ASP proporciona poderosas capacidades de acceso al sistema de archivos y puede leer, escribir, copiar, eliminar, cambiar el nombre y otras operaciones en cualquier archivo en el disco duro del servidor, lo que representa una gran amenaza para la seguridad del sitio web de la escuela. Hoy en día, muchos hosts de campus han sido infestados por troyanos FSO. Sin embargo, después de deshabilitar el componente FSO, la consecuencia es que todos los programas ASP que utilicen este componente no podrán ejecutarse y no podrán satisfacer las necesidades del cliente. ¿Cómo permitir el componente FileSystemObject sin afectar la seguridad del servidor (es decir, los usuarios de diferentes hosts virtuales no pueden usar este componente para leer y escribir archivos de otras personas)? La siguiente es la experiencia del autor adquirida a lo largo de los años:
El primer paso es la clave para configurar algo diferente a Windows 2000: haga clic con el botón derecho en la unidad C, haga clic en "Compartir y seguridad", seleccione la pestaña "Seguridad" en el cuadro de diálogo que aparece, elimine los grupos Todos y Usuarios, y Si su sitio web ni siquiera puede ejecutar el programa ASP, agregue el grupo IIS_WPG (Figura 1) y reinicie la computadora.
Después de este diseño, el troyano FSO ya no puede ejecutarse. Si desea configurar un nivel de seguridad más alto, configure las configuraciones anteriores para cada partición del disco por separado y configure diferentes usuarios de acceso anónimo para cada sitio. El siguiente es un ejemplo para presentar (suponiendo que la carpeta Abc en la unidad E de su computadora host tenga el sitio Abc.com):
1. Abra "Administración de computadoras → Usuarios y grupos locales → Usuarios", cree el usuario Abc, establezca una contraseña, elimine la marca de verificación antes de "El usuario debe cambiar la contraseña la próxima vez que inicie sesión" y seleccione "El usuario no puede cambiar la contraseña" y " La contraseña nunca caduca" y configura el usuario para que pertenezca al grupo Invitados.
2. Haga clic derecho en E:Abc y seleccione la pestaña "Propiedades → Seguridad". En este momento, puede ver que la configuración de seguridad predeterminada de la carpeta es control total "Todos" (el contenido mostrado puede no ser exactamente el mismo dependiendo). según la situación). Eliminar el control total de todos (si no se puede eliminar, haga clic en el botón [Avanzado], elimine la marca de verificación delante de "Permitir que se propaguen los permisos heredados de los padres" y elimine todo), agregue administradores y usuarios de Abc. a todos los permisos de seguridad en el directorio de este sitio web.
3. Abra el Administrador de IIS, haga clic con el botón derecho en el nombre de host de Abc.com, seleccione la pestaña "Propiedades → Seguridad de directorio" en el menú emergente, haga clic en [Editar] de Autenticación y control de acceso y aparezca el cuadro de diálogo que se muestra en la Figura 2. Aparecerá el valor predeterminado para usuarios de acceso anónimo es "IUSR_nombre de máquina". Haga clic en [Examinar], busque la cuenta Abc creada anteriormente en el cuadro de diálogo "Seleccionar usuario" e ingrese la contraseña nuevamente después de la confirmación.
Después de esta configuración, el usuario que visita el sitio web puede acceder al sitio en la carpeta E:Abc de forma anónima como la cuenta Abc. Debido a que la cuenta Abc solo tiene permisos de seguridad para esta carpeta, solo puede usar FSO en esta carpeta.
Preguntas frecuentes:
¿Cómo levantar el programa de carga FSO por debajo del límite de 200k?
Primero, cierre el servicio de administración de IIS en el servicio, busque Metabase.xml en el directorio WindowsSystem32Inesrv y ábralo, busque ASPMaxRequestEntityAllowed y modifíquelo al valor requerido. El valor predeterminado es 204800, que es 200 K. Cámbielo a 51200000 (50 M) y luego reinicie el servicio de administración de IIS.
ASP proporciona poderosas capacidades de acceso al sistema de archivos y puede leer, escribir, copiar, eliminar, cambiar el nombre y otras operaciones en cualquier archivo en el disco duro del servidor, lo que representa una gran amenaza para la seguridad del sitio web de la escuela. Hoy en día, muchos hosts de campus han sido infestados por troyanos FSO. Sin embargo, después de deshabilitar el componente FSO, la consecuencia es que todos los programas ASP que utilicen este componente no podrán ejecutarse y no podrán satisfacer las necesidades del cliente. ¿Cómo permitir el componente FileSystemObject sin afectar la seguridad del servidor (es decir, los usuarios de diferentes hosts virtuales no pueden usar este componente para leer y escribir archivos de otras personas)? La siguiente es la experiencia del autor adquirida a lo largo de los años:
El primer paso es la clave para configurar algo diferente a Windows 2000: haga clic con el botón derecho en la unidad C, haga clic en "Compartir y seguridad", seleccione la pestaña "Seguridad" en el cuadro de diálogo que aparece, elimine los grupos Todos y Usuarios, y Si su sitio web ni siquiera puede ejecutar el programa ASP, agregue el grupo IIS_WPG (Figura 1) y reinicie la computadora.
Después de este diseño, el troyano FSO ya no puede ejecutarse. Si desea configurar un nivel de seguridad más alto, configure las configuraciones anteriores para cada partición del disco por separado y configure diferentes usuarios de acceso anónimo para cada sitio. El siguiente es un ejemplo para presentar (suponiendo que la carpeta Abc en la unidad E de su computadora host tenga el sitio Abc.com):
1. Abra "Administración de computadoras → Usuarios y grupos locales → Usuarios", cree el usuario Abc, establezca una contraseña, elimine la marca de verificación antes de "El usuario debe cambiar la contraseña la próxima vez que inicie sesión" y seleccione "El usuario no puede cambiar la contraseña" y " La contraseña nunca caduca" y configura el usuario para que pertenezca al grupo Invitados.
2. Haga clic derecho en E:Abc y seleccione la pestaña "Propiedades → Seguridad". En este momento, puede ver que la configuración de seguridad predeterminada de la carpeta es control total "Todos" (el contenido mostrado puede no ser exactamente el mismo dependiendo). según la situación). Eliminar el control total de todos (si no se puede eliminar, haga clic en el botón [Avanzado], elimine la marca de verificación delante de "Permitir que se propaguen los permisos heredados de los padres" y elimine todo), agregue administradores y usuarios de Abc. a todos los permisos de seguridad en el directorio de este sitio web.
3. Abra el Administrador de IIS, haga clic con el botón derecho en el nombre de host de Abc.com, seleccione la pestaña "Propiedades → Seguridad de directorio" en el menú emergente, haga clic en [Editar] de Autenticación y control de acceso y aparezca el cuadro de diálogo que se muestra en la Figura 2. Aparecerá el valor predeterminado para usuarios de acceso anónimo es "IUSR_nombre de máquina". Haga clic en [Examinar], busque la cuenta Abc creada anteriormente en el cuadro de diálogo "Seleccionar usuario" e ingrese la contraseña nuevamente después de la confirmación.
Después de esta configuración, el usuario que visita el sitio web puede acceder al sitio en la carpeta E:Abc de forma anónima como la cuenta Abc. Debido a que la cuenta Abc solo tiene permisos de seguridad para esta carpeta, solo puede usar FSO en esta carpeta.