ASP fournit des capacités d'accès au système de fichiers puissantes, qui peuvent lire, écrire, copier, supprimer, renommer n'importe quel fichier sur le disque dur du serveur, qui représente une énorme menace pour la sécurité des sites Web de l'école. De nos jours, de nombreux hôtes du campus ont été envahis par les chevaux de Troie FSO. Cependant, après avoir désactivé le composant FSO, la conséquence est que tous les programmes ASP qui utilisent ce composant ne pourront pas s'exécuter et ne peuvent pas répondre aux besoins des clients. Comment autoriser le composant FileSystemObject sans affecter la sécurité du serveur (c'est-à-dire que différents utilisateurs d'hôtes virtuels ne peuvent pas utiliser ce composant pour lire et écrire les fichiers d'autres personnes)? Ce qui suit est l'expérience que j'ai explorée au fil des ans:
La première étape est la clé pour la différencier des paramètres de Windows 2000: cliquez avec le bouton droit sur le lecteur C, cliquez sur "Partage et sécurité", sélectionnez l'onglet "Sécurité" dans la boîte de dialogue, supprimez les groupes de tous et des utilisateurs. Après suppression, si votre site Web ne peut même pas exécuter le programme ASP, veuillez ajouter le groupe IIS_WPG (figure 1) et redémarrer l'ordinateur.
Figure 1
Après cette conception, le FSO Trojan ne peut plus fonctionner. Si vous souhaitez créer plus de paramètres de sécurité, veuillez définir chaque partition de disque comme ci-dessus et définir différents utilisateurs d'accès anonymes pour chaque site. Ce qui suit est un exemple (supposons que le dossier ABC du disque E sur votre hôte soit situé sur le site ABC.com):
1. Ouvrez "Management Computer → Utilisateurs et groupes locaux → Utilisateurs", créez un utilisateur ABC et définissez un mot de passe, et supprimez la vérification avant que "l'utilisateur ne doit modifier les mots de passe la prochaine fois que vous vous connectez", sélectionnez "L'utilisateur ne peut pas modifier les mots de passe" et "le mot de passe ne s'expire jamais" et définissez l'utilisateur pour appartenir au groupe des invités.
2. Cliquez avec le bouton droit sur E: ABC et sélectionnez l'onglet "Propriétés → Sécurité". Vous pouvez voir que le paramètre de sécurité par défaut de ce dossier est un contrôle complet "tout le monde" (le contenu affiché n'est pas exactement le même en fonction de la situation), supprimez le contrôle complet de tout le monde (s'il ne peut pas être supprimé, veuillez cliquer sur le bouton [avancé] pour supprimer la vérification devant "Autoriser la propagation de l'autorisation de l'héritage des parents" et supprimer tous).
3. Ouvrez IIS Manager, cliquez avec le bouton droit sur le nom d'hôte ABC.com, sélectionnez l'onglet "Propriétés → Sécurité du répertoire" dans le menu contextuel, cliquez sur [Modifier] de l'authentification et du contrôle d'accès, et la boîte de dialogue illustrée à la figure 2 apparaît. La valeur par défaut de l'utilisateur d'accès anonyme est "IUSR_MACHINE NAME". Cliquez sur [Parcourir], recherchez le compte ABC créé plus tôt dans la boîte de dialogue "Sélectionner l'utilisateur" et entrez le mot de passe à plusieurs reprises après confirmation.
Figure 2
Après ce paramètre, l'utilisateur qui visite le site Web accédera au site du dossier E: ABC de manière anonyme en tant que compte ABC. Parce que le compte ABC n'a que des autorisations de sécurité pour ce dossier, il ne peut utiliser FSO que dans ce dossier.
Comment soulever la limite du programme de téléchargement FSO moins de 200K?Tout d'abord, fermez le service d'administration IIS dans le service et trouvez la métabase sous le répertoire Windows \System32 \inesrv. XML et ouvrez, trouvez AspmaxRequentityAllowed et modifiez-le à la valeur requise. La valeur par défaut est 204800, c'est-à-dire 200K, le modifier à 51200000 (50m), puis redémarrer le service d'administration IIS.
ASP fournit des capacités d'accès au système de fichiers puissantes, qui peuvent lire, écrire, copier, supprimer, renommer n'importe quel fichier sur le disque dur du serveur, qui représente une énorme menace pour la sécurité des sites Web de l'école. De nos jours, de nombreux hôtes du campus ont été envahis par les chevaux de Troie FSO. Cependant, après avoir désactivé le composant FSO, la conséquence est que tous les programmes ASP qui utilisent ce composant ne pourront pas s'exécuter et ne peuvent pas répondre aux besoins des clients. Comment autoriser le composant FileSystemObject sans affecter la sécurité du serveur (c'est-à-dire que différents utilisateurs d'hôtes virtuels ne peuvent pas utiliser ce composant pour lire et écrire les fichiers d'autres personnes)? Ce qui suit est l'expérience que j'ai explorée au fil des ans:
La première étape est la clé pour se différencier des paramètres de Windows 2000: cliquez avec le bouton droit sur le lecteur C, cliquez sur "Partager et la sécurité", les utilisateurs du groupe Supprimer. Après suppression, si votre site Web ne peut même pas exécuter le programme ASP, veuillez ajouter le groupe IIS_WPG (figure 1) et redémarrer l'ordinateur.
Après cette conception, le FSO Trojan ne peut plus fonctionner. Si vous souhaitez créer plus de paramètres de sécurité, veuillez définir chaque partition de disque comme ci-dessus et définir différents utilisateurs d'accès anonymes pour chaque site. Ce qui suit est un exemple (supposons que le dossier ABC du disque E sur votre hôte soit situé sur le site ABC.com):
1. Ouvrez "Management Computer → Utilisateurs et groupes locaux → Utilisateurs", créez un utilisateur ABC et définissez un mot de passe, et supprimez la vérification avant que "l'utilisateur ne doit modifier les mots de passe la prochaine fois que vous vous connectez", sélectionnez "L'utilisateur ne peut pas modifier les mots de passe" et "le mot de passe ne s'expire jamais" et définissez l'utilisateur pour appartenir au groupe des invités.
2. Cliquez avec le bouton droit sur E: ABC et sélectionnez l'onglet "Propriétés → Sécurité". Vous pouvez voir que le paramètre de sécurité par défaut de ce dossier est un contrôle complet "tout le monde" (le contenu affiché n'est pas exactement le même en fonction de la situation), supprimez le contrôle complet de tout le monde (s'il ne peut pas être supprimé, veuillez cliquer sur le bouton [avancé] pour supprimer la vérification devant "Autoriser la propagation de l'autorisation de l'héritage des parents" et supprimer tous).
3. Ouvrez IIS Manager, cliquez avec le bouton droit sur le nom d'hôte ABC.com, sélectionnez l'onglet "Propriétés → Sécurité du répertoire" dans le menu contextuel, cliquez sur [Modifier] de l'authentification et du contrôle d'accès, et la boîte de dialogue illustrée à la figure 2 apparaît. La valeur par défaut de l'utilisateur d'accès anonyme est "IUSR_MACHINE NAME". Cliquez sur [Parcourir], recherchez le compte ABC créé plus tôt dans la boîte de dialogue "Sélectionner l'utilisateur" et entrez le mot de passe à plusieurs reprises après confirmation.
Après ce paramètre, l'utilisateur qui visite le site Web accédera au site du dossier E: ABC de manière anonyme en tant que compte ABC. Parce que le compte ABC n'a que des autorisations de sécurité pour ce dossier, il ne peut utiliser FSO que dans ce dossier.
FAQ:
Comment soulever la limite du programme de téléchargement FSO moins de 200K?
Tout d'abord, fermez le service d'administration IIS dans le service et trouvez la métabase sous le répertoire Windows \System32 \inesrv. XML et ouvrez, trouvez AspmaxRequentityAllowed et modifiez-le à la valeur requise. La valeur par défaut est 204800, c'est-à-dire 200K, le modifier à 51200000 (50m), puis redémarrer le service d'administration IIS.