Win 2003中提高FSO的安全性
泉源:http://soft.yesky.com
ASP提供了壮大的文件系统拜访能力,可以对办事器硬盘上的任何文件进行读、写、复制、删除、更名等操作,这给学校网站的宁静带来巨大的要挟。现在很多校园主机都蒙受过FSO木马的扰乱。但是禁用FSO组件后,引起的结果就是所有利用这个组件的ASP程序将无法运转,无法餍足客户的需求。如何既容许FileSystemObject组件,又不影响办事器的宁静性呢(即:差别假造主机用户之间不能利用该组件读写别人的文件)?以下是笔者多年来摸索出来的履历:
第一步是有别于Windows 2000设置的关键:右击C盘,点击“共享与宁静”,在呈现在对话框中选择“宁静”选项卡,将Everyone、Users组删除,删除后要是你的网站连ASP程序都不能运转,请添加IIS_WPG组(图1),偏重启计算机。
颠末如许设计后,FSO木马就曾经不能运转了。要是你要进行更宁静级别的设置,请分别对各个磁盘分区进行如上设置,并为各个站点设置差别匿名拜访用户。下面以实例来介绍(假设你的主机上E盘Abc文件夹下设Abc.com站点):
1. 打开“计算机管理→当地用户和组→用户”,创立Abc用户,并设置暗码,并将“用户下次登录时须变动暗码”前的对号去掉,选中“用户不能变动暗码”和“暗码永不外期”,并把用户设置为从属于Guests组。
2. 右击E:\Abc,选择“属性→宁静”选项卡,此时可以看到该文件夹的默许宁静设置是“Everyone”完全控制(视差别情况表现的内容不完全一样),删除Everyone的完全控制(要是不能删除,请点击[高级]按钮,将“容许父项的继承权限流传”后面的对号去掉,并删除所有),添加Administrators及Abc用户对本网站目录的所有宁静权限。
3. 打开IIS管理器,右击Abc.com主机名,在弹出的菜单中选择“属性→目录宁静性”选项卡,点击身份验证和拜访控制的[编辑],弹出图2所示对话框,匿名拜访用户默许的就是“IUSR_呆板名”,点击[浏览],在“选择用户”对话框中找到后面创立的Abc账户,确定后重复输入暗码。
颠末如许设置,拜访网站的用户就以Abc账户匿名身份拜访E:\Abc文件夹的站点,因为Abc账户只对此文件夹有宁静权限,所以他只能在本文件夹下利用FSO。
常见问题:
如何解除FSO上传程序小于200k限定?
先在办事里关闭IIS admin service办事,找到Windows\System32\Inesrv目录下的Metabase.xml并打开,找到ASPMaxRequestEntityAllowed,将其修正为必要的值。默许为204800,即200K,把它修正为51200000(50M),然后重启IIS admin service办事。
ASP提供了壮大的文件系统拜访能力,可以对办事器硬盘上的任何文件进行读、写、复制、删除、更名等操作,这给学校网站的宁静带来巨大的要挟。现在很多校园主机都蒙受过FSO木马的扰乱。但是禁用FSO组件后,引起的结果就是所有利用这个组件的ASP程序将无法运转,无法餍足客户的需求。如何既容许FileSystemObject组件,又不影响办事器的宁静性呢(即:差别假造主机用户之间不能利用该组件读写别人的文件)?以下是笔者多年来摸索出来的履历:
第一步是有别于Windows 2000设置的关键:右击C盘,点击“共享与宁静”,在呈现在对话框中选择“宁静”选项卡,将Everyone、Users组删除,删除后要是你的网站连ASP程序都不能运转,请添加IIS_WPG组(图1),偏重启计算机。
颠末如许设计后,FSO木马就曾经不能运转了。要是你要进行更宁静级别的设置,请分别对各个磁盘分区进行如上设置,并为各个站点设置差别匿名拜访用户。下面以实例来介绍(假设你的主机上E盘Abc文件夹下设Abc.com站点):
1. 打开“计算机管理→当地用户和组→用户”,创立Abc用户,并设置暗码,并将“用户下次登录时须变动暗码”前的对号去掉,选中“用户不能变动暗码”和“暗码永不外期”,并把用户设置为从属于Guests组。
2. 右击E:\Abc,选择“属性→宁静”选项卡,此时可以看到该文件夹的默许宁静设置是“Everyone”完全控制(视差别情况表现的内容不完全一样),删除Everyone的完全控制(要是不能删除,请点击[高级]按钮,将“容许父项的继承权限流传”后面的对号去掉,并删除所有),添加Administrators及Abc用户对本网站目录的所有宁静权限。
3. 打开IIS管理器,右击Abc.com主机名,在弹出的菜单中选择“属性→目录宁静性”选项卡,点击身份验证和拜访控制的[编辑],弹出图2所示对话框,匿名拜访用户默许的就是“IUSR_呆板名”,点击[浏览],在“选择用户”对话框中找到后面创立的Abc账户,确定后重复输入暗码。
颠末如许设置,拜访网站的用户就以Abc账户匿名身份拜访E:\Abc文件夹的站点,因为Abc账户只对此文件夹有宁静权限,所以他只能在本文件夹下利用FSO。
常见问题:
如何解除FSO上传程序小于200k限定?
先在办事里关闭IIS admin service办事,找到Windows\System32\Inesrv目录下的Metabase.xml并打开,找到ASPMaxRequestEntityAllowed,将其修正为必要的值。默许为204800,即200K,把它修正为51200000(50M),然后重启IIS admin service办事。
- 文章作者: 福州军威计算机技术有限公司
军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。
TAG:
|
评论加载中...
|
