ASP fornece recursos poderosos de acesso ao sistema de arquivos e pode ler, gravar, copiar, excluir, renomear e outras operações em qualquer arquivo no disco rígido do servidor, o que representa uma enorme ameaça à segurança do site da escola. Hoje em dia, muitos hosts de campus foram infestados por Trojans FSO. Entretanto, após a desativação do componente FSO, a consequência é que todos os programas ASP que utilizam esse componente não poderão ser executados e não poderão atender às necessidades do cliente. Como permitir o componente FileSystemObject sem afetar a segurança do servidor (ou seja, usuários de diferentes hosts virtuais não podem usar este componente para ler e gravar arquivos de outras pessoas)?
O primeiro passo é a chave para configurar algo diferente do Windows 2000: clique com o botão direito na unidade C, clique em “Compartilhamento e Segurança”, selecione a guia “Segurança” na caixa de diálogo que aparece, exclua os grupos Todos e Usuários e se o seu site não consegue nem executar o programa ASP, adicione o grupo IIS_WPG (Figura 1) e reinicie o computador.
Após esse design, o Trojan FSO não poderá mais ser executado. Se você deseja configurar um nível de segurança mais alto, defina as configurações acima para cada partição do disco separadamente e configure diferentes usuários de acesso anônimo para cada site. A seguir está um exemplo a ser apresentado (supondo que a pasta Abc na unidade E do seu computador host tenha o site Abc.com):
1. Abra "Gerenciamento do computador→Usuários e grupos locais→Usuários", crie o usuário Abc, defina uma senha, remova a marca de seleção antes de "O usuário deve alterar a senha ao fazer login na próxima vez" e selecione "O usuário não pode alterar a senha" e " A senha nunca expira" e definir o usuário para pertencer ao grupo Convidados.
2. Clique com o botão direito em E:Abc e selecione a guia "Propriedades → Segurança". Neste momento, você pode ver que a configuração de segurança padrão da pasta é "Todos" com controle total (o conteúdo exibido pode não ser exatamente o mesmo dependendo). sobre a situação). Exclua o controle total de todos (se não puder ser excluído, clique no botão [Avançado], remova a marca de seleção na frente de "Permitir que as permissões herdadas dos pais se propaguem" e exclua tudo), adicione Administradores e usuários Abc. a todas as permissões de segurança neste diretório de sites.
3. Abra o Gerenciador IIS, clique com o botão direito no nome do host Abc.com, selecione a guia "Propriedades → Segurança de diretório" no menu pop-up, clique em [Editar] de Autenticação e controle de acesso e a caixa de diálogo mostrada na Figura 2 aparecerá. O padrão para usuários de acesso anônimo é "IUSR_machine name". Clique em [Browse], encontre a conta Abc criada anteriormente na caixa de diálogo "Select User" e digite a senha novamente após a confirmação.
Após esta configuração, o usuário que visita o site pode acessar o site na pasta E:Abc anonimamente como a conta Abc. Como a conta Abc só tem permissões de segurança para esta pasta, ele só pode usar o FSO nesta pasta.
PERGUNTAS FREQUENTES:
Como suspender o programa de upload do FSO para menos do limite de 200k?
Primeiro, feche o serviço de administração do IIS no serviço, encontre Metabase.xml no diretório WindowsSystem32Inesrv e abra-o, encontre ASPMaxRequestEntityAllowed e modifique-o para o valor necessário. O padrão é 204800, que é 200K. Altere para 51200000 (50M) e reinicie o serviço de administração do IIS.
ASP fornece recursos poderosos de acesso ao sistema de arquivos e pode ler, gravar, copiar, excluir, renomear e outras operações em qualquer arquivo no disco rígido do servidor, o que representa uma enorme ameaça à segurança do site da escola. Hoje em dia, muitos hosts de campus foram infestados por Trojans FSO. Entretanto, após a desativação do componente FSO, a consequência é que todos os programas ASP que utilizam esse componente não poderão ser executados e não poderão atender às necessidades do cliente. Como permitir o componente FileSystemObject sem afetar a segurança do servidor (ou seja, usuários de diferentes hosts virtuais não podem usar este componente para ler e gravar arquivos de outras pessoas)?
O primeiro passo é a chave para configurar algo diferente do Windows 2000: clique com o botão direito na unidade C, clique em “Compartilhamento e Segurança”, selecione a guia “Segurança” na caixa de diálogo que aparece, exclua os grupos Todos e Usuários e se o seu site não consegue nem executar o programa ASP, adicione o grupo IIS_WPG (Figura 1) e reinicie o computador.
Após esse design, o Trojan FSO não poderá mais ser executado. Se você deseja configurar um nível de segurança mais alto, defina as configurações acima para cada partição do disco separadamente e configure diferentes usuários de acesso anônimo para cada site. A seguir está um exemplo a ser apresentado (supondo que a pasta Abc na unidade E do seu computador host tenha o site Abc.com):
1. Abra "Gerenciamento do computador→Usuários e grupos locais→Usuários", crie o usuário Abc, defina uma senha, remova a marca de seleção antes de "O usuário deve alterar a senha ao fazer login na próxima vez" e selecione "O usuário não pode alterar a senha" e " A senha nunca expira" e definir o usuário para pertencer ao grupo Convidados.
2. Clique com o botão direito em E:Abc e selecione a guia "Propriedades → Segurança". Neste momento, você pode ver que a configuração de segurança padrão da pasta é "Todos" com controle total (o conteúdo exibido pode não ser exatamente o mesmo dependendo). sobre a situação). Exclua o controle total de todos (se não puder ser excluído, clique no botão [Avançado], remova a marca de seleção na frente de "Permitir que as permissões herdadas dos pais se propaguem" e exclua tudo), adicione Administradores e usuários Abc. a todas as permissões de segurança neste diretório de sites.
3. Abra o Gerenciador IIS, clique com o botão direito no nome do host Abc.com, selecione a guia "Propriedades → Segurança de diretório" no menu pop-up, clique em [Editar] de Autenticação e controle de acesso e a caixa de diálogo mostrada na Figura 2 aparecerá. O padrão para usuários de acesso anônimo é "IUSR_machine name". Clique em [Browse], encontre a conta Abc criada anteriormente na caixa de diálogo "Select User" e digite a senha novamente após a confirmação.
Após esta configuração, o usuário que visita o site pode acessar o site na pasta E:Abc anonimamente como a conta Abc. Como a conta Abc só tem permissões de segurança para esta pasta, ele só pode usar o FSO nesta pasta.