IT貓撲網(wǎng):您身邊最放心的安全下載站! 最新更新|軟件分類|軟件專題|手機版|論壇轉(zhuǎn)貼|軟件發(fā)布

您當前所在位置:首頁操作系統(tǒng)windows → Win2003下提高FSO的安全性

Win2003下提高FSO的安全性

時間:2015/6/28來源:IT貓撲網(wǎng)作者:網(wǎng)管聯(lián)盟我要評論(0)

  ASP提供了強大的文件系統(tǒng)訪問能力,可以對服務(wù)器硬盤上的任何文件進行讀、寫、復(fù)制、刪除、改名等操作,這給學(xué)校網(wǎng)站的安全帶來巨大的威脅,F(xiàn)在很多校園主機都遭受過FSO木馬的侵擾。但是禁用FSO組件后,引起的后果就是所有利用這個組件的ASP程序?qū)o法運行,無法滿足客戶的需求。如何既允許FileSystemObject組件,又不影響服務(wù)器的安全性呢(即:不同虛擬主機用戶之間不能使用該組件讀寫別人的文件)?以下是筆者多年來摸索出來的經(jīng)驗:

  第一步是有別于Windows 2000設(shè)置的關(guān)鍵:右擊C盤,點擊"共享與安全",在出現(xiàn)在對話框中選擇"安全"選項卡,將Everyone、Users組刪除,刪除后如果你的網(wǎng)站連ASP程序都不能運行,請?zhí)砑?a href="http://europeautoinsurance.com/key/iis/" target="_blank">iis_WPG組(圖1),并重啟計算機。

  經(jīng)過這樣設(shè)計后,F(xiàn)SO木馬就已經(jīng)不能運行了。如果你要進行更安全級別的設(shè)置,請分別對各個磁盤分區(qū)進行如上設(shè)置,并為各個站點設(shè)置不同匿名訪問用戶。下面以實例來介紹(假設(shè)你的主機上E盤Abc文件夾下設(shè)Abc.com站點):

  1. 打開"計算機管理→本地用戶和組→用戶",創(chuàng)建Abc用戶,并設(shè)置密碼,并將"用戶下次登錄時須更改密碼"前的對號去掉,選中"用戶不能更改密碼"和"密碼永不過期",并把用戶設(shè)置為隸屬于Guests組。


  2. 右擊E:Abc,選擇"屬性→安全"選項卡,此時可以看到該文件夾的默認安全設(shè)置是"Everyone"完全控制(視不同情況顯示的內(nèi)容不完全一樣),刪除Everyone的完全控制(如果不能刪除,請點擊[高級]按鈕,將"允許父項的繼承權(quán)限傳播"前面的對號去掉,并刪除所有),添加Administrators及Abc用戶對本網(wǎng)站目錄的所有安全權(quán)限。

  3. 打開IIS管理器,右擊Abc.com主機名,在彈出的菜單中選擇"屬性→目錄安全性"選項卡,點擊身份驗證和訪問控制的[編輯],彈出圖2所示對話框,匿名訪問用戶默認的就是"IUSR_機器名",點擊[瀏覽],在"選擇用戶"對話框中找到前面創(chuàng)建的Abc賬戶,確定后重復(fù)輸入密碼。

  經(jīng)過這樣設(shè)置,訪問網(wǎng)站的用戶就以Abc賬戶匿名身份訪問E:Abc文件夾的站點,因為Abc賬戶只對此文件夾有安全權(quán)限,所以他只能在本文件夾下使用FSO。

  常見問題:

  如何解除FSO上傳程序小于200k限制?

  先在服務(wù)里關(guān)閉IIS admin service服務(wù),找到Windows\System32\Inesrv目錄下的Metabase.xml并打開,找到ASPMaxRequestEntityAllowed,將其修改為需要的值。默認為204800,即200K,把它修改為51200000(50M),然后重啟IIS admin service服務(wù)。

  ASP提供了強大的文件系統(tǒng)訪問能力,可以對服務(wù)器硬盤上的任何文件進行讀、寫、復(fù)制、刪除、改名等操作,這給學(xué)校網(wǎng)站的安全帶來巨大的威脅。現(xiàn)在很多校園主機都遭受過FSO木馬的侵擾。但是禁用FSO組件后,引起的后果就是所有利用這個組件的ASP程序?qū)o法運行,無法滿足客戶的需求。如何既允許FileSystemObject組件,又不影響服務(wù)器的安全性呢(即:不同虛擬主機用戶之間不能使用該組件讀寫別人的文件)?以下是筆者多年來摸索出來的經(jīng)驗:

  第一步是有別于Windows 2000設(shè)置的關(guān)鍵:右擊C盤,點擊"共享與安全",在出現(xiàn)在對話框中選擇"安全"選項卡,將Everyone、Users組刪除,刪除后如果你的網(wǎng)站連ASP程序都不能運行,請?zhí)砑覫IS_WPG組(圖1),并重啟計算機。

  經(jīng)過這樣設(shè)計后,F(xiàn)SO木馬就已經(jīng)不能運行了。如果你要進行更安全級別的設(shè)置,請分別對各個磁盤分區(qū)進行如上設(shè)置,并為各個站點設(shè)置不同匿名訪問用戶。下面以實例來介紹(假設(shè)你的主機上E盤Abc文件夾下設(shè)Abc.com站點):

  1. 打開"計算機管理→本地用戶和組→用戶",創(chuàng)建Abc用戶,并設(shè)置密碼,并將"用戶下次登錄時須更改密碼"前的對號去掉,選中"用戶不能更改密碼"和"密碼永不過期",并把用戶設(shè)置為隸屬于Guests組。

  2. 右擊E:Abc,選擇"屬性→安全"選項卡,此時可以看到該文件夾的默認安全設(shè)置是"Everyone"完全控制(視不同情況顯示的內(nèi)容不完全一樣),刪除Everyone的完全控制(如果不能刪除,請點擊[高級]按鈕,將"允許父項的繼承權(quán)限傳播"前面的對號去掉,并刪除所有),添加Administrators及Abc用戶對本網(wǎng)站目錄的所有安全權(quán)限。

  3. 打開IIS管理器,右擊Abc.com主機名,在彈出的菜單中選擇"屬性→目錄安全性"選項卡,點擊身份驗證和訪問控制的[編輯],彈出圖2所示對話框,匿名訪問用戶默認的就是"IUSR_機器名",點擊[瀏覽],在"選擇用戶"對話框中找到前面創(chuàng)建的Abc賬戶,確定后重復(fù)輸入密碼。

  經(jīng)過這樣設(shè)置,訪問網(wǎng)站的用戶就以Abc賬戶匿名身份訪問E:Abc文件夾的站點,因為Abc賬戶只對此文件夾有安全權(quán)限,所以他只能在本文件夾下使用FSO。

  常見問題:

  如何解除FSO上傳程序小于200k限制?

  先在服務(wù)里關(guān)閉IIS admin service服務(wù),找到Windows\System32\Inesrv目錄下的Metabase.xml并打開,找到ASPMaxRequestEntityAllowed,將其修改為需要的值。默認為204800,即200K,把它修改為51200000(50M),然后重啟IIS admin service服務(wù)。

關(guān)鍵詞標簽:Win2003,FSO的安全性

相關(guān)閱讀

文章評論
發(fā)表評論

熱門文章 windows7虛擬光驅(qū)安裝和使用方法windows7虛擬光驅(qū)安裝和使用方法解決應(yīng)用程序正常初始化(0xc0000135)失敗解決應(yīng)用程序正常初始化(0xc0000135)失敗hosts文件位置以及如何修改hosts文件hosts文件位置以及如何修改hosts文件[聲音故障]XP沒有聲音,丟失Windows Audi[聲音故障]XP沒有聲音,丟失Windows Audi

相關(guān)下載

人氣排行 [聲音故障]XP沒有聲音,丟失Windows Audio服務(wù)(AudioSrv)[警解決Windows 7黑屏的有效方法windows2003中關(guān)于軟路由設(shè)置方法的具體介紹Windows不能在本地計算機啟動OracleDBConsoleorcl一個空文件夾刪不掉的解決辦法Windows 7加XP的局域網(wǎng)搭建與文件共享用Windows命令行實現(xiàn)自動SSH代理Windows提示錯誤應(yīng)用程序update.exe