ASP ให้ความสามารถในการเข้าถึงระบบไฟล์ที่มีประสิทธิภาพซึ่งสามารถอ่านเขียนคัดลอกลบเปลี่ยนชื่อไฟล์ใด ๆ บนฮาร์ดดิสก์เซิร์ฟเวอร์ซึ่งเป็นภัยคุกคามอย่างมากต่อความปลอดภัยของเว็บไซต์โรงเรียน ทุกวันนี้โฮสต์ของมหาวิทยาลัยหลายแห่งได้รับการบุกรุกโดย FSO Trojans อย่างไรก็ตามหลังจากปิดการใช้งานส่วนประกอบ FSO ผลที่ตามมาคือโปรแกรม ASP ทั้งหมดที่ใช้ส่วนประกอบนี้จะไม่สามารถทำงานได้และไม่สามารถตอบสนองความต้องการของลูกค้าได้ จะอนุญาตให้ส่วนประกอบ FileSystemObject โดยไม่ส่งผลกระทบต่อความปลอดภัยของเซิร์ฟเวอร์ (นั่นคือผู้ใช้โฮสต์เสมือนที่แตกต่างกันไม่สามารถใช้ส่วนประกอบนี้เพื่ออ่านและเขียนไฟล์ของคนอื่น) ต่อไปนี้เป็นประสบการณ์ที่ฉันได้สำรวจในช่วงหลายปีที่ผ่านมา:
ขั้นตอนแรกคือกุญแจสำคัญในการแยกความแตกต่างจากการตั้งค่า Windows 2000: คลิกขวาที่ไดรฟ์ C คลิก "แชร์และความปลอดภัย" เลือกแท็บ "ความปลอดภัย" ในกล่องโต้ตอบลบทุกคนและกลุ่มผู้ใช้ หลังจากการลบหากเว็บไซต์ของคุณไม่สามารถเรียกใช้โปรแกรม ASP ได้โปรดเพิ่มกลุ่ม IIS_WPG (รูปที่ 1) และรีสตาร์ทคอมพิวเตอร์
รูปที่ 1
หลังจากการออกแบบนี้โทรจัน FSO ไม่สามารถทำงานได้อีกต่อไป หากคุณต้องการทำการตั้งค่าความปลอดภัยมากขึ้นโปรดตั้งค่าพาร์ติชันดิสก์แต่ละตัวตามด้านบนและตั้งค่าผู้ใช้ที่ไม่ระบุชื่อที่แตกต่างกันสำหรับแต่ละไซต์ ต่อไปนี้เป็นตัวอย่าง (สมมติว่าโฟลเดอร์ ABC ของดิสก์ E บนโฮสต์ของคุณอยู่ในเว็บไซต์ ABC.COM):
1. เปิด "การจัดการคอมพิวเตอร์→ผู้ใช้และกลุ่มท้องถิ่น→ผู้ใช้" สร้างผู้ใช้ ABC และตั้งรหัสผ่านและลบเครื่องหมายถูกก่อน "ผู้ใช้จะต้องเปลี่ยนรหัสผ่านในครั้งต่อไปที่คุณเข้าสู่ระบบ" เลือก "ผู้ใช้ไม่สามารถเปลี่ยนรหัสผ่าน" และ "รหัสผ่านไม่เคยหมดอายุ" และตั้งค่าผู้ใช้ให้เป็นของกลุ่มแขก
2. คลิกขวา E: ABC และเลือกแท็บ "คุณสมบัติ→ความปลอดภัย" คุณจะเห็นว่าการตั้งค่าความปลอดภัยเริ่มต้นของโฟลเดอร์นี้คือ "ทุกคน" การควบคุมเต็มรูปแบบ (เนื้อหาที่แสดงไม่เหมือนกันทั้งนี้ขึ้นอยู่กับสถานการณ์) ลบการควบคุมทั้งหมดของทุกคน (หากไม่สามารถลบได้โปรดคลิกปุ่ม [ขั้นสูง]
3. เปิดตัวจัดการ IIS, คลิกขวาที่ชื่อโฮสต์ ABC.COM เลือกแท็บ "คุณสมบัติ→ความปลอดภัยของไดเรกทอรี" ในเมนูป๊อปอัพคลิก [แก้ไข] ของการรับรองความถูกต้องและการควบคุมการเข้าถึงและกล่องโต้ตอบที่แสดงในรูปที่ 2 ปรากฏขึ้น ค่าเริ่มต้นสำหรับผู้ใช้การเข้าถึงที่ไม่ระบุชื่อคือ "ชื่อ iusr_machine" คลิก [เรียกดู] ค้นหาบัญชี ABC ที่สร้างขึ้นก่อนหน้านี้ในกล่องโต้ตอบ "เลือกผู้ใช้" และป้อนรหัสผ่านซ้ำ ๆ หลังจากการยืนยัน
รูปที่ 2
หลังจากการตั้งค่านี้ผู้ใช้ที่เข้าชมเว็บไซต์จะเข้าถึงเว็บไซต์ของโฟลเดอร์ E: ABC โดยไม่ระบุชื่อเป็นบัญชี ABC เนื่องจากบัญชี ABC มีสิทธิ์รักษาความปลอดภัยสำหรับโฟลเดอร์นี้เท่านั้นเขาสามารถใช้ FSO ในโฟลเดอร์นี้ได้เท่านั้น
วิธีการยกขีด จำกัด ของโปรแกรมการอัปโหลด FSO น้อยกว่า 200k?ก่อนอื่นให้ปิดบริการผู้ดูแลระบบ IIS ในบริการและค้นหาเมตาบัสภายใต้ไดเรกทอรี Windows \System32 \inesRV XML และเปิดค้นหา AspmaxRequestEntityAllowed และแก้ไขเป็นค่าที่ต้องการ ค่าเริ่มต้นคือ 204800 นั่นคือ 200k ปรับเปลี่ยนเป็น 51200000 (50m) จากนั้นรีสตาร์ทบริการผู้ดูแลระบบ IIS
ASP ให้ความสามารถในการเข้าถึงระบบไฟล์ที่มีประสิทธิภาพซึ่งสามารถอ่านเขียนคัดลอกลบเปลี่ยนชื่อไฟล์ใด ๆ บนฮาร์ดดิสก์เซิร์ฟเวอร์ซึ่งเป็นภัยคุกคามอย่างมากต่อความปลอดภัยของเว็บไซต์โรงเรียน ทุกวันนี้โฮสต์ของมหาวิทยาลัยหลายแห่งได้รับการบุกรุกโดย FSO Trojans อย่างไรก็ตามหลังจากปิดการใช้งานส่วนประกอบ FSO ผลที่ตามมาคือโปรแกรม ASP ทั้งหมดที่ใช้ส่วนประกอบนี้จะไม่สามารถทำงานได้และไม่สามารถตอบสนองความต้องการของลูกค้าได้ จะอนุญาตให้ส่วนประกอบ FileSystemObject โดยไม่ส่งผลกระทบต่อความปลอดภัยของเซิร์ฟเวอร์ (นั่นคือผู้ใช้โฮสต์เสมือนที่แตกต่างกันไม่สามารถใช้ส่วนประกอบนี้เพื่ออ่านและเขียนไฟล์ของคนอื่น) ต่อไปนี้เป็นประสบการณ์ที่ฉันได้สำรวจในช่วงหลายปีที่ผ่านมา:
ขั้นตอนแรกคือกุญแจสำคัญในการแยกความแตกต่างจากการตั้งค่า Windows 2000: คลิกขวาที่ไดรฟ์ C คลิก "แชร์และความปลอดภัย" ผู้ใช้กลุ่มลบ หลังจากการลบหากเว็บไซต์ของคุณไม่สามารถเรียกใช้โปรแกรม ASP ได้โปรดเพิ่มกลุ่ม IIS_WPG (รูปที่ 1) และรีสตาร์ทคอมพิวเตอร์
หลังจากการออกแบบนี้โทรจัน FSO ไม่สามารถทำงานได้อีกต่อไป หากคุณต้องการทำการตั้งค่าความปลอดภัยมากขึ้นโปรดตั้งค่าพาร์ติชันดิสก์แต่ละตัวตามด้านบนและตั้งค่าผู้ใช้ที่ไม่ระบุชื่อที่แตกต่างกันสำหรับแต่ละไซต์ ต่อไปนี้เป็นตัวอย่าง (สมมติว่าโฟลเดอร์ ABC ของดิสก์ E บนโฮสต์ของคุณอยู่ในเว็บไซต์ ABC.COM):
1. เปิด "การจัดการคอมพิวเตอร์→ผู้ใช้และกลุ่มท้องถิ่น→ผู้ใช้" สร้างผู้ใช้ ABC และตั้งรหัสผ่านและลบเครื่องหมายถูกก่อน "ผู้ใช้จะต้องเปลี่ยนรหัสผ่านในครั้งต่อไปที่คุณเข้าสู่ระบบ" เลือก "ผู้ใช้ไม่สามารถเปลี่ยนรหัสผ่าน" และ "รหัสผ่านไม่เคยหมดอายุ" และตั้งค่าผู้ใช้ให้เป็นของกลุ่มแขก
2. คลิกขวา E: ABC และเลือกแท็บ "คุณสมบัติ→ความปลอดภัย" คุณจะเห็นว่าการตั้งค่าความปลอดภัยเริ่มต้นของโฟลเดอร์นี้คือ "ทุกคน" การควบคุมเต็มรูปแบบ (เนื้อหาที่แสดงไม่เหมือนกันทั้งนี้ขึ้นอยู่กับสถานการณ์) ลบการควบคุมทั้งหมดของทุกคน (หากไม่สามารถลบได้โปรดคลิกปุ่ม [ขั้นสูง]
3. เปิดตัวจัดการ IIS, คลิกขวาที่ชื่อโฮสต์ ABC.COM เลือกแท็บ "คุณสมบัติ→ความปลอดภัยของไดเรกทอรี" ในเมนูป๊อปอัพคลิก [แก้ไข] ของการรับรองความถูกต้องและการควบคุมการเข้าถึงและกล่องโต้ตอบที่แสดงในรูปที่ 2 ปรากฏขึ้น ค่าเริ่มต้นสำหรับผู้ใช้การเข้าถึงที่ไม่ระบุชื่อคือ "ชื่อ iusr_machine" คลิก [เรียกดู] ค้นหาบัญชี ABC ที่สร้างขึ้นก่อนหน้านี้ในกล่องโต้ตอบ "เลือกผู้ใช้" และป้อนรหัสผ่านซ้ำ ๆ หลังจากการยืนยัน
หลังจากการตั้งค่านี้ผู้ใช้ที่เข้าชมเว็บไซต์จะเข้าถึงเว็บไซต์ของโฟลเดอร์ E: ABC โดยไม่ระบุชื่อเป็นบัญชี ABC เนื่องจากบัญชี ABC มีสิทธิ์รักษาความปลอดภัยสำหรับโฟลเดอร์นี้เท่านั้นเขาสามารถใช้ FSO ในโฟลเดอร์นี้ได้เท่านั้น
คำถามที่พบบ่อย:
วิธีการยกขีด จำกัด ของโปรแกรมการอัปโหลด FSO น้อยกว่า 200k?
ก่อนอื่นให้ปิดบริการผู้ดูแลระบบ IIS ในบริการและค้นหาเมตาบัสภายใต้ไดเรกทอรี Windows \System32 \inesRV XML และเปิดค้นหา AspmaxRequestEntityAllowed และแก้ไขเป็นค่าที่ต้องการ ค่าเริ่มต้นคือ 204800 นั่นคือ 200k ปรับเปลี่ยนเป็น 51200000 (50m) จากนั้นรีสตาร์ทบริการผู้ดูแลระบบ IIS