Làm thế nào để thiết lập quyền NTFS tối thiểu và quyền của người dùng cho IIS 5.x hoặc IIS 6.0

Giới hạn cho bài viết này

Cảnh báo Bài viết này chỉ có hiệu lực dành riêng cho các máy chủ Web sử dụng chức năng IIS cơ bản, chẳng hạn như phục vụ nội dung HTML tĩnh nội dung hoặc đơn giản hoạt động máy chủ (ASP). Yêu cầu quyền được mô tả trong bài viết này là chỉ cụ thể cho các quyền cơ bản dành cho máy chủ Web chuyên dụng đang chạy IIS 5. x hoặc IIS 6.0. Bài viết này không coi Microsoft và sản phẩm của bên thứ ba khác có thể yêu cầu quyền khác. Bạn có thể xem tài liệu máy chủ và ứng dụng cho yêu cầu bảo mật cụ thể. Chúng tôi khuyên bạn xem các bài viết có liên quan dành cho vai trò máy chủ Web.

Kiểm tra các bước sau trước khi cấu hình quyền trong môi trường sản xuất

Trước khi bạn thực hiện thay đổi quyền trên máy chủ Web sản xuất, chúng tôi khuyên bạn thực hiện các bước sau:

Chạy Phiên bản mới nhất của công cụ khoá IIS. Chương trình và dịch vụ sau đã được cài đặt như một phần của bộ kiểm tra được sử dụng để kiểm tra bảo mật máy chủ sau khi cấp quyền nêu trong bài viết này:
- Dịch vụ chỉ mục
- Dịch vụ đầu cuối
- Trình gỡ lỗi Script
- IIS
  - Tập tin phổ biến
  - Tài liệu
  - Phần mở rộng FrontPage Server 2000
  - Trình quản lý Dịch vụ Internet (HTML)
  - WWW
  - FTP
Thực hiện kiểm tra chức năng sau:
- Tài liệu siêu văn bản (HTML)
- Active Server Pages (ASP)
- Mở rộng máy chủ FrontPage, chẳng hạn như kết nối, chỉnh sửa và lưu, nếu FPSE được kích hoạt khi bạn sử dụng công cụ khoá
- Các lớp cổng bảo mật (SSL) kết nối

Cấp quyền sở hữu và quyền quản trị viên và hệ thống

Để thực hiện việc này, hãy làm theo các bước sau:

Mở Windows Explorer. Để thực hiện việc này, bấm bắt đầu, bấm chương trình, và sau đó nhấp vào Windows Explorer.
Mở rộng máy tính của tôi.
Bấm chuột phải vào ổ đĩa hệ thống (này thường là ổ C), và sau đó bấm thuộc tính.
Nhấp vào tab bảo mật , và sau đó nhấp vào Advanced để mở hộp thoại Thiết đặt kiểm soát truy cập cho đĩa cục bộ .
Nhấp vào tab chủ sở hữu , bấm để chọn hộp kiểm Thay thế chủ chứa con và đối tượng và sau đó bấm vào áp dụng. Nếu bạn nhận được thông báo lỗi, bấm vào tiếp tục:

Lỗi áp dụng thông tin bảo mật %systemdrive%\Pagefile.sys
Nếu bạn nhận được thông báo lỗi sau, bấm có:

Bạn không có quyền đọc nội dung của thư mục %systemdrive%\System tập tin - bạn có muốn thay thế quyền thư mục - tất cả quyền sẽ được thay thế cho phép bạn kiểm soát hoàn toàn
Bấm OK để đóng hộp thoại.
Bấm vào Thêm.
Thêm người dùng sau, và sau đó cấp cho họ quyền NTFS kiểm soát hoàn toàn:
- Quản trị viên
- Hệ thống
- Chủ sở hữu tác giả
Sau khi bạn đã thêm các quyền NTFS, bấm nâng cao, bấm để chọn hộp kiểm tra lại quyền trên tất cả các đối tượng con và cho phép truyền những quyền và sau đó bấm vào áp dụng.
Nếu bạn nhận được thông báo lỗi, bấm vào tiếp tục:

Lỗi áp dụng thông tin bảo mật %systemdrive%\Pagefile.sys
Sau khi bạn đã đặt lại quyền NTFS, bấm OK.
Nhấp vào tất cả nhóm, bấm loại bỏvà sau đó bấm OK.
Mở thuộc tính %systemdrive%\Program Files\Common tệp thư mục, và sau đó nhấp vào tab bảo mật thêm tài khoản được sử dụng để truy nhập vô danh. Theo mặc định, điều khoản IUSR_ < MachineName >. Sau đó, thêm vào nhóm người dùng. Đảm bảo rằng chỉ sau được chọn:
- Đọc và Thực hiện
- Nội dung Thư mục Danh sách
- Đọc
Mở các thuộc tính thư mục gốc chứa nội dung Web của bạn. Theo mặc định, đây là thư mục %systemdrive%\Inetpub\Wwwroot. Nhấp vào tab bảo mật , thêm tài khoản IUSR_ < MachineName > và nhóm người dùng và sau đó đảm bảo rằng chỉ sau được chọn:
- Đọc và Thực hiện
- Nội dung Thư mục Danh sách
- Đọc
Nếu bạn muốn cấp quyền ghi NTFS cho Inetpub\FTProot hoặc đường dẫn thư mục trang FTP hoặc trang web của bạn, hãy lặp lại bước 15. Lưu ý Chúng tôi khuyến nghị bạn cấp quyền NTFS ghi vào tài khoản vô danh trong bất kỳ thư mục, bao gồm các thư mục được sử dụng bằng cách sử dụng dịch vụ FTP. Điều này có thể gây ra các dữ liệu được tải lên máy chủ Web.

Vô hiệu hoá kế thừa trong thư mục hệ thống

Để thực hiện việc này, hãy làm theo các bước sau:

Trong thư mục %systemroot%\System32, chọn tất cả các cặp trừ sau:
- Inetsrv
- Certsrv (nếu có)
- COM
Bấm chuột phải vào thư mục còn lại, bấm thuộc tính, và sau đó nhấp vào tab bảo mật .
Bấm để bỏ chọn hộp kiểm cho phép quyền thừa kế , bấm sao chép, và sau đó bấm OK.
Trong thư mục % systemroot %, chọn tất cả các cặp trừ sau:
- Chi tiết (nếu có)
- Tệp chương trình đã tải xuống
- Trợ giúp
- Microsoft.NET (nếu có)
- Trang Web gián tuyến
- System32
- Tác vụ
- Tạm thời
- Web
Bấm chuột phải vào thư mục còn lại, bấm thuộc tính, và sau đó nhấp vào tab bảo mật .
Bấm để bỏ chọn hộp kiểm cho phép quyền thừa kế , bấm sao chép, và sau đó bấm OK.
Áp dụng quyền sau:
1. Mở các thuộc tính thư mục % systemroot %, bấm vào tab bảo mật , thêm tài khoản IUSR_ < MachineName >IWAM_ < MachineName > và nhóm người dùng và sau đó đảm bảo rằng chỉ sau chọn:
  - Đọc và Thực hiện
  - Nội dung Thư mục Danh sách
  - Đọc
2. Mở thuộc tính cho cặp %systemroot%\Temp, chọn tài khoản IUSR_ < MachineName > (tài khoản này có được do thừa kế từ cặp Winnt) và sau đó bấm để chọn hộp sửa đổi . Lặp lại bước này cho tài khoản IWAM_ < MachineName > và Nhóm người dùng .
3. Nếu khách hàng mở rộng FrontPage Server như FrontPage hoặc Microsoft Visual InterDev đang được sử dụng, mở thuộc tính cho cặp %systemdrive%\Inetpub\Wwwroot, chọn Nhóm Xác thực người dùng , chọn sau rồi sau đó bấm OK :
  - Sửa đổi
  - Đọc và Thực hiện
  - Nội dung Thư mục Danh sách
  - Đọc
  - Ghi

Quyền NTFS

Bảng sau liệt kê các quyền sẽ được áp dụng khi bạn làm theo các bước trong phần "Vô hiệu hoá kế thừa trong thư mục hệ thống". Bảng này là chỉ để tham khảo. Để áp dụng cho phép trong bảng sau, làm theo các bước sau:

Mở Windows Explorer. Để thực hiện việc này, bấm bắt đầu, bấm vào chương trình, bấm Tiện ích, và sau đó bấm Windows Explorer.
Mở rộng máy tính của tôi.
Bấm chuột phải vào % systemroot %và sau đó bấm thuộc tính.
Nhấp vào tab bảo mật , và sau đó nhấp vào nâng cao.
Bấm đúp vào quyền, và sau đó chọn thiết đặt phù hợp Áp dụng vào danh sách.

Lưu ý Trong phần "áp dụng cho" cột, hạn mặc định là "Này cặp, cặp con và tệp."

Thư mục	Users\Groups	Quyền	Áp dụng cho
%systemroot%\ (c:\winnt)	Quản trị viên	Kiểm soát hoàn toàn	Mặc định
	Hệ thống	Kiểm soát hoàn toàn	Mặc định
	Người dùng	Đọc, thực hiện	Mặc định
%systemroot%\system32	Quản trị viên	Kiểm soát hoàn toàn	Mặc định
	Hệ thống	Kiểm soát hoàn toàn	Mặc định
	Người dùng	Đọc, thực hiện	Mặc định
%systemroot%\system32\inetsrv	Quản trị viên	Kiểm soát hoàn toàn	Mặc định
	Hệ thống	Kiểm soát hoàn toàn	Mặc định
	Người dùng	Đọc, thực hiện	Mặc định
Inetpub\adminscripts	Quản trị viên	Kiểm soát hoàn toàn	Mặc định
Inetpub\urlscan (nếu có)	Quản trị viên	Kiểm soát hoàn toàn	Mặc định
	Hệ thống	Kiểm soát hoàn toàn	Mặc định
%systemroot%\system32\inetsrv\metaback	Quản trị viên	Kiểm soát hoàn toàn	Mặc định
	Hệ thống	Kiểm soát hoàn toàn	Mặc định
%systemroot%\help\iishelp\common	Quản trị viên	Kiểm soát hoàn toàn	Cặp và tệp này
	Hệ thống	Kiểm soát hoàn toàn	Cặp và tệp này
	IWAM_<Machinename>	Đọc, thực hiện	Cặp và tệp này
	Mạng	Kiểm soát hoàn toàn	Cặp và tệp này
	Dịch vụ		Cặp và tệp này
	Người dùng	Đọc, thực hiện	Cặp và tệp này
Inetpub\wwwroot (hoặc nội dung thư mục)	Quản trị viên	Kiểm soát hoàn toàn	Cặp và tệp này
	Hệ thống	Kiểm soát hoàn toàn	Cặp và tệp này
	IWAM_<MachineName>	Đọc, thực hiện	Cặp và tệp này
	Dịch vụ	Đọc, thực hiện	Cặp và tệp này
	Mạng	Đọc, thực hiện	Cặp và tệp này
Optional**:	Người dùng	Đọc, thực hiện	Cặp và tệp này

Lưu ý Nếu bạn đang sử dụng phần mở rộng FrontPage Server, xác thực người dùng hoặc nhóm người dùng phải có quyền thay đổi NTFS để tạo, đổi tên, ghi hoặc cung cấp chức năng người phát triển có thể phải có dạng FrontPage của khách hàng, chẳng hạn như Hình ảnh InterDev 6.0 hoặc FrontPage 2002.

Cấp quyền truy cập vào sổ đăng ký

Bấm vào Bắt đầu, bấm chạy, nhập regedt32, và sau đó bấm OK. Không sử dụng Registry Editor vì nó cho phép bạn thay đổi quyền trong Windows 2000.
Trong Registry Editor, định vị và chọn HKEY_LOCAL_MACHINE.
Mở rộng hệ thống, mở rộng CurrentControlSet, và sau đó mở rộng dịch vụ.
Chọn phím IISADMIN , nhấp vào Security (hoặc nhấn ALT + S), và sau đó chọn Quyền (hoặc nhấn P).
Bấm để bỏ chọn hộp kiểm cho phép quyền thừa kế từ cha mẹ truyền cho đối tượng này , bấm sao chép, và sau đó xoá tất cả người dùng ngoại trừ:
- Quản trị viên (cho phép đọc và kiểm soát hoàn toàn)
- Hệ thống (cho phép đọc và kiểm soát hoàn toàn)
Bấm OK.
Lặp lại các bước cho chính MSFTPSVC .
Chọn phím W3SVC , bấm bảo mật, và sau đó bấm cho phép.
Bấm để bỏ chọn hộp kiểm cho phép quyền thừa kế từ cha mẹ truyền cho đối tượng này , và sau đó xoá tất cả các mục trừ:
- Quản trị viên (cho phép đọc và kiểm soát hoàn toàn)
- Hệ thống (cho phép đọc và kiểm soát hoàn toàn)
- Mạng (đọc)
- Dịch vụ (đọc)
- IWAM_ < MachineName > (đọc)
Bấm OK.

Đăng ký

Bảng sau liệt kê các quyền sẽ được áp dụng khi bạn làm theo các bước trong phần "Cấp phép trong sổ đăng ký". Bảng này là chỉ để tham khảo. Lưu ý Viết tắt HKLM là HKEY_LOCAL_MACHINE.

Vị trí	Users\Groups	Quyền
HKLM\System\CurrentControlSet\Services\IISAdmin	Quản trị viên	Kiểm soát hoàn toàn
	Hệ thống	Kiểm soát hoàn toàn
HKLM\System\CurrentControlSet\Services\MsFtpSvc	Quản trị viên	Kiểm soát hoàn toàn
	Hệ thống	Kiểm soát hoàn toàn
HKLM\System\CurrentControlSet\Services\w3svc	Quản trị viên	Kiểm soát hoàn toàn
	Hệ thống	Kiểm soát hoàn toàn
	IWAM_<MachineName>	Đọc

Cấp quyền trong chính sách bảo mật cục bộ

Bấm bắt đầu, bấm cài đặt, và sau đó nhấp vào Bảng điều khiển.
Bấm đúp vào Công cụ quản trị, và sau đó bấm đúp vào Chính sách bảo mật cục bộ.
Trong hộp thoại Thiết đặt bảo mật cục bộ , mở rộng Chính sách cục bộ, và sau đó bấm Gán quyền người dùng.
Thay đổi chính sách phù hợp:
1. Bấm đúp vào chính sách.
2. Chọn và sau đó bấm loại bỏ cho bất kỳ người dùng không được liệt kê trong bảng.
3. Thêm bất kỳ người không được liệt kê. Để thực hiện việc này, hãy nhấp vào Thêmvà sau đó chọn người dùng trong hộp thoại chọn người dùng hoặc nhóm .

Lưu ý rằng do chính sách kiểm soát miền ghi đè chính sách cục bộ, bạn phải đảm bảo rằng Thiết đặt chính sách hiệu quả phù hợp với Thiết đặt chính sách cục bộ.

Chính sách

Bảng sau liệt kê các quyền sẽ được áp dụng khi bạn làm theo các bước trong phần "Cấp quyền trong chính sách bảo mật cục bộ".

Chính sách	Người dùng
Đăng nhập cục bộ	Quản trị viên
	IUSR_ < MachineName > (vô danh)
	Người dùng (yêu cầu xác thực)
Truy cập vào máy tính này từ mạng	Quản trị viên
	Aspnet sẽ (.NET Framework)
	IUSR_ < MachineName > (vô danh)
	IWAM_<MachineName>
	Người dùng
Đăng nhập với một công việc hàng loạt	Aspnet sẽ
	Mạng
	IUSR_<MachineName>
	IWAM_<MachineName>
	Dịch vụ
Đăng nhập như một dịch vụ	Aspnet sẽ
	Mạng
Bỏ qua đi qua kiểm tra	Quản trị viên
	IUSR_ < MachineName > (vô danh)
	Người dùng (cơ bản, tích hợp, phân loại)
	IWAM_<MachineName>

Tham khảo

Để biết thêm thông tin về cách khôi phục quyền NTFS mặc định cho Windows 2000, bấm vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:

266118 làm thế nào để khôi phục quyền NTFS mặc định cho Windows 2000

260985 quyền NTFS tối thiểu phải sử dụng CDONTS

324068 làm thế nào để đặt IIS quyền cụ thể đối tượng

815153 làm thế nào để cấu hình quyền tệp NTFS cho bảo mật của ứng dụng ASP.NET Để biết thêm thông tin về các quyền cần thiết cho IIS 6.0, hãy bấm vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:

812614 Các quyền mặc định và quyền của người dùng cho IIS 6.0

Thông tin Bổ sung

Bài viết này không giải quyết bất kỳ yêu cầu bảo mật cụ thể của ứng dụng hoặc vai trò máy chủ sau:

Kiểm soát miền Windows 2000
Microsoft Exchange 5.5 hoặc Microsoft Exchange 2000 Outlook Web Access
Microsoft Small Business Server 2000
Microsoft SharePoint Portal hoặc nhóm dịch vụ
Microsoft Commerce Server 2000 hoặc máy chủ Microsoft 2002
Microsoft BizTalk Server 2000 hoặc Microsoft BizTalk Server 2002
Quản lý nội dung của Microsoft Server 2000 hoặc máy chủ quản lý nội dung của Microsoft 2002
Microsoft ứng dụng trung tâm 2000
Các ứng dụng của bên thứ ba phụ thuộc vào các điều khoản bổ sung