O ASP fornece poderosos recursos de acesso ao sistema de arquivos, que podem ler, escrever, copiar, excluir, renomear qualquer arquivo no disco rígido do servidor, que representa uma enorme ameaça à segurança dos sites escolares. Atualmente, muitos anfitriões do campus foram invadidos pelos Trojans FSO. No entanto, após desativar o componente FSO, a conseqüência é que todos os programas ASP que utilizam esse componente não poderão executar e não podem atender às necessidades dos clientes. Como permitir o componente FileSystemObject sem afetar a segurança do servidor (ou seja, diferentes usuários do host virtual não podem usar esse componente para ler e escrever arquivos de outras pessoas)? A seguir, a experiência que explorei ao longo dos anos:
A primeira etapa é a chave para diferenciá-la das configurações do Windows 2000: clique com o botão direito do mouse na unidade C, clique em "Compartilhar e segurança", selecione a guia "Segurança" na caixa de diálogo, exclua os grupos todos e usuários. Após a exclusão, se o seu site não conseguir executar o programa ASP, adicione o grupo IIS_WPG (Figura 1) e reinicie o computador.
Figura 1
Após esse design, o FSO Trojan não pode mais executar. Se você deseja fazer mais configurações de segurança, defina cada partição de disco como acima e defina diferentes usuários de acesso anônimo para cada site. A seguir, é apresentado um exemplo (suponha que a pasta ABC do disco E no seu host esteja localizada no site ABC.com):
1. Abra "Gerenciamento de computadores → Usuários e grupos locais → Usuários", crie um usuário da ABC e defina uma senha e remova a marca de seleção antes de "o usuário deve alterar as senhas da próxima vez que você fizer login", selecione "o usuário não pode alterar senhas" e "a senha nunca expirar" e defina o usuário a pertencer ao grupo de convidados.
2. Clique com o botão direito do mouse em: ABC e selecione a guia "Propriedades → Segurança". Você pode ver que a configuração de segurança padrão dessa pasta é "todo mundo" controle total (o conteúdo exibido não é exatamente o mesmo, dependendo da situação), exclua o controle total de todos (se não puder ser excluído, clique no botão [Avançado] para remover a marca de seleção na frente de "permitir a permissão de herança e a propagação dos pais" e deletar tudo), adicionar todos os seguranças.
3. Abra o IIS Manager, clique com o botão direito do mouse no nome do host ABC.com, selecione a guia "Propriedades → Segurança do diretório" no menu pop-up, clique em [Editar] de autenticação e controle de acesso e a caixa de diálogo mostrada na Figura 2 aparece. O padrão de acesso padrão para o ACCESS anônimo é "Nome da IUSR_MACHINE". Clique em [Procurar], encontre a conta ABC criada anteriormente na caixa de diálogo "Selecione Usuário" e digite a senha repetidamente após a confirmação.
Figura 2
Após essa configuração, o usuário que visita o site acessará o site da pasta E: ABC anonimamente como uma conta ABC. Como a conta ABC possui apenas permissões de segurança para esta pasta, ele só pode usar o FSO nesta pasta.
Como elevar o limite do programa de upload do FSO menor que 200k?Primeiro, feche o Serviço de Administração do IIS no serviço e encontre a metabase no diretório Windows \System32 \inesRV. XML e aberto, encontre aspmaxRequestentityoud e modifique -o com o valor necessário. O padrão é 204800, ou seja, 200k, modifique -o para 51200000 (50m) e reinicie o Serviço de Administração do IIS.
O ASP fornece poderosos recursos de acesso ao sistema de arquivos, que podem ler, escrever, copiar, excluir, renomear qualquer arquivo no disco rígido do servidor, que representa uma enorme ameaça à segurança dos sites escolares. Atualmente, muitos anfitriões do campus foram invadidos pelos Trojans FSO. No entanto, após desativar o componente FSO, a conseqüência é que todos os programas ASP que utilizam esse componente não poderão executar e não podem atender às necessidades dos clientes. Como permitir o componente FileSystemObject sem afetar a segurança do servidor (ou seja, diferentes usuários do host virtual não podem usar esse componente para ler e escrever arquivos de outras pessoas)? A seguir, a experiência que explorei ao longo dos anos:
A primeira etapa é a chave para se diferenciar das configurações do Windows 2000: clique com o botão direito do mouse na unidade C, clique em "Compartilhar e segurança", o grupo de usuários delete. Após a exclusão, se o seu site não conseguir executar o programa ASP, adicione o grupo IIS_WPG (Figura 1) e reinicie o computador.
Após esse design, o FSO Trojan não pode mais executar. Se você deseja fazer mais configurações de segurança, defina cada partição de disco como acima e defina diferentes usuários de acesso anônimo para cada site. A seguir, é apresentado um exemplo (suponha que a pasta ABC do disco E no seu host esteja localizada no site ABC.com):
1. Abra "Gerenciamento de computadores → Usuários e grupos locais → Usuários", crie um usuário da ABC e defina uma senha e remova a marca de seleção antes de "o usuário deve alterar as senhas da próxima vez que você fizer login", selecione "o usuário não pode alterar senhas" e "a senha nunca expirar" e defina o usuário a pertencer ao grupo de convidados.
2. Clique com o botão direito do mouse em: ABC e selecione a guia "Propriedades → Segurança". Você pode ver que a configuração de segurança padrão dessa pasta é "todo mundo" controle total (o conteúdo exibido não é exatamente o mesmo, dependendo da situação), exclua o controle total de todos (se não puder ser excluído, clique no botão [Avançado] para remover a marca de seleção na frente de "permitir a permissão de herança e a propagação dos pais" e deletar tudo), adicionar todos os seguranças.
3. Abra o IIS Manager, clique com o botão direito do mouse no nome do host ABC.com, selecione a guia "Propriedades → Segurança do diretório" no menu pop-up, clique em [Editar] de autenticação e controle de acesso e a caixa de diálogo mostrada na Figura 2 aparece. O padrão de acesso padrão para o ACCESS anônimo é "Nome da IUSR_MACHINE". Clique em [Procurar], encontre a conta ABC criada anteriormente na caixa de diálogo "Selecione Usuário" e digite a senha repetidamente após a confirmação.
Após essa configuração, o usuário que visita o site acessará o site da pasta E: ABC anonimamente como uma conta ABC. Como a conta ABC possui apenas permissões de segurança para esta pasta, ele só pode usar o FSO nesta pasta.
PERGUNTAS FREQUENTES:
Como elevar o limite do programa de upload do FSO menor que 200k?
Primeiro, feche o Serviço de Administração do IIS no serviço e encontre a metabase no diretório Windows \System32 \inesRV. XML e aberto, encontre aspmaxRequestentityoud e modifique -o com o valor necessário. O padrão é 204800, ou seja, 200k, modifique -o para 51200000 (50m) e reinicie o Serviço de Administração do IIS.