La seguridad de FSO bajo Windows 2003

ASP proporciona un acceso poderoso al sistema de archivos, que puede leer, escribir, copiar, eliminar, renombrar y otros archivos en el disco duro del servidor, que es seguro para el sitio web de la escuela. Trae una gran amenaza. Muchos anfitriones del campus ahora sufren de troyanos FSO. Pero después de deshabilitar el componente FSO, la consecuencia es que todos los programas ASP que usan este componente no se ejecutarán y no podrán satisfacer las necesidades del cliente. ¿Cómo permitir que el componente FileSystemObject sin afectar la seguridad del servidor (es decir, no puede usar el componente para leer y escribir archivos de otras personas entre diferentes usuarios de hosts virtuales)? Las siguientes son las experiencias que he explorado a lo largo de los años:

El primer paso es la clave para configurar Windows 2000: haga clic con el botón derecho en la unidad C, haga clic en "Compartir y seguridad" y seleccione "Seguridad" en el cuadro de diálogo que aparece. "En la pestaña, elimine el grupo Todos, Usuarios, si su sitio web no puede ejecutarse incluso después de la eliminación del programa ASP, agregue el grupo IIS_WPG (Figura 1) y reinicie la computadora.

Después de este diseño, el troyano FSO ya no puede ejecutarse. Si desea establecer un nivel más seguro, configure cada partición del disco como se indica anteriormente y configure diferentes usuarios de acceso anónimo para cada sitio. El siguiente es un ejemplo (suponiendo que su host tenga un sitio Abc.com en la carpeta Abc en la unidad E):

1. Abra "Administración de equipos → Usuarios y grupos locales → Usuarios" para crear un usuario de Abc, y Establezca la contraseña y elimine la marca de verificación antes de "El usuario debe cambiar la contraseña la próxima vez que inicie sesión", seleccione "El usuario no puede cambiar la contraseña" y "La contraseña nunca caduca" y establezca que el usuario pertenezca al grupo Invitados.
2. Haga clic con el botón derecho en E: \\ Abc y seleccione la pestaña “Propiedades → Seguridad”. En este punto, puede ver que la configuración de seguridad predeterminada de esta carpeta es el control total “Todos” (el contenido que se muestra en diferentes situaciones no es exactamente el mismo) , elimine el control completo de Todos (si no puede eliminar, haga clic en el botón [Avanzado], elimine la marca de verificación "Permitir que el permiso de herencia de los padres se propague" y elimine todo), agregue toda la seguridad de los administradores y usuarios de Abc a este directorio de sitios web. Permisos.

3. Abra el Administrador de IIS, haga clic con el botón derecho en el nombre del host Abc.com, seleccione la pestaña "Propiedades → Seguridad de directorios" en el menú emergente, haga clic en [Autenticación] y control de acceso [editar] Aparece el cuadro de diálogo que se muestra en la Figura 2. El acceso de usuario predeterminado es "IUSR_machine name". Haga clic en [Examinar], busque la cuenta Abc creada en el cuadro de diálogo "Seleccionar usuario" y luego ingrese la contraseña repetidamente.

Después de esta configuración, el usuario que visita el sitio web accede al sitio de la carpeta E: \\ Abc de forma anónima como la cuenta Abc, porque la cuenta Abc solo tiene permisos de seguridad para esta carpeta, por lo que solo puede Use FSO bajo esta carpeta.

Preguntas frecuentes:
¿Cómo levantar el programa de carga de FSO por debajo del límite de 200k?
Primero, apague el servicio de administración de IIS en el servicio, busque Metabase en el directorio Windows \\ System32 \\ Inesrv. Xml y abra, encuentre ASPMaxRequestEntityAllowed, modifíquelo al valor requerido. El valor predeterminado es 204800, que es 200K, cámbielo a 51200000 (50M) y luego reinicie el servicio de administración de IIS.