本文說明如何設定所需的專用網際網路資訊服務 (IIS) 5.0、 IIS 5.1 或 IIS 6.0 Web 伺服器的最小權限。
此發行項的限制
警告本文僅會出現在專屬的 Web 伺服器使用基本的 IIS 功能,例如伺服 HTML 靜態內容] 或 [簡單動態伺服器網頁 (ASP) 的內容。本文所述的權限需求是只針對專屬的 Web 伺服器執行 IIS 5 的基本權限項目。x或IIS 6.0。這份文件不會考慮其他的 Microsoft 和協力廠商產品可能會需要不同的權限。您可以檢閱特定安全性需求的伺服器和應用程式文件。我們建議您檢閱相關的文件,都有專用的 Web 伺服器的角色。
在實際執行環境下測試之前的權限設定的步驟
在進行實際執行 Web 伺服器上的權限變更之前,我們建議您下列步驟:
-
執行IIS 鎖定工具的最新版本。下列的程式和服務已安裝做為用來測試之後授與本文所描述的權限的伺服器安全性與測試案例組的一部分:
-
索引服務
-
終端機服務
-
指令碼偵錯工具
-
IIS
-
一般檔案
-
文件
-
FrontPage 伺服器擴充程式 2000
-
網際網路服務管理員 」 (HTML)
-
WWW
-
FTP
-
-
-
執行下列功能測試:
-
超文字文件 (HTML)
-
動態伺服器網頁 (ASP)
-
FrontPage 伺服器擴充程式,例如連接、 編輯和儲存,如果您使用鎖定工具時,已啟用 FPSE
-
安全通訊端層 (SSL) 連線使用。
-
授與擁有權和權限給系統管理員和系統
如果要執行這項操作,請依照下列步驟執行:
-
開啟 [Windows 檔案總管]。若要這樣做,請按一下 [開始],按一下 [程式集],然後按一下 [ Windows 檔案總管] 中。
-
展開 [我的電腦]。
-
系統磁碟機 (通常是 C 磁碟機),以滑鼠右鍵按一下,然後按一下 [內容。
-
按一下 [安全性] 索引標籤,然後按一下 [進階],以開啟 [本機磁碟的存取控制設定] 對話方塊。
-
按一下 [擁有者] 索引標籤,按一下以選取 [取代子容器及物件的擁有者] 核取方塊,然後按一下 [套用。 如果您收到下列錯誤訊息,請按一下 [繼續]:
發生安全性資訊套用到 %systemdrive%\Pagefile.sys 錯誤。
-
如果您收到下列錯誤訊息,請按一下 [是]:
您沒有權限來讀取目錄 %systemdrive%\System 磁碟區資訊-內容是否要取代目錄的使用權限-將取代所有使用權限,授與完全控制
-
按一下 [確定] 關閉對話方塊。
-
按一下 [新增]。
-
加入下列的使用者,並再授與完全控制] NTFS 權限:
-
系統管理員
-
系統
-
建立者擁有者
-
-
加入這些 NTFS 權限之後,按一下 [進階],按一下以選取 [重設所有子項物件上的權限,並使傳播可繼承的權限] 核取方塊,然後按一下套用。
-
如果您收到下列錯誤訊息,請按一下 [繼續]:
發生安全性資訊套用到 %systemdrive%\Pagefile.sys 錯誤。
-
您已重設 NTFS 權限之後,請按一下[確定]。
-
按一下 [所有人] 群組,按一下 [移除],然後按一下[確定]。
-
開啟 %systemdrive%\Program 使用的檔案] 資料夾的內容,然後按一下 [安全性] 索引標籤新增用於匿名存取的帳戶。根據預設,這是 IUSR_ < MachineName > 帳戶。然後,新增使用者] 群組。請確定已選取 [只有下列項目:
-
讀取 & 執行
-
列出資料夾內容
-
讀取
-
-
開啟的內容會保留您的 Web 內容的根目錄。根據預設,這是 [%systemdrive%\Inetpub\Wwwroot] 資料夾。按一下 [安全性] 索引標籤,新增 IUSR_ < MachineName > 帳戶和使用者] 群組中,,然後確定已選取 [只有下列:
-
讀取 & 執行
-
列出資料夾內容
-
讀取
-
-
如果您要授與 Inetpub\FTProot 的撰寫的 NTFS 權限或您的 FTP 站台或網站的目錄路徑,請重複步驟 15。 注意我們不建議您授與匿名帳戶,在任何目錄中,包括使用 FTP 服務使用的目錄的 NTFS 寫入權限。這可能會造成不必要的資料上載至您的 Web 伺服器。
停用系統目錄中的繼承
如果要執行這項操作,請依照下列步驟執行:
-
在 %systemroot%\System32 資料夾中,選取下列之外所有的資料夾:
-
Inetsrv
-
(如果有的話) 的緣故
-
COM
-
-
剩餘的資料夾上按一下滑鼠右鍵,按一下 [內容],然後按一下 [安全性] 索引標籤。
-
按一下以清除 [允許繼承權限] 核取方塊,按一下 [複製],然後按一下[確定]。
-
在 %systemroot%資料夾中,選取 [除了下列之外所有的資料夾:
-
組件 (如果有的話)
-
下載的程式檔
-
說明
-
Microsoft.NET (如果有的話)
-
離線網頁
-
System32
-
工作
-
Temp
-
網址
-
-
剩餘的資料夾上按一下滑鼠右鍵,按一下 [內容],然後按一下 [安全性] 索引標籤。
-
按一下以清除 [允許繼承權限] 核取方塊,按一下 [複製],然後按一下[確定]。
-
套用權限,如下:
-
開啟 %systemroot%資料夾的內容、 按一下 [安全性] 索引標籤、 新增的IUSR_ < MachineName >及IWAM_ < MachineName >帳戶與 [使用者] 群組中,以及確定只有以下是選取此項目:
-
讀取 & 執行
-
列出資料夾內容
-
讀取
-
-
開啟 [%systemroot%\Temp] 資料夾的內容,選取IUSR_ < MachineName >帳戶 (這個帳戶目前已因為它繼承從 Winnt 資料夾) 的情況下,,然後按一下以選取 [修改] 核取方塊。重複此步驟, IWAM_ < MachineName >帳戶, 使用者群組。
-
如果 FrontPage 伺服器擴充功能的用戶端例如 FrontPage 或 Microsoft Visual asp 網頁正在使用中,開啟 [%systemdrive%\Inetpub\Wwwroot] 資料夾的內容,選取已驗證的使用者群組,選取下列,然後按一下[確定]:
-
修改
-
讀取 & 執行
-
列出資料夾內容
-
讀取
-
寫入
-
-
NTFS 權限
下表列出當您依照 < 在系統目錄中的停用繼承=""> 一節的步驟,將會套用的權限。此資料表是僅供參考用途。 若要套用下列表格中的權限,請依照下列步驟執行:
-
開啟 [Windows 檔案總管]。若要這樣做,請按一下 [開始],按一下 [程式集、 按一下 [附屬應用程式,,然後按一下Windows 檔案總管]。
-
展開 [我的電腦]。
-
%,以滑鼠右鍵按一下,然後按一下 [內容。
-
按一下 [安全性] 索引標籤,然後按一下 [進階]。
-
按兩下 [權限,,然後從 [套用在] 清單中選取適當的設定。
注意在 [套用至] 資料行、 預設值是指 「 這個資料夾、 子資料夾及檔案。 」 一詞
目錄 |
Users\Groups |
權限 |
套用至 |
---|---|---|---|
%systemroot%\ (c:\winnt) |
系統管理員 |
完全控制 |
預設值 |
系統 |
完全控制 |
預設值 |
|
使用者 |
讀取、 執行 |
預設值 |
|
%systemroot%\system32 |
系統管理員 |
完全控制 |
預設值 |
系統 |
完全控制 |
預設值 |
|
使用者 |
讀取、 執行 |
預設值 |
|
%systemroot%\system32\inetsrv |
系統管理員 |
完全控制 |
預設值 |
系統 |
完全控制 |
預設值 |
|
使用者 |
讀取、 執行 |
預設值 |
|
Inetpub\adminscripts |
系統管理員 |
完全控制 |
預設值 |
Inetpub\urlscan (如果有的話) |
系統管理員 |
完全控制 |
預設值 |
系統 |
完全控制 |
預設值 |
|
%systemroot%\system32\inetsrv\metaback |
系統管理員 |
完全控制 |
預設值 |
系統 |
完全控制 |
預設值 |
|
%systemroot%\help\iishelp\common |
系統管理員 |
完全控制 |
這個資料夾及檔案 |
系統 |
完全控制 |
這個資料夾及檔案 |
|
IWAM_<Machinename> |
讀取、 執行 |
這個資料夾及檔案 |
|
網路 |
完全控制 |
這個資料夾及檔案 |
|
服務 |
這個資料夾及檔案 |
||
使用者 |
讀取、 執行 |
這個資料夾及檔案 |
|
Inetpub\wwwroot (或內容的目錄) |
系統管理員 |
完全控制 |
這個資料夾及檔案 |
系統 |
完全控制 |
這個資料夾及檔案 |
|
IWAM_<MachineName> |
讀取、 執行 |
這個資料夾及檔案 |
|
服務 |
讀取、 執行 |
這個資料夾及檔案 |
|
網路 |
讀取、 執行 |
這個資料夾及檔案 |
|
Optional**: |
使用者 |
讀取、 執行 |
這個資料夾及檔案 |
注意如果您使用的 FrontPage 伺服器擴充程式,已驗證的使用者或使用者群組必須變更 NTFS 權限來建立、 重新命名、 寫入,或以提供開發人員可能要有從 FrontPage 型別用戶端,例如使用的功能視覺化的 asp 網頁 6.0 或 FrontPage 2002。
在登錄中授與使用權限
-
按一下 [開始],按一下 [執行]、 輸入regedt32,然後按一下[確定]。不要使用登錄編輯程式,因為它不會讓您變更在 Windows 2000 中的權限。
-
在 「 登錄編輯器 」 中,找出並選取作用中計。
-
展開 [系統、 展開CurrentControlSet,然後再展開服務。
-
選取IISADMIN索引鍵、 按一下 [安全性] (或按 ALT + S 鍵),然後選取 權限(或按下 P 鍵)。
-
按一下以清除 [允許從父系傳播到這個物件的繼承權限] 核取方塊,按一下 [複製],然後移除所有使用者除了:
-
系統管理員 (允許讀取] 和 [完全控制)
-
系統 (允許讀取] 和 [完全控制)
-
-
按一下 [確定]。
-
MSFTPSVC機碼重複步驟。
-
選取的W3SVC機碼,按一下 [安全性],然後按一下權限。
-
按一下以清除 [允許從父系傳播到這個物件的繼承權限] 核取方塊,然後移除所有項目除外:
-
系統管理員 (允許讀取] 和 [完全控制)
-
系統 (允許讀取] 和 [完全控制)
-
網路 (讀取)
-
服務 (讀取)
-
IWAM_ < MachineName > (讀取)
-
-
按一下 [確定]。
登錄
下表列出當您依照 < 在登錄中的授與權限=""> 一節的步驟,將會套用的權限。此資料表是僅供參考用途。 注意這個縮寫字 HKLM 代表作用中計。
位置 |
Users\Groups |
權限 |
---|---|---|
HKLM\System\CurrentControlSet\Services\IISAdmin |
系統管理員 |
完全控制 |
系統 |
完全控制 |
|
HKLM\System\CurrentControlSet\Services\MsFtpSvc |
系統管理員 |
完全控制 |
系統 |
完全控制 |
|
HKLM\System\CurrentControlSet\Services\w3svc |
系統管理員 |
完全控制 |
系統 |
完全控制 |
|
IWAM_<MachineName> |
讀取 |
在 [本機安全性原則授與權限
-
按一下 [開始],按一下 [設定],然後按一下 [控制台]。
-
按兩下 [系統管理工具],再連按兩下 [本機安全性原則。
-
在 [本機安全性設定] 對話方塊中,展開 [本機原則],然後按一下 [使用者權限指派。
-
修改適當的原則:
-
連按兩下該原則。
-
選取,然後按一下 [是任何使用者的 [移除未列在表格中。
-
新增未列出任何使用者。若要這樣做,請按一下 新增],然後選取 [選取使用者或群組] 對話方塊中的使用者。
-
請注意,因為網域控制站原則會覆寫本機原則,您必須確定有效的原則設定符合本機原則設定。
原則
下表列出當您依照 「 本機安全性原則中的授與權限 」 一節的步驟,將會套用的權限。
原則 |
使用者 |
---|---|
本機登入 |
系統管理員 |
IUSR_ < MachineName > (匿名) |
|
使用者 (需要驗證) |
|
從網路存取這台電腦 |
系統管理員 |
ASPNet (.NET Framework) |
|
IUSR_ < MachineName > (匿名) |
|
IWAM_<MachineName> |
|
使用者 |
|
以批次工作登入 |
ASPNet |
網路 |
|
IUSR_<MachineName> |
|
IWAM_<MachineName> |
|
服務 |
|
以服務方式登入 |
ASPNet |
網路 |
|
略過周遊檢查 |
系統管理員 |
IUSR_ < MachineName > (匿名) |
|
使用者 (基本,整合,摘要) |
|
IWAM_<MachineName> |
參考
如需有關如何還原預設 Windows 2000 的 NTFS 權限的詳細資訊,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
266118如何還原 Windows 2000 的預設 NTFS 權限
若要使用 CDONTS 所需的260985最小值的 NTFS 權限
324068如何設定特定物件的 IIS 權限
815153如何設定 NTFS 檔案權限的安全性的 ASP.NET 應用程式 如需有關 IIS 6.0 的必要權限的詳細資訊,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
812614預設權限及 IIS 6.0 的使用者權限
其他相關資訊
這份文件不能解決其中一種下列伺服器角色或應用程式的特定安全性需求:
-
Windows 2000 網域控制站
-
Microsoft Exchange 5.5 或 Microsoft Exchange 2000 Outlook Web Access
-
Microsoft 小型商務伺服器 2000
-
Microsoft SharePoint 入口網站或小組服務
-
Microsoft Commerce Server 2000 或 Microsoft Commerce Server 2002
-
Microsoft BizTalk Server 2000年或 Microsoft BizTalk Server 2002
-
Microsoft 內容管理 Server 2000 或 2002年的 Microsoft 內容管理伺服器
-
Microsoft Application Center 2000
-
協力廠商應用程式依存於其他權限