تحسين أمن FSO تحت Win2003

يوفر ASP إمكانات وصول نظام الملفات القوية ، والتي يمكنها قراءة ، الكتابة ، نسخ ، حذف ، إعادة تسمية أي ملف على القرص الصلب الخادم ، والذي يمثل تهديدًا كبيرًا لأمن المواقع الإلكترونية للمدارس. في الوقت الحاضر ، تم غزو العديد من مضيفي الحرم الجامعي من قبل FSO Trojans. ومع ذلك ، بعد تعطيل مكون FSO ، فإن النتيجة هي أن جميع برامج ASP التي تستخدم هذا المكون لن تكون قادرة على التشغيل ولا يمكنها تلبية احتياجات العملاء. كيفية السماح لمكون FileSystemObject دون التأثير على أمان الخادم (أي أن مستخدمي المضيف الظاهري المختلفين لا يمكنهم استخدام هذا المكون لقراءة ملفات الآخرين وكتابةها)؟ فيما يلي التجربة التي اكتشفتها على مر السنين:

الخطوة الأولى هي المفتاح لتمييزه عن إعدادات Windows 2000: انقر بزر الماوس الأيمن على محرك C ، انقر فوق "Share and Security" ، وحدد علامة التبويب "الأمان" في مربع الحوار ، وحذف مجموعات الجميع والمستخدمين. بعد الحذف ، إذا لم يتمكن موقع الويب الخاص بك من تشغيل برنامج ASP ، فيرجى إضافة مجموعة IIS_WPG (الشكل 1) وإعادة تشغيل الكمبيوتر.

الشكل 1

بعد هذا التصميم ، لم يعد بإمكان FSO Trojan الركض. إذا كنت ترغب في إعداد المزيد من إعدادات الأمان ، فيرجى تعيين كل قسم على قرص على النحو الوارد أعلاه وتعيين مستخدمي الوصول المجهول المختلفين لكل موقع. فيما يلي مثال (افترض أن مجلد ABC من القرص E على مضيفك يقع في موقع ABC.com):

1. افتح "إدارة الكمبيوتر → المستخدمين والمجموعات المحلية → المستخدمين" ، وإنشاء مستخدم ABC ، وتعيين كلمة مرور ، وقم بإزالة علامة الاختيار قبل "يجب على المستخدم تغيير كلمات المرور في المرة القادمة التي تقوم فيها بتسجيل الدخول" ، وتحديد "لا يمكن للمستخدم تغيير كلمات المرور" و "كلمة المرور لا تنتهي أبدًا" ، وتعيين المستخدم للانتماء إلى مجموعة الضيوف.

2. انقر بزر الماوس الأيمن فوق E: ABC وحدد علامة التبويب "خصائص → الأمان". يمكنك أن ترى أن إعداد الأمان الافتراضي لهذا المجلد هو التحكم الكامل "للجميع" (المحتوى المعروض ليس هو نفسه تمامًا اعتمادًا على الموقف) ، وحذف التحكم الكامل للجميع (إذا لم يكن من الممكن حذفه ، فيرجى النقر فوق الزر [المتقدم] لإزالة علامة الاختيار أمام مستخدمي موقع الويب هذا.

3. افتح مدير IIS ، انقر بزر الماوس الأيمن فوق اسم مضيف ABC.com ، حدد علامة التبويب "Properties → Directory Security" في القائمة المنبثقة ، انقر فوق [تحرير] التحكم في المصادقة والوصول ، ومربع الحوار الموضح في الشكل 2. الافتراضي لمستخدم الوصول المجهول هو "اسم iusr_machine". انقر فوق [استعراض] ، ابحث عن حساب ABC الذي تم إنشاؤه مسبقًا في مربع الحوار "تحديد المستخدم" ، وأدخل كلمة المرور بشكل متكرر بعد التأكيد.

الشكل 2

بعد هذا الإعداد ، سيقوم المستخدم الذي يزور موقع الويب بالوصول إلى موقع مجلد E: ABC بشكل مجهول كحساب ABC. نظرًا لأن حساب ABC يحتوي فقط على أذونات أمنية لهذا المجلد ، فلا يمكنه استخدام FSO إلا في هذا المجلد.

أولاً ، أغلق خدمة خدمة IIS Admin في الخدمة وابحث عن Metabase ضمن دليل Windows ＼system32 ＼inesrv. XML وفتح ، ابحث عن aspmaxRequestEntityed ، وقم بتعديله إلى القيمة المطلوبة. الافتراضي هو 204800 ، أي 200 كيلو ، قم بتعديله إلى 51200000 (50 مترًا) ، ثم أعد تشغيل خدمة مسؤول IIS.

يوفر ASP إمكانات وصول نظام الملفات القوية ، والتي يمكنها قراءة ، الكتابة ، نسخ ، حذف ، إعادة تسمية أي ملف على القرص الصلب الخادم ، والذي يمثل تهديدًا كبيرًا لأمن المواقع الإلكترونية للمدارس. في الوقت الحاضر ، تم غزو العديد من مضيفي الحرم الجامعي من قبل FSO Trojans. ومع ذلك ، بعد تعطيل مكون FSO ، فإن النتيجة هي أن جميع برامج ASP التي تستخدم هذا المكون لن تكون قادرة على التشغيل ولا يمكنها تلبية احتياجات العملاء. كيفية السماح لمكون FileSystemObject دون التأثير على أمان الخادم (أي أن مستخدمي المضيف الظاهري المختلفين لا يمكنهم استخدام هذا المكون لقراءة ملفات الآخرين وكتابةها)؟ فيما يلي التجربة التي اكتشفتها على مر السنين:

الخطوة الأولى هي مفتاح التمييز بين إعدادات Windows 2000: انقر بزر الماوس الأيمن على محرك C ، انقر فوق "Share and Security" للغاية ، حذف مجموعة المستخدمين. بعد الحذف ، إذا لم يتمكن موقع الويب الخاص بك من تشغيل برنامج ASP ، فيرجى إضافة مجموعة IIS_WPG (الشكل 1) وإعادة تشغيل الكمبيوتر.

بعد هذا التصميم ، لم يعد بإمكان FSO Trojan الركض. إذا كنت ترغب في إعداد المزيد من إعدادات الأمان ، فيرجى تعيين كل قسم على قرص على النحو الوارد أعلاه وتعيين مستخدمي الوصول المجهول المختلفين لكل موقع. فيما يلي مثال (افترض أن مجلد ABC من القرص E على مضيفك يقع في موقع ABC.com):

1. افتح "إدارة الكمبيوتر → المستخدمين والمجموعات المحلية → المستخدمين" ، وإنشاء مستخدم ABC ، وتعيين كلمة مرور ، وقم بإزالة علامة الاختيار قبل "يجب على المستخدم تغيير كلمات المرور في المرة القادمة التي تقوم فيها بتسجيل الدخول" ، وتحديد "لا يمكن للمستخدم تغيير كلمات المرور" و "كلمة المرور لا تنتهي أبدًا" ، وتعيين المستخدم للانتماء إلى مجموعة الضيوف.

2. انقر بزر الماوس الأيمن فوق E: ABC وحدد علامة التبويب "خصائص → الأمان". يمكنك أن ترى أن إعداد الأمان الافتراضي لهذا المجلد هو التحكم الكامل "للجميع" (المحتوى المعروض ليس هو نفسه تمامًا اعتمادًا على الموقف) ، وحذف التحكم الكامل للجميع (إذا لم يكن من الممكن حذفه ، فيرجى النقر فوق الزر [المتقدم] لإزالة علامة الاختيار أمام مستخدمي موقع الويب هذا.

3. افتح مدير IIS ، انقر بزر الماوس الأيمن فوق اسم مضيف ABC.com ، حدد علامة التبويب "Properties → Directory Security" في القائمة المنبثقة ، انقر فوق [تحرير] التحكم في المصادقة والوصول ، ومربع الحوار الموضح في الشكل 2. الافتراضي لمستخدم الوصول المجهول هو "اسم iusr_machine". انقر فوق [استعراض] ، ابحث عن حساب ABC الذي تم إنشاؤه مسبقًا في مربع الحوار "تحديد المستخدم" ، وأدخل كلمة المرور بشكل متكرر بعد التأكيد.

بعد هذا الإعداد ، سيقوم المستخدم الذي يزور موقع الويب بالوصول إلى موقع مجلد E: ABC بشكل مجهول كحساب ABC. نظرًا لأن حساب ABC يحتوي فقط على أذونات أمنية لهذا المجلد ، فلا يمكنه استخدام FSO إلا في هذا المجلد.

التعليمات:

كيفية رفع حد برنامج تحميل FSO أقل من 200 كيلو؟

أولاً ، أغلق خدمة خدمة IIS Admin في الخدمة وابحث عن Metabase ضمن دليل Windows ＼system32 ＼inesrv. XML وفتح ، ابحث عن aspmaxRequestEntityed ، وقم بتعديله إلى القيمة المطلوبة. الافتراضي هو 204800 ، أي 200 كيلو ، قم بتعديله إلى 51200000 (50 مترًا) ، ثم أعد تشغيل خدمة مسؤول IIS.