ASP提供了強(qiáng)大的文件系統(tǒng)訪問能力���,可以對服務(wù)器硬盤上的任何文件進(jìn)行讀��、寫、復(fù)制���、刪除����、改名等操作,這給學(xué)校網(wǎng)站的安全帶來巨大的威脅?,F(xiàn)在很多校園主機(jī)都遭受過FSO木馬的侵?jǐn)_�。但是禁用FSO組件后���,引起的后果就是所有利用這個(gè)組件的ASP程序?qū)o法運(yùn)行,無法滿足客戶的需求。如何既允許FileSystemObject組件��,又不影響服務(wù)器的安全性呢(即:不同虛擬主機(jī)用戶之間不能使用該組件讀寫別人的文件)�����?以下是筆者多年來摸索出來的經(jīng)驗(yàn):
第一步是有別于Windows 2000設(shè)置的關(guān)鍵:右擊C盤,點(diǎn)擊“共享與安全”,在出現(xiàn)在對話框中選擇“安全”選項(xiàng)卡,將Everyone�����、Users組刪除���,刪除后如果你的網(wǎng)站連ASP程序都不能運(yùn)行,請?zhí)砑覫IS_WPG組(圖1)����,并重啟計(jì)算機(jī)。
圖1
經(jīng)過這樣設(shè)計(jì)后��,F(xiàn)SO木馬就已經(jīng)不能運(yùn)行了�����。如果你要進(jìn)行更安全級(jí)別的設(shè)置,請分別對各個(gè)磁盤分區(qū)進(jìn)行如上設(shè)置�,并為各個(gè)站點(diǎn)設(shè)置不同匿名訪問用戶。下面以實(shí)例來介紹(假設(shè)你的主機(jī)上E盤Abc文件夾下設(shè)Abc.com站點(diǎn)):
1. 打開“計(jì)算機(jī)管理→本地用戶和組→用戶”���,創(chuàng)建Abc用戶����,并設(shè)置密碼����,并將“用戶下次登錄時(shí)須更改密碼”前的對號(hào)去掉,選中“用戶不能更改密碼”和“密碼永不過期”�����,并把用戶設(shè)置為隸屬于Guests組���。
2. 右擊E:Abc�,選擇“屬性→安全”選項(xiàng)卡��,此時(shí)可以看到該文件夾的默認(rèn)安全設(shè)置是“Everyone”完全控制(視不同情況顯示的內(nèi)容不完全一樣),刪除Everyone的完全控制(如果不能刪除��,請點(diǎn)擊[高級(jí)]按鈕����,將“允許父項(xiàng)的繼承權(quán)限傳播”前面的對號(hào)去掉����,并刪除所有),添加Administrators及Abc用戶對本網(wǎng)站目錄的所有安全權(quán)限�����。
3. 打開IIS管理器����,右擊Abc.com主機(jī)名�,在彈出的菜單中選擇“屬性→目錄安全性”選項(xiàng)卡,點(diǎn)擊身份驗(yàn)證和訪問控制的[編輯]�����,彈出圖2所示對話框���,匿名訪問用戶默認(rèn)的就是“IUSR_機(jī)器名”�,點(diǎn)擊[瀏覽],在“選擇用戶”對話框中找到前面創(chuàng)建的Abc賬戶��,確定后重復(fù)輸入密碼��。
圖2
經(jīng)過這樣設(shè)置���,訪問網(wǎng)站的用戶就以Abc賬戶匿名身份訪問E:Abc文件夾的站點(diǎn)����,因?yàn)锳bc賬戶只對此文件夾有安全權(quán)限���,所以他只能在本文件夾下使用FSO�����。
如何解除FSO上傳程序小于200k限制��?
先在服務(wù)里關(guān)閉IIS admin service服務(wù)����,找到Windows\System32\Inesrv目錄下的Metabase.xml并打開��,找到ASPMaxRequestEntityAllowed,將其修改為需要的值�。默認(rèn)為204800,即200K��,把它修改為51200000(50M)�,然后重啟IIS admin service服務(wù)��。
ASP提供了強(qiáng)大的文件系統(tǒng)訪問能力����,可以對服務(wù)器硬盤上的任何文件進(jìn)行讀�����、寫、復(fù)制、刪除��、改名等操作,這給學(xué)校網(wǎng)站的安全帶來巨大的威脅?���,F(xiàn)在很多校園主機(jī)都遭受過FSO木馬的侵?jǐn)_�。但是禁用FSO組件后����,引起的后果就是所有利用這個(gè)組件的ASP程序?qū)o法運(yùn)行�,無法滿足客戶的需求�。如何既允許FileSystemObject組件����,又不影響服務(wù)器的安全性呢(即:不同虛擬主機(jī)用戶之間不能使用該組件讀寫別人的文件)?以下是筆者多年來摸索出來的經(jīng)驗(yàn):
第一步是有別于Windows 2000設(shè)置的關(guān)鍵:右擊C盤�����,點(diǎn)擊“共享與安?�,哉C魷衷詼曰翱蛑醒≡瘛鞍踩毖∠羈ǎ獷veryone、Users組刪除,刪除后如果你的網(wǎng)站連ASP程序都不能運(yùn)行,請?zhí)砑覫IS_WPG組(圖1),并重啟計(jì)算機(jī)��。
經(jīng)過這樣設(shè)計(jì)后����,F(xiàn)SO木馬就已經(jīng)不能運(yùn)行了����。如果你要進(jìn)行更安全級(jí)別的設(shè)置,請分別對各個(gè)磁盤分區(qū)進(jìn)行如上設(shè)置,并為各個(gè)站點(diǎn)設(shè)置不同匿名訪問用戶。下面以實(shí)例來介紹(假設(shè)你的主機(jī)上E盤Abc文件夾下設(shè)Abc.com站點(diǎn)):
1. 打開“計(jì)算機(jī)管理→本地用戶和組→用戶”,創(chuàng)建Abc用戶��,并設(shè)置密碼����,并將“用戶下次登錄時(shí)須更改密碼”前的對號(hào)去掉���,選中“用戶不能更改密碼”和“密碼永不過期”�����,并把用戶設(shè)置為隸屬于Guests組����。
2. 右擊E:Abc���,選擇“屬性→安全”選項(xiàng)卡�,此時(shí)可以看到該文件夾的默認(rèn)安全設(shè)置是“Everyone”完全控制(視不同情況顯示的內(nèi)容不完全一樣)���,刪除Everyone的完全控制(如果不能刪除����,請點(diǎn)擊[高級(jí)]按鈕,將“允許父項(xiàng)的繼承權(quán)限傳播”前面的對號(hào)去掉��,并刪除所有)��,添加Administrators及Abc用戶對本網(wǎng)站目錄的所有安全權(quán)限�����。
3. 打開IIS管理器�����,右擊Abc.com主機(jī)名�,在彈出的菜單中選擇“屬性→目錄安全性”選項(xiàng)卡����,點(diǎn)擊身份驗(yàn)證和訪問控制的[編輯],彈出圖2所示對話框�,匿名訪問用戶默認(rèn)的就是“IUSR_機(jī)器名”,點(diǎn)擊[瀏覽]��,在“選擇用戶”對話框中找到前面創(chuàng)建的Abc賬戶�,確定后重復(fù)輸入密碼����。
經(jīng)過這樣設(shè)置����,訪問網(wǎng)站的用戶就以Abc賬戶匿名身份訪問E:Abc文件夾的站點(diǎn),因?yàn)锳bc賬戶只對此文件夾有安全權(quán)限�,所以他只能在本文件夾下使用FSO。
常見問題:
如何解除FSO上傳程序小于200k限制�?
先在服務(wù)里關(guān)閉IIS admin service服務(wù),找到Windows\System32\Inesrv目錄下的Metabase.xml并打開���,找到ASPMaxRequestEntityAllowed�����,將其修改為需要的值��。默認(rèn)為204800���,即200K,把它修改為51200000(50M)��,然后重啟IIS admin service服務(wù)。
