Tutorial de configuración del servidor FSO! Anti-ASP Trojan

La gran mayoría de los hosts virtuales ahora tienen el componente estándar de ASP deshabilitado: FileSystemObject, porque este componente proporciona a ASP un acceso de sistema de archivos poderoso y se puede usar en cualquiera de los discos duros del servidor. Los archivos se leen, escriben, copian, eliminan, cambian de nombre, etc.
(Por supuesto, esto se hace en Windows NT /2000 con la configuración predeterminada). Sin embargo, después de deshabilitar este componente, la consecuencia es que todas las ASP que utilizan este componente no podrán ejecutarse y no podrán satisfacer las necesidades del cliente.
¿Cómo permitir que el componente FileSystemObject sin afectar la seguridad del servidor (es decir, no puede usar el componente para leer y escribir archivos de otras personas entre diferentes usuarios de hosts virtuales)? Este es un método que he obtenido en el experimento. El siguiente es un ejemplo de Windows 2000 Server.
Abra el administrador de recursos en el servidor, haga clic con el botón derecho en la letra de la unidad de cada partición o volumen del disco duro, seleccione "Propiedades" en el menú emergente, seleccione la pestaña "Seguridad" y podrá ver qué cuentas están disponibles. Accede a esta partición (volumen) y derechos de acceso. Después de la instalación predeterminada, parece que "Todos" tiene control total. Haga clic en "Agregar", agregue "Administradores", "Operadores de copia de seguridad", "Usuarios avanzados", "Usuarios" y otros grupos, y otorgue "Control total" o los permisos correspondientes. Tenga en cuenta que no debe otorgar al grupo "Invitados", La cuenta "IUSR_machine name" para cualquier permiso. Luego elimine el grupo "Todos" de la lista, de modo que solo los grupos y usuarios autorizados puedan acceder a la partición del disco duro, y ASP ejecuta el acceso al disco duro como "IUSR_machine name". Permisos de cuenta de usuario, ASP no puede leer y escribir archivos en el disco duro.
Lo siguiente que debe hacer es configurar una cuenta de usuario separada para cada usuario de host virtual y luego asignar a cada cuenta un directorio que le permita el control total.
Como se muestra en la figura siguiente, abra "Administración de equipos" → "Usuarios y grupos locales" → "Usuarios", haga clic derecho en la columna derecha, seleccione "Nuevo usuario" en el menú emergente:

En el cuadro de diálogo emergente "Nuevo usuario", ingrese "Nombre de usuario", "Nombre completo", "Descripción", "Contraseña", "Confirmar contraseña" según las necesidades reales y "El usuario debe cambiar la contraseña antes de iniciar sesión la próxima vez" Elimine la marca de verificación y marque "El usuario no puede cambiar la contraseña" y "La contraseña nunca caduca". En este ejemplo, la cuenta incorporada "IUSR_VHOST1" para el acceso anónimo al servicio de información de Internet se establece para el usuario del primer host virtual, es decir, todos los clientes usan http: //***.***.***x/para acceder a este virtual Cuando el host está alojado, se accede en esta identidad. Una vez que se complete la entrada, haga clic en "Crear". Puede crear múltiples usuarios según las necesidades reales. Haga clic en "Cerrar" después de la creación:

Ahora que el usuario recién creado ha aparecido en la lista de cuentas, haga doble clic en la cuenta en la lista para configurarla más: Br>

En el cuadro de diálogo de propiedades emergente "IUSR_VHOST1" (es decir, la nueva cuenta que se acaba de crear), haga clic en la pestaña "Afiliado":

La cuenta recién creada pertenece a "Usuarios" de manera predeterminada. Grupo, seleccione el grupo, haga clic en "Eliminar":

Ahora aparece como se muestra a continuación, luego haga clic en "Agregar":

En el cuadro de diálogo emergente "Seleccionar grupo" Encuentre "Invitados", haga clic en "Agregar", este grupo aparecerá en el cuadro de texto a continuación, luego haga clic en "Aceptar":

aparece como se muestra a continuación, haga clic en "Aceptar" para cerrar esto Cuadro de diálogo:

Abra el "Servicio de información de Internet" y comience a configurar el host virtual. En este ejemplo, se toma la configuración del "Primer host virtual" como ejemplo. Haga clic con el botón derecho en el nombre del host y aparezca. Seleccione "Propiedades" en el menú:

Abra un "Primer atributo de host virtual" En el cuadro de diálogo, puede ver en el cuadro de diálogo que el usuario del host virtual está utilizando la carpeta "F: \\ VHOST1":

Por el momento, independientemente del cuadro de diálogo "Primeras propiedades del host virtual", cambie Vaya al "Explorador" y busque "F: \\ VHOST1" (el original es solo para modificar este directorio, creo que sigue siendo la licencia completa de toda la letra de la unidad, aumentar el grupo de administradores, mejor) esta carpeta, haga clic derecho Seleccione la pestaña "Propiedades" → "Seguridad", puede ver que la configuración de seguridad predeterminada de esta carpeta es el control total "Todos" (el contenido que se muestra en diferentes situaciones no es exactamente el mismo), en primer lugar aparecerá el siguiente "Permitir La herencia heredada del elemento principal se propaga al objeto. La marca de verificación anterior se elimina:

será el "Administrador" como se muestra en la figura (originalmente escrito como administrador pero creo que debería ser el grupo de administradores, compare Bien) y se agregará la nueva cuenta "IUSR_VHOST1" creada en la sección anterior, dará derechos de control total, también puede agregar otros grupos o usuarios según las necesidades reales, pero no debe "Invitados" "Grupo," nombre IUSR_machine "se agregaron estas cuentas de acceso anónimo!

Luego, cambie al cuadro de diálogo "Primeras propiedades del host virtual" que se abrió anteriormente, abra la pestaña "Seguridad de directorio", haga clic en "Editar" para obtener acceso anónimo y control de verificación:

Aparece el cuadro emergente "Método de verificación" (como se muestra en la figura siguiente), haga clic en "Editar":

Aparece la "Cuenta de usuario anónimo". El valor predeterminado es "IUSR_machine name", haga clic en "Examinar": < Br>

En el cuadro de diálogo "Seleccionar usuario", busque la nueva cuenta "IUSR_VHOST1" creada en la sección anterior, haga doble clic en:

El nombre de usuario anónimo se cambia y el frente se ingresa en el cuadro de contraseña. Al crear, la contraseña establecida para la cuenta:

Vuelva a determinar la contraseña:

OK, listo, haga clic en Aceptar para cerrar estos cuadros de diálogo.
Después de esta configuración, el usuario de "First Virtual Host" solo puede acceder a su propio directorio utilizando el componente FileSystemObject de ASP: F: \\ VHOST1, cuando intenta acceder a otro contenido, como "No Errores como "Permisos", "Disco duro no listo", "Error interno del servidor 500", etc.
Otro: si el usuario necesita leer la capacidad de partición del disco duro y el número de serie del disco duro, tal configuración hará que sea imposible de leer. Si desea permitirle leer estos contenidos relacionados con toda la partición, haga clic con el botón derecho en la partición (volumen) del disco duro, seleccione "Propiedades" → "Seguridad", agregue la cuenta del usuario a la lista y, al menos, indique "leer" "Permisos. Dado que los subdirectorios en este volumen se han establecido en "Prohibir la herencia de la herencia del elemento primario al objeto", la configuración de permisos para los subdirectorios a continuación no se verá afectada.

¡Si no entiende, puede comunicarse con este sitio! !