ASP bietet leistungsstarke Funktionen für Dateisystemzugriffsfunktionen, mit denen die Datei auf der Serverfestplatte gelesen, schreiben, kopieren, löschen und umbenennen können, die eine enorme Bedrohung für die Sicherheit von Schulwebsites darstellt. Heutzutage wurden viele Campus -Gastgeber von FSO -Trojanern eingedrungen. Nach der Deaktivierung der FSO -Komponente ist jedoch die Folge, dass alle ASP -Programme, die diese Komponente verwenden, nicht ausgeführt werden können und die Bedürfnisse der Kunden nicht erfüllen können. Wie kann man die Dateisystem -System -Komponente erlauben, ohne die Sicherheit des Servers zu beeinflussen (dh verschiedene virtuelle Hostbenutzer können diese Komponente nicht zum Lesen und Schreiben anderer Personen verwenden)? Das Folgende ist die Erfahrung, die ich im Laufe der Jahre untersucht habe:
Der erste Schritt ist der Schlüssel, um es von Windows 2000-Einstellungen zu unterscheiden: Klicken Sie mit der rechten Maustaste auf das C-Laufwerk, klicken Sie im Dialogfeld "Teilen und Sicherheit", wählen Sie die Registerkarte "Sicherheit" aus, löschen Sie die Gruppen aller und Benutzer. Wenn Ihre Website nach dem Löschen das ASP -Programm nicht einmal ausführen kann, fügen Sie bitte die IIS_WPG -Gruppe (Abbildung 1) hinzu und starten Sie den Computer neu.
Abbildung 1
Nach diesem Design kann der FSO -Trojaner nicht mehr laufen. Wenn Sie mehr Sicherheitseinstellungen vornehmen möchten, legen Sie bitte jede Festplattenpartition wie oben fest und setzen Sie verschiedene anonyme Zugriffsbenutzer für jede Website fest. Im Folgenden ist ein Beispiel (Angenommen, der ABC -Ordner der E -Scheibe auf Ihrem Host befindet sich auf der Website von ABC.com):
1. Öffnen Sie "Computerverwaltung → lokale Benutzer und Gruppen → Benutzer", erstellen Sie einen ABC -Benutzer und legen Sie ein Kennwort fest und entfernen Sie das Checkmark, bevor "Benutzer beim nächsten Mal, wenn Sie sich anmelden," Benutzer nicht ändern "und" Kennwort niemals abläuft ". Setzen Sie den Benutzer auf die Gruppengruppe der Gäste.
2. Klicken Sie mit der rechten Maustaste auf E: ABC und wählen Sie die Registerkarte "Eigenschaften → Sicherheit". Sie können sehen, dass die Standardsicherheitseinstellung dieses Ordners "jeder" vollständige Kontrolle ist (der angezeigte Inhalt ist abhängig von der Situation nicht gleich), löschen Sie die vollständige Kontrolle über alle (wenn sie nicht gelöscht werden kann, klicken Sie bitte auf die Schaltfläche [Advanced], um das Checkmark vor "Erlauben der Erbschaftsberechtigung zuzulassen.
3. Öffnen Sie den IIS-Manager, klicken Sie mit der rechten Maustaste auf den ABC.com-Hostnamen, wählen Sie die Registerkarte "Eigenschaften → Verzeichnissicherheit" im Popup-Menü, klicken Sie auf [Bearbeiten] der Authentifizierung und Zugriffskontrolle, und das in Abbildung 2 gezeigte Dialogfeld wird angezeigt. Die Standardeinstellung für den anonymen Zugriffsbenutzer ist "iusr_machine name". Klicken Sie auf [Durchsuchen], finden Sie das ABC -Konto, das früher im Dialogfeld "Benutzer auswählen" erstellt wurde, und geben Sie das Kennwort nach der Bestätigung wiederholt ein.
Abbildung 2
Nach dieser Einstellung greift der Benutzer, der die Website besucht, als ABC -Konto anonym auf die Website des E: ABC -Ordners. Da das ABC -Konto nur Sicherheitsberechtigungen für diesen Ordner enthält, kann er nur FSO in diesem Ordner verwenden.
Wie hebe ich die Grenze des FSO -Upload -Programms weniger als 200.000 an?Schließen Sie zunächst den IIS -Administratordienst im Dienst und finden Sie die Metabase unter dem Windows \System32 \inesrv -Verzeichnis. XML und öffnen Sie AspmaxRequestentityallowed und ändern Sie ihn auf den erforderlichen Wert. Der Standardwert ist 204800, dh 200K, modifizieren Sie es auf 51200000 (50 m) und starten Sie dann den IIS -Administratordienst neu.
ASP bietet leistungsstarke Funktionen für Dateisystemzugriffsfunktionen, mit denen die Datei auf der Serverfestplatte gelesen, schreiben, kopieren, löschen und umbenennen können, die eine enorme Bedrohung für die Sicherheit von Schulwebsites darstellt. Heutzutage wurden viele Campus -Gastgeber von FSO -Trojanern eingedrungen. Nach der Deaktivierung der FSO -Komponente ist jedoch die Folge, dass alle ASP -Programme, die diese Komponente verwenden, nicht ausgeführt werden können und die Bedürfnisse der Kunden nicht erfüllen können. Wie kann man die Dateisystem -System -Komponente erlauben, ohne die Sicherheit des Servers zu beeinflussen (dh verschiedene virtuelle Hostbenutzer können diese Komponente nicht zum Lesen und Schreiben anderer Personen verwenden)? Das Folgende ist die Erfahrung, die ich im Laufe der Jahre untersucht habe:
Der erste Schritt ist der Schlüssel zur Unterscheidung von Windows 2000-Einstellungen: Klicken Sie mit der rechten Maustaste auf das C-Laufwerk, klicken Sie auf "Teilen und Sicherheit". Wenn Ihre Website nach dem Löschen das ASP -Programm nicht einmal ausführen kann, fügen Sie bitte die IIS_WPG -Gruppe (Abbildung 1) hinzu und starten Sie den Computer neu.
Nach diesem Design kann der FSO -Trojaner nicht mehr laufen. Wenn Sie mehr Sicherheitseinstellungen vornehmen möchten, legen Sie bitte jede Festplattenpartition wie oben fest und setzen Sie verschiedene anonyme Zugriffsbenutzer für jede Website fest. Im Folgenden ist ein Beispiel (Angenommen, der ABC -Ordner der E -Scheibe auf Ihrem Host befindet sich auf der Website von ABC.com):
1. Öffnen Sie "Computerverwaltung → lokale Benutzer und Gruppen → Benutzer", erstellen Sie einen ABC -Benutzer und legen Sie ein Kennwort fest und entfernen Sie das Checkmark, bevor "Benutzer beim nächsten Mal, wenn Sie sich anmelden," Benutzer nicht ändern "und" Kennwort niemals abläuft ". Setzen Sie den Benutzer auf die Gruppengruppe der Gäste.
2. Klicken Sie mit der rechten Maustaste auf E: ABC und wählen Sie die Registerkarte "Eigenschaften → Sicherheit". Sie können sehen, dass die Standardsicherheitseinstellung dieses Ordners "jeder" vollständige Kontrolle ist (der angezeigte Inhalt ist abhängig von der Situation nicht gleich), löschen Sie die vollständige Kontrolle über alle (wenn sie nicht gelöscht werden kann, klicken Sie bitte auf die Schaltfläche [Advanced], um das Checkmark vor "Erlauben der Erbschaftsberechtigung zuzulassen.
3. Öffnen Sie den IIS-Manager, klicken Sie mit der rechten Maustaste auf den ABC.com-Hostnamen, wählen Sie die Registerkarte "Eigenschaften → Verzeichnissicherheit" im Popup-Menü, klicken Sie auf [Bearbeiten] der Authentifizierung und Zugriffskontrolle, und das in Abbildung 2 gezeigte Dialogfeld wird angezeigt. Die Standardeinstellung für den anonymen Zugriffsbenutzer ist "iusr_machine name". Klicken Sie auf [Durchsuchen], finden Sie das ABC -Konto, das früher im Dialogfeld "Benutzer auswählen" erstellt wurde, und geben Sie das Kennwort nach der Bestätigung wiederholt ein.
Nach dieser Einstellung greift der Benutzer, der die Website besucht, als ABC -Konto anonym auf die Website des E: ABC -Ordners. Da das ABC -Konto nur Sicherheitsberechtigungen für diesen Ordner enthält, kann er nur FSO in diesem Ordner verwenden.
FAQ:
Wie hebe ich die Grenze des FSO -Upload -Programms weniger als 200.000 an?
Schließen Sie zunächst den IIS -Administratordienst im Dienst und finden Sie die Metabase unter dem Windows \System32 \inesrv -Verzeichnis. XML und öffnen Sie AspmaxRequestentityallowed und ändern Sie ihn auf den erforderlichen Wert. Der Standardwert ist 204800, dh 200K, modifizieren Sie es auf 51200000 (50 m) und starten Sie dann den IIS -Administratordienst neu.