ASP proporciona potentes capacidades de acceso al sistema de archivos, que pueden leer, escribir, copiar, eliminar, cambiar el nombre de cualquier archivo en el disco duro del servidor, lo que representa una gran amenaza para la seguridad de los sitios web escolares. Hoy en día, muchos anfitriones del campus han sido invadidos por los troyanos FSO. Sin embargo, después de deshabilitar el componente FSO, la consecuencia es que todos los programas ASP que utilizan este componente no podrán ejecutarse y no pueden satisfacer las necesidades de los clientes. ¿Cómo permitir el componente del sistema de archivos sin afectar la seguridad del servidor (es decir, diferentes usuarios de host virtual no pueden usar este componente para leer y escribir los archivos de otras personas)? La siguiente es la experiencia que he explorado a lo largo de los años:
El primer paso es la clave para diferenciarlo desde la configuración de Windows 2000: haga clic con el botón derecho en la unidad C, haga clic en "Compartir y Seguridad", seleccione la pestaña "Seguridad" en el cuadro de diálogo, elimine los grupos de todos y de usuarios. Después de la eliminación, si su sitio web ni siquiera puede ejecutar el programa ASP, agregue el grupo IIS_WPG (Figura 1) y reinicie la computadora.
Figura 1
Después de este diseño, el troyano FSO ya no puede correr. Si desea realizar más configuraciones de seguridad, configure cada partición de disco como se indica anteriormente y configure diferentes usuarios de acceso anónimo para cada sitio. El siguiente es un ejemplo (supongamos que la carpeta ABC del disco E en su host se encuentra en el sitio ABC.com):
1. Abra "Gestión de computadora → Usuarios y grupos locales → usuarios", cree un usuario de ABC y establezca una contraseña y elimine la marca de verificación antes de que el "usuario debe cambiar las contraseñas la próxima vez que inicie sesión", seleccione "El usuario no puede cambiar las contraseñas" y "la contraseña nunca vence", y establecer el usuario para pertenecer al grupo de invitados.
2. Haga clic derecho en E: ABC y seleccione la pestaña "Propiedades → Seguridad". Puede ver que la configuración de seguridad predeterminada de esta carpeta es el control completo de "todos" (el contenido que se muestra no es exactamente el mismo dependiendo de la situación), elimine el control completo de todos (si no se puede eliminar, haga clic en el botón [Avanzado] para eliminar la marca de verificación frente a los usuarios de verificación de la herencia de los padres "y elimine todas las permisiones de seguridad de los administradores y los usuarios de ABC a este sitio web.
3. Abra el Administrador de IIS, haga clic con el botón derecho en el nombre de host ABC.com, seleccione la pestaña "Propiedades → Seguridad del directorio" en el menú emergente, haga clic en [Editar] de autenticación y control de acceso, y el cuadro de diálogo que se muestra en la Figura 2 aparece. El valor predeterminado para el usuario de acceso anónimo es "nombre IUSR_MACHINE". Haga clic en [Explorar], busque la cuenta ABC creada anteriormente en el cuadro de diálogo "Seleccionar usuario" e ingrese la contraseña repetidamente después de la confirmación.
Figura 2
Después de esta configuración, el usuario que visita el sitio web accederá al sitio de la carpeta E: ABC de forma anónima como una cuenta ABC. Debido a que la cuenta ABC solo tiene permisos de seguridad para esta carpeta, solo puede usar FSO en esta carpeta.
¿Cómo levantar el límite del programa de carga FSO de menos de 200k?Primero, cierre el servicio de servicio de administración IIS en el servicio y encuentre la metabase en el directorio de Windows \System32 \inesRV. XML y abierto, encuentre AspmaxRequestEntityLowned y modifíquelo al valor requerido. El valor predeterminado es 204800, es decir, 200k, modificarlo a 51200000 (50 m) y luego reiniciar el servicio de administración IIS.
ASP proporciona potentes capacidades de acceso al sistema de archivos, que pueden leer, escribir, copiar, eliminar, cambiar el nombre de cualquier archivo en el disco duro del servidor, lo que representa una gran amenaza para la seguridad de los sitios web escolares. Hoy en día, muchos anfitriones del campus han sido invadidos por los troyanos FSO. Sin embargo, después de deshabilitar el componente FSO, la consecuencia es que todos los programas ASP que utilizan este componente no podrán ejecutarse y no pueden satisfacer las necesidades de los clientes. ¿Cómo permitir el componente del sistema de archivos sin afectar la seguridad del servidor (es decir, diferentes usuarios de host virtual no pueden usar este componente para leer y escribir los archivos de otras personas)? La siguiente es la experiencia que he explorado a lo largo de los años:
El primer paso es la clave para diferenciar desde la configuración de Windows 2000: haga clic con el botón derecho en la unidad C, haga clic en "Compartir y Seguridad", el grupo de usuarios elimina. Después de la eliminación, si su sitio web ni siquiera puede ejecutar el programa ASP, agregue el grupo IIS_WPG (Figura 1) y reinicie la computadora.
Después de este diseño, el troyano FSO ya no puede correr. Si desea realizar más configuraciones de seguridad, configure cada partición de disco como se indica anteriormente y configure diferentes usuarios de acceso anónimo para cada sitio. El siguiente es un ejemplo (supongamos que la carpeta ABC del disco E en su host se encuentra en el sitio ABC.com):
1. Abra "Gestión de computadora → Usuarios y grupos locales → usuarios", cree un usuario de ABC y establezca una contraseña y elimine la marca de verificación antes de que el "usuario debe cambiar las contraseñas la próxima vez que inicie sesión", seleccione "El usuario no puede cambiar las contraseñas" y "la contraseña nunca vence", y establecer el usuario para pertenecer al grupo de invitados.
2. Haga clic derecho en E: ABC y seleccione la pestaña "Propiedades → Seguridad". Puede ver que la configuración de seguridad predeterminada de esta carpeta es el control completo de "todos" (el contenido que se muestra no es exactamente el mismo dependiendo de la situación), elimine el control completo de todos (si no se puede eliminar, haga clic en el botón [Avanzado] para eliminar la marca de verificación frente a los usuarios de verificación de la herencia de los padres "y elimine todas las permisiones de seguridad de los administradores y los usuarios de ABC a este sitio web.
3. Abra el Administrador de IIS, haga clic con el botón derecho en el nombre de host ABC.com, seleccione la pestaña "Propiedades → Seguridad del directorio" en el menú emergente, haga clic en [Editar] de autenticación y control de acceso, y el cuadro de diálogo que se muestra en la Figura 2 aparece. El valor predeterminado para el usuario de acceso anónimo es "nombre IUSR_MACHINE". Haga clic en [Explorar], busque la cuenta ABC creada anteriormente en el cuadro de diálogo "Seleccionar usuario" e ingrese la contraseña repetidamente después de la confirmación.
Después de esta configuración, el usuario que visita el sitio web accederá al sitio de la carpeta E: ABC de forma anónima como una cuenta ABC. Debido a que la cuenta ABC solo tiene permisos de seguridad para esta carpeta, solo puede usar FSO en esta carpeta.
Preguntas frecuentes:
¿Cómo levantar el límite del programa de carga FSO de menos de 200k?
Primero, cierre el servicio de servicio de administración IIS en el servicio y encuentre la metabase en el directorio de Windows \System32 \inesRV. XML y abierto, encuentre AspmaxRequestEntityLowned y modifíquelo al valor requerido. El valor predeterminado es 204800, es decir, 200k, modificarlo a 51200000 (50 m) y luego reiniciar el servicio de administración IIS.