|---|
|
%systemroot%\ (c:\winnt) |
Адміністратор |
Повний доступ |
За промовчанням |
|
Система |
Повний доступ |
За промовчанням |
|
|
Користувачі |
Читання, виконання |
За промовчанням |
|
|
%systemroot%\system32 |
Адміністратори |
Повний доступ |
За промовчанням |
|
Система |
Повний доступ |
За промовчанням |
|
|
Користувачі |
Читання, виконання |
За промовчанням |
|
|
%systemroot%\system32\inetsrv |
Адміністратори |
Повний доступ |
За промовчанням |
|
Система |
Повний доступ |
За промовчанням |
|
|
Користувачі |
Читання, виконання |
За промовчанням |
|
|
Inetpub\adminscripts |
Адміністратори |
Повний доступ |
За промовчанням |
|
Inetpub\urlscan (за наявності) |
Адміністратори |
Повний доступ |
За промовчанням |
|
Система |
Повний доступ |
За промовчанням |
|
|
%systemroot%\system32\inetsrv\metaback |
Адміністратори |
Повний доступ |
За промовчанням |
|
Система |
Повний доступ |
За промовчанням |
|
|
%systemroot%\help\iishelp\common |
Адміністратори |
Повний доступ |
Це файлів і папок |
|
Система |
Повний доступ |
Це файлів і папок |
|
|
IWAM_<Machinename> |
Читання, виконання |
Це файлів і папок |
|
|
Мережа |
Повний доступ |
Це файлів і папок |
|
|
Служба |
Це файлів і папок |
||
|
Користувачі |
Читання, виконання |
Це файлів і папок |
|
|
Inetpub\wwwroot (або вміст папки) |
Адміністратори |
Повний доступ |
Це файлів і папок |
|
Система |
Повний доступ |
Це файлів і папок |
|
|
IWAM_<MachineName> |
Читання, виконання |
Це файлів і папок |
|
|
Служба |
Читання, виконання |
Це файлів і папок |
|
|
Мережа |
Читання, виконання |
Це файлів і папок |
|
|
Optional**: |
Користувачі |
Читання, виконання |
Це файлів і папок |
Примітка. Якщо використовується розширення сервера FrontPage автентифіковані користувачі або групи "користувачі", потрібно мати дозвіл на зміну NTFS створити, перейменувати, записати або надати функції, розробник, можливо, доведеться мають FrontPage тип клієнта, наприклад Visual InterDev 6.0 або FrontPage 2002.
Надання дозволів на доступ до реєстру.
-
Натисніть кнопку Пуск, натисніть запустити, введіть regedt32та натисніть кнопку OK. Не використовуйте редактора реєстру через те, що дає змогу змінити дозволи, у Windows 2000.
-
У редакторі реєстру, знайдіть і виділіть HKEY_LOCAL_MACHINE.
-
Послідовно розгорніть вузли системи, розгорніть CurrentControlSetта послуги.
-
Виберіть розділ IISADMIN виберіть безпеки (або натисніть сполучення клавіш ALT + S) а потім виберіть Дозволи (або натисніть Р.)
-
Натисніть, щоб зняти прапорець дозволити поширення успадкованих дозволів з батьківського на цей об'єкт , клацніть Копіюватита видаліть усі користувачі за винятком:
-
Адміністратори, які (дозволити, читання та повний доступ)
-
Система (дозволити, читання та повний доступ)
-
-
Клацніть OK.
-
Повторіть кроки, для розділу MSFTPSVC .
-
Виберіть розділ W3SVC , клацніть безпекита клацніть дозволи.
-
Зніміть прапорець поруч із пунктом дозволити поширення успадкованих дозволів з батьківського на цей об'єкт і потім видалити всі записи за винятком:
-
Адміністратори, які (дозволити, читання та повний доступ)
-
Система (дозволити, читання та повний доступ)
-
Мережі (читання)
-
Служба (читання)
-
IWAM_ < MachineName > (читання)
-
-
Клацніть OK.
Реєстр
Наведена нижче таблиця містить, дозволи, які буде застосовано під час виконання дії, описані в розділі "Надання дозволів, у реєстрі". У цій таблиці є лише для довідки. Примітка. Скороченого HKLM позначає HKEY_LOCAL_MACHINE.
|
Розташування |
Users\Groups |
Дозволи |
|---|---|---|
|
HKLM\System\CurrentControlSet\Services\IISAdmin |
Адміністратори |
Повний доступ |
|
Система |
Повний доступ |
|
|
HKLM\System\CurrentControlSet\Services\MsFtpSvc |
Адміністратори |
Повний доступ |
|
Система |
Повний доступ |
|
|
HKLM\System\CurrentControlSet\Services\w3svc |
Адміністратори |
Повний доступ |
|
Система |
Повний доступ |
|
|
IWAM_<MachineName> |
Читання |
Надання права локальної політики безпеки
-
Натисніть кнопку Пуск, пункт " Параметри"і виберіть на Панелі керування.
-
Двічі клацніть пункт Адмініструваннята двічі клацніть Локальної політики безпеки.
-
У діалоговому вікні Локальні настройки безпеки , розгорніть вузол Локальні політикиі клацніть Призначення прав користувачів.
-
Змініть відповідної політики.
-
Двічі клацніть на політику.
-
Виберіть і натисніть кнопку Видалити для будь-який користувач, який не зазначено в таблиці.
-
Додайте будь-який користувач, який не відображається у списку. Для цього натисніть кнопку. Додатиа потім виберіть користувача, у діалоговому вікні вибір користувачів або груп .
-
Зверніть увагу, що через те, що політику контролера домену має перевагу над політикою, необхідно переконатися, Ефективне параметр збігається з Місцевим параметр.
Політики
Наведена нижче таблиця містить, дозволи, які буде застосовано під час виконання дії, описані в розділі "Надання права, локальної політики безпеки".
|
Політика |
Користувачі |
|---|---|
|
Увійдіть на локальному комп'ютері |
Адміністратори |
|
IUSR_ < MachineName > (анонімний) |
|
|
Користувачі (потрібна автентифікація) |
|
|
Доступ до цього комп'ютера в мережі |
Адміністратори |
|
ASPNet (.NET Framework) |
|
|
IUSR_ < MachineName > (анонімний) |
|
|
IWAM_<MachineName> |
|
|
Користувачі |
|
|
Увійдіть як пакетного завдання |
ASPNet |
|
Мережа |
|
|
IUSR_<MachineName> |
|
|
IWAM_<MachineName> |
|
|
Служба |
|
|
Вхід до системи, як служба |
ASPNet |
|
Мережа |
|
|
Обхід, траверс перевірки. |
Адміністратори |
|
IUSR_ < MachineName > (анонімний) |
|
|
Користувачі (базовий рівень, інтегровані, Digest) |
|
|
IWAM_<MachineName> |
Посилання
Щоб отримати додаткові відомості про те, як відновити дозволи NTFS за промовчанням у Windows 2000 клацніть номер статті в базі знань Microsoft Knowledge Base:
Як 266118 відновлення NTFS-дозволи за промовчанням у Windows 2000
Дозволи NTFS на мінімум 260985 , що потрібно використовувати CDONTS
324068 як встановити IIS дозволи для певних об'єктів
815153 , як настроїти дозволи NTFS файл безпеки застосунки ASP.NET Щоб отримати додаткові відомості про необхідні дозволи на доступ для служб IIS 6.0 клацніть номер статті в базі знань Microsoft Knowledge Base:
812614 права користувача для служб IIS 6.0 та дозволи за промовчанням
Додаткові відомості
Ця стаття не стосується виконується одна з вимог безпеки такі серверні ролі, або програм:
-
Контролера домену у Windows 2000
-
Microsoft Exchange 5.5 або Outlook Web Access для Microsoft Exchange 2000
-
Microsoft Small Business Server 2000
-
Microsoft SharePoint Portal або команди служб.
-
Корпорація Майкрософт Commerce Server 2000 або Microsoft Commerce Server, 2002
-
Microsoft-BizTalk Server 2000 або Microsoft BizTalk Server-2002
-
Матеріали Microsoft-Management Server 2000 або матеріали Microsoft-Management Server 2002
-
Центр-2000 корпорація Майкрософт застосунку
-
Застосунки сторонніх виробників, які залежать від додаткові вимоги
