Cómo mejorar la seguridad de FSO en Windows 2003

  

ASP proporciona una poderosa capacidad de acceso al sistema de archivos, que puede leer, escribir, copiar, eliminar, renombrar, etc. cualquier archivo en el disco duro del servidor, lo que le da al sitio web de la escuela un cinturón de seguridad. Ven una gran amenaza. Muchos anfitriones del campus ahora sufren de troyanos FSO. Pero después de deshabilitar el componente FSO, la consecuencia es que todos los programas ASP que usan este componente no se ejecutarán y no podrán satisfacer las necesidades del cliente. ¿Cómo permitir que el componente FileSystemObject sin afectar la seguridad del servidor (es decir, diferentes usuarios de hosts virtuales no pueden usar este componente para leer y escribir archivos de otras personas)? Estas son las experiencias que he explorado a lo largo de los años:

El primer paso es diferente de la configuración de Windows 2000: haga clic con el botón derecho en la unidad C, haga clic en " Compartir y seguridad ", seleccione la pestaña " Seguridad " en el cuadro de diálogo, elimine el grupo Todos, Usuarios, elimine Si su sitio web no se ejecuta incluso con el programa ASP, agregue el grupo IIS_WPG (Figura 1) y reinicie la computadora.



Después de este diseño, el troyano FSO ya no está operativo. Si desea establecer un nivel más seguro, configure cada partición de disco por separado como se indicó anteriormente y configure diferentes usuarios de acceso anónimo para cada sitio. El siguiente es un ejemplo (suponiendo que su host tenga un sitio Abc.com debajo de la carpeta Abc en la unidad E):

1. Abra " Administración de computadoras ↠ Usuarios y grupos locales ↠ Usuario ", Crear Abc usuario, y establezca la contraseña, y "el usuario debe cambiar la contraseña la próxima vez que inicie sesión", se eliminará la marca de verificación anterior, seleccione "El usuario no puede cambiar la contraseña" y "La contraseña nunca caduca" y configure el usuario Como parte del grupo de invitados.

2. Haga clic con el botón derecho del mouse en E: Abc y seleccione la pestaña "Propiedades y seguridad". En este punto, puede ver que la configuración de seguridad predeterminada para esta carpeta es "Todos"; control total (dependiendo de la situación) El contenido no es exactamente el mismo), eliminar el control total de Todos (si no puede eliminar, haga clic en el botón de escala avanzada), "permitirá que el permiso de herencia de los padres se propague", eliminará la marca de verificación anterior y eliminará todo), agregue Administradores y Los usuarios de Abc tienen todos los derechos de seguridad en el directorio de este sitio web.

3. Abra el Administrador de IIS, haga clic con el botón derecho en el nombre de host Abc.com, seleccione la pestaña "Atributos y seguridad de directorio" en el menú emergente, haga clic en Autenticación y control de acceso [editar] Aparece el cuadro de diálogo que se muestra en la Figura 2. El acceso de usuario predeterminado es "  nombre IUSR_machine ", haga clic en [Examinar], busque la cuenta Abc creada en el cuadro de diálogo" Seleccionar usuario "y luego ingrésela varias veces después de confirmar. Contraseña

Después de esta configuración, el usuario que visita el sitio web accede al sitio de la carpeta E: Abc de forma anónima como la cuenta Abc, ya que la cuenta ABC solo tiene permisos de seguridad para esta carpeta, por lo que solo puede estar en esta carpeta. Utilice FSO.



Preguntas frecuentes:

¿Cómo eliminar el FSO uploader del límite de 200k?

Desactive primero el servicio de administración de IIS en el servicio. Servicio, busque Metabase.xml en el directorio Windows \\ System32 \\ Inesrv y ábralo, busque ASPMaxRequestEntityAllowed y modifíquelo al valor requerido. El valor predeterminado es 204800, que es 200K, cámbielo a 51200000 (50M) y luego reinicie el servicio de administración de IIS.

ASP proporciona un poderoso acceso al sistema de archivos, que puede leer, escribir, copiar, eliminar, renombrar y otros archivos en el disco duro del servidor, lo que representa una gran amenaza para la seguridad del sitio web de la escuela. Muchos anfitriones del campus ahora sufren de troyanos FSO. Pero después de deshabilitar el componente FSO, la consecuencia es que todos los programas ASP que usan este componente no se ejecutarán y no podrán satisfacer las necesidades del cliente. ¿Cómo permitir que el componente FileSystemObject sin afectar la seguridad del servidor (es decir, diferentes usuarios de hosts virtuales no pueden usar este componente para leer y escribir archivos de otras personas)? Estas son las experiencias que he explorado a lo largo de los años:

El primer paso es diferente de la configuración de Windows 2000: haga clic con el botón derecho en la unidad C, haga clic en " Compartir y seguridad ", seleccione la pestaña " Seguridad " en el cuadro de diálogo, elimine el grupo Todos, Usuarios, elimine Si su sitio web no se ejecuta incluso con el programa ASP, agregue el grupo IIS_WPG (Figura 1) y reinicie la computadora.

Después de este diseño, el troyano FSO ya no está operativo. Si desea establecer un nivel más seguro, configure cada partición de disco por separado como se indicó anteriormente y configure diferentes usuarios de acceso anónimo para cada sitio. El siguiente es un ejemplo (suponiendo que su host tenga un sitio Abc.com debajo de la carpeta Abc en la unidad E):

1. Abra " Administración de computadoras ↠ Usuarios y grupos locales ↠ Usuario ", Crear Abc usuario, y establezca la contraseña, y "el usuario debe cambiar la contraseña la próxima vez que inicie sesión", se eliminará la marca de verificación anterior, seleccione "El usuario no puede cambiar la contraseña" y "La contraseña nunca caduca" y configure el usuario Como parte del grupo de invitados.

2. Haga clic con el botón derecho en E: \\ Abc y seleccione la pestaña <quo; Propiedades → Seguridad " En este punto, puede ver que la configuración de seguridad predeterminada para esta carpeta es &#quot; Todos " totalmente controlada (según la situación) El contenido que se muestra no es exactamente el mismo), elimine el control completo de Todos (si no puede eliminar, haga clic en el botón [Avanzado], "permitirá que el permiso de herencia de los padres se propague", eliminará la marca de verificación anterior y eliminará todo), agregue Administradores Y todos los permisos de seguridad de los usuarios de Abc al directorio de este sitio web.

3. Abra el Administrador de IIS, haga clic con el botón derecho en el nombre de host Abc.com, seleccione la pestaña "Atributos y seguridad de directorio" en el menú emergente, haga clic en Autenticación y control de acceso [editar] Aparece el cuadro de diálogo que se muestra en la Figura 2. El acceso de usuario predeterminado es "  nombre IUSR_machine ", haga clic en [Examinar], busque la cuenta Abc creada en el cuadro de diálogo" Seleccionar usuario "y luego ingrésela varias veces después de confirmar. Contraseña

Después de esta configuración, el usuario que visita el sitio web accede al sitio de la carpeta E: \\ Abc de forma anónima como la cuenta Abc, porque la cuenta Abc solo tiene permisos de seguridad para esta carpeta, por lo que solo puede estar en esta carpeta. Utilice FSO a continuación.

Preguntas frecuentes:

¿Cómo eliminar el FSO uploader del límite de 200k?

Primero, apague el servicio de administración de IIS en el servicio y busque la Metabase en el directorio Windows \\ System32 \\ Inesrv. Abra .xml y encuentre ASPMaxRequestEntityAllowed y modifíquelo al valor deseado. El valor predeterminado es 204800, que es 200K, cámbielo a 51200000 (50M) y luego reinicie el servicio de administración de IIS.

Copyright © Conocimiento de Windows All Rights Reserved