Mejorar la seguridad de FSO bajo Win2003

ASP proporciona una poderosa capacidad de acceso al sistema de archivos, que puede leer, escribir, copiar, eliminar, renombrar y otros archivos en el disco duro del servidor, lo que brinda seguridad al sitio web de la escuela. Una gran amenaza. Muchos anfitriones del campus ahora sufren de troyanos FSO. Pero después de deshabilitar el componente FSO, la consecuencia es que todos los programas ASP que usan este componente no se ejecutarán y no podrán satisfacer las necesidades del cliente. ¿Cómo permitir que el componente FileSystemObject sin afectar la seguridad del servidor (es decir, no puede usar este componente para leer y escribir archivos de otras personas entre diferentes usuarios de hosts virtuales)? Las siguientes son las experiencias que he explorado a lo largo de los años:

El primer paso es la clave para configurar Windows 2000: haga clic derecho en la unidad C, haga clic en "Compartir y seguridad" y seleccione "Seguridad" en el cuadro de diálogo que aparece. "En la pestaña, elimine el grupo Todos, Usuarios, si su sitio web no puede ejecutarse incluso después de la eliminación del programa ASP, agregue el grupo IIS_WPG (Figura 1) y reinicie la computadora.
Después de este diseño, FOE troyanos no había corrido. Si desea establecer un nivel más seguro, configure cada partición del disco como se indica anteriormente y configure diferentes usuarios de acceso anónimo para cada sitio. El siguiente es un ejemplo (suponiendo que su host tiene un sitio Abc.com en la carpeta Abc en la unidad E):

1. Abra Administración de equipos → Usuarios y grupos locales → Usuarios para crear un usuario de Abc, y Establezca la contraseña y elimine la marca de verificación antes de "El usuario debe cambiar la contraseña la próxima vez que inicie sesión", seleccione "El usuario no puede cambiar la contraseña" y "La contraseña nunca caduca" y establezca que el usuario pertenezca al grupo Invitados.

2. Haga clic con el botón derecho en E: Abc y seleccione la pestaña "Propiedades → Seguridad". En este punto, puede ver que la configuración de seguridad predeterminada para esta carpeta es el control total "Todos" (según la situación) El contenido no es exactamente el mismo), elimine el control completo de Todos (si no puede eliminar, haga clic en el botón [Avanzado], elimine la marca de verificación "Permitir que se propague el permiso de herencia de los padres" y elimine todo), agregue Administradores y usuarios de ABC a este Todos los permisos de seguridad para el directorio del sitio.

3. Abra el Administrador de IIS, haga clic derecho en el nombre del host Abc.com, seleccione la pestaña "Propiedades → Seguridad de directorios" en el menú emergente, haga clic en [Editar] y control de acceso [Editar], en la ventana emergente 2 en el cuadro de diálogo, el acceso anónimo predeterminado del usuario es "IUSR_ machine name", haga clic en [Examinar], busque la cuenta Abc creada en el cuadro de diálogo "Seleccionar usuario" y luego ingrese la contraseña repetidamente.
Después de este ajuste, los usuarios acceden al sitio en el acceso a las cuentas anónimas Abc E: Cuenta de sitios carpetas Abc, ABC sólo porque los permisos de seguridad de carpeta para esto, para que pueda solamente en esta carpeta Utilice FSO.

Preguntas frecuentes:

¿Cómo eliminar el FSO uploader del límite de 200k?

Primero, apague el servicio de administración de IIS en el servicio y busque Metabase en el directorio Windows \\ System32 \\ Inesrv. Xml y abra, encuentre ASPMaxRequestEntityAllowed, modifíquelo al valor requerido. El valor predeterminado es 204800, que es 200K, cámbielo a 51200000 (50M) y luego reinicie el servicio de administración de IIS.

ASP proporciona una poderosa capacidad de acceso al sistema de archivos, que puede leer, escribir, copiar, eliminar, renombrar y otros archivos en el disco duro del servidor, lo que representa una gran amenaza para la seguridad del sitio web de la escuela. Muchos anfitriones del campus ahora sufren de troyanos FSO. Pero después de deshabilitar el componente FSO, la consecuencia es que todos los programas ASP que usan este componente no se ejecutarán y no podrán satisfacer las necesidades del cliente. ¿Cómo permitir que el componente FileSystemObject sin afectar la seguridad del servidor (es decir, no puede usar el componente para leer y escribir archivos de otras personas entre diferentes usuarios de hosts virtuales)? Las siguientes son las experiencias que he explorado a lo largo de los años:

El primer paso es la clave para configurar Windows 2000: haga clic derecho en la unidad C, haga clic en "Compartir y seguridad" y seleccione "Seguridad" en el cuadro de diálogo que aparece. "En la pestaña, elimine el grupo Todos, Usuarios, si su sitio web no puede ejecutarse incluso después de la eliminación del programa ASP, agregue el grupo IIS_WPG (Figura 1) y reinicie la computadora.

Después de este diseño, el troyano FSO ya no está operativo. Si desea establecer un nivel más seguro, configure cada partición de disco por separado como se indicó anteriormente y configure diferentes usuarios de acceso anónimo para cada sitio. El siguiente es un ejemplo (suponiendo que su host tiene un sitio Abc.com en la carpeta Abc en la unidad E):

1. Abra Administración de equipos → Usuarios y grupos locales → Usuarios para crear un usuario de Abc, y Establezca la contraseña y elimine la marca de verificación antes de "El usuario debe cambiar la contraseña la próxima vez que inicie sesión", seleccione "El usuario no puede cambiar la contraseña" y "La contraseña nunca caduca" y establezca que el usuario pertenezca al grupo Invitados.

2. Haga clic con el botón derecho en E: Abc y seleccione la pestaña "Propiedades → Seguridad". En este punto, puede ver que la configuración de seguridad predeterminada de esta carpeta es el control total "Todos" (el contenido que se muestra en diferentes situaciones no está completo). Igual), elimine el control completo de Todos (si no puede eliminar, haga clic en el botón [Avanzado], elimine la marca de verificación "Permitir que el permiso de herencia de los padres se propague" y elimine todo), agregue Administradores y usuarios de Abc al directorio de este sitio web. Todos los permisos de seguridad.

3. Abra el Administrador de IIS, haga clic derecho en el nombre del host Abc.com, seleccione la pestaña "Propiedades → Seguridad de directorios" en el menú emergente, haga clic en [Editar] y control de acceso [Editar], en la ventana emergente 2 en el cuadro de diálogo, el acceso anónimo predeterminado del usuario es "IUSR_ machine name", haga clic en [Examinar], busque la cuenta Abc creada en el cuadro de diálogo "Seleccionar usuario" y luego ingrese la contraseña repetidamente.

Después de esta configuración, el usuario que visita el sitio web accede al sitio de la carpeta E: Abc anónimamente como la cuenta Abc, porque la cuenta ABC solo tiene derechos de seguridad en esta carpeta, por lo que solo puede estar en esta carpeta. Utilice FSO.

Preguntas frecuentes:

¿Cómo eliminar el FSO uploader del límite de 200k?

Primero, apague el servicio de administración de IIS en el servicio y busque Metabase en el directorio Windows \\ System32 \\ Inesrv. Xml y abra, encuentre ASPMaxRequestEntityAllowed, modifíquelo al valor requerido. El valor predeterminado es 204800, que es 200K, cámbielo a 51200000 (50M) y luego reinicie el servicio de administración de IIS.