圖1
經(jīng)過(guò)這樣設(shè)計(jì)后,F(xiàn)SO木馬就已經(jīng)不能運(yùn)行了。如果你要進(jìn)行更安全級(jí)別的設(shè)置,請(qǐng)分別對(duì)各個(gè)磁盤(pán)分區(qū)進(jìn)行如上設(shè)置,并為各個(gè)站點(diǎn)設(shè)置不同匿名訪(fǎng)問(wèn)用戶(hù)。下面以實(shí)例來(lái)介紹(假設(shè)你的主機(jī)上E盤(pán)Abc文件夾下設(shè)Abc.com站點(diǎn)):
1. 打開(kāi)“計(jì)算機(jī)管理→本地用戶(hù)和組→用戶(hù)”,創(chuàng)建Abc用戶(hù),并設(shè)置密碼,并將“用戶(hù)下次登錄時(shí)須更改密碼”前的對(duì)號(hào)去掉,選中“用戶(hù)不能更改密碼”和“密碼永不過(guò)期”,并把用戶(hù)設(shè)置為隸屬于Guests組。
2. 右擊E:Abc,選擇“屬性→安全”選項(xiàng)卡,此時(shí)可以看到該文件夾的默認(rèn)安全設(shè)置是“Everyone”完全控制(視不同情況顯示的內(nèi)容不完全一樣),刪除Everyone的完全控制(如果不能刪除,請(qǐng)點(diǎn)擊[高級(jí)]按鈕,將“允許父項(xiàng)的繼承權(quán)限傳播”前面的對(duì)號(hào)去掉,并刪除所有),添加Administrators及Abc用戶(hù)對(duì)本網(wǎng)站目錄的所有安全權(quán)限。
3. 打開(kāi)IIS管理器,右擊Abc.com主機(jī)名,在彈出的菜單中選擇“屬性→目錄安全性”選項(xiàng)卡,點(diǎn)擊身份驗(yàn)證和訪(fǎng)問(wèn)控制的[編輯],彈出圖2所示對(duì)話(huà)框,匿名訪(fǎng)問(wèn)用戶(hù)默認(rèn)的就是“IUSR_機(jī)器名”,點(diǎn)擊[瀏覽],在“選擇用戶(hù)”對(duì)話(huà)框中找到前面創(chuàng)建的Abc賬戶(hù),確定后重復(fù)輸入密碼。
圖2
經(jīng)過(guò)這樣設(shè)置,訪(fǎng)問(wèn)網(wǎng)站的用戶(hù)就以Abc賬戶(hù)匿名身份訪(fǎng)問(wèn)E:Abc文件夾的站點(diǎn),因?yàn)锳bc賬戶(hù)只對(duì)此文件夾有安全權(quán)限,所以他只能在本文件夾下使用FSO。
先在服務(wù)里關(guān)閉IIS admin service服務(wù),找到Windows\System32\Inesrv目錄下的Metabase.xml并打開(kāi),找到ASPMaxRequestEntityAllowed,將其修改為需要的值。默認(rèn)為204800,即200K,把它修改為51200000(50M),然后重啟IIS admin service服務(wù)。
ASP提供了強(qiáng)大的文件系統(tǒng)訪(fǎng)問(wèn)能力,可以對(duì)服務(wù)器硬盤(pán)上的任何文件進(jìn)行讀、寫(xiě)、復(fù)制、刪除、改名等操作,這給學(xué)校網(wǎng)站的安全帶來(lái)巨大的威脅?,F(xiàn)在很多校園主機(jī)都遭受過(guò)FSO木馬的侵?jǐn)_。但是禁用FSO組件后,引起的后果就是所有利用這個(gè)組件的ASP程序?qū)o(wú)法運(yùn)行,無(wú)法滿(mǎn)足客戶(hù)的需求。如何既允許FileSystemObject組件,又不影響服務(wù)器的安全性呢(即:不同虛擬主機(jī)用戶(hù)之間不能使用該組件讀寫(xiě)別人的文件)?以下是筆者多年來(lái)摸索出來(lái)的經(jīng)驗(yàn):
第一步是有別于Windows 2000設(shè)置的關(guān)鍵:右擊C盤(pán),點(diǎn)擊“共享與安?,哉C魷衷詼曰翱蛑醒≡瘛鞍踩毖∠羈ǎ獷veryone、Users組刪除,刪除后如果你的網(wǎng)站連ASP程序都不能運(yùn)行,請(qǐng)?zhí)砑覫IS_WPG組(圖1),并重啟計(jì)算機(jī)。
經(jīng)過(guò)這樣設(shè)計(jì)后,F(xiàn)SO木馬就已經(jīng)不能運(yùn)行了。如果你要進(jìn)行更安全級(jí)別的設(shè)置,請(qǐng)分別對(duì)各個(gè)磁盤(pán)分區(qū)進(jìn)行如上設(shè)置,并為各個(gè)站點(diǎn)設(shè)置不同匿名訪(fǎng)問(wèn)用戶(hù)。下面以實(shí)例來(lái)介紹(假設(shè)你的主機(jī)上E盤(pán)Abc文件夾下設(shè)Abc.com站點(diǎn)):
1. 打開(kāi)“計(jì)算機(jī)管理→本地用戶(hù)和組→用戶(hù)”,創(chuàng)建Abc用戶(hù),并設(shè)置密碼,并將“用戶(hù)下次登錄時(shí)須更改密碼”前的對(duì)號(hào)去掉,選中“用戶(hù)不能更改密碼”和“密碼永不過(guò)期”,并把用戶(hù)設(shè)置為隸屬于Guests組。
2. 右擊E:Abc,選擇“屬性→安全”選項(xiàng)卡,此時(shí)可以看到該文件夾的默認(rèn)安全設(shè)置是“Everyone”完全控制(視不同情況顯示的內(nèi)容不完全一樣),刪除Everyone的完全控制(如果不能刪除,請(qǐng)點(diǎn)擊[高級(jí)]按鈕,將“允許父項(xiàng)的繼承權(quán)限傳播”前面的對(duì)號(hào)去掉,并刪除所有),添加Administrators及Abc用戶(hù)對(duì)本網(wǎng)站目錄的所有安全權(quán)限。
3. 打開(kāi)IIS管理器,右擊Abc.com主機(jī)名,在彈出的菜單中選擇“屬性→目錄安全性”選項(xiàng)卡,點(diǎn)擊身份驗(yàn)證和訪(fǎng)問(wèn)控制的[編輯],彈出圖2所示對(duì)話(huà)框,匿名訪(fǎng)問(wèn)用戶(hù)默認(rèn)的就是“IUSR_機(jī)器名”,點(diǎn)擊[瀏覽],在“選擇用戶(hù)”對(duì)話(huà)框中找到前面創(chuàng)建的Abc賬戶(hù),確定后重復(fù)輸入密碼。
經(jīng)過(guò)這樣設(shè)置,訪(fǎng)問(wèn)網(wǎng)站的用戶(hù)就以Abc賬戶(hù)匿名身份訪(fǎng)問(wèn)E:Abc文件夾的站點(diǎn),因?yàn)锳bc賬戶(hù)只對(duì)此文件夾有安全權(quán)限,所以他只能在本文件夾下使用FSO。
常見(jiàn)問(wèn)題:
如何解除FSO上傳程序小于200k限制?
先在服務(wù)里關(guān)閉IIS admin service服務(wù),找到Windows\System32\Inesrv目錄下的Metabase.xml并打開(kāi),找到ASPMaxRequestEntityAllowed,將其修改為需要的值。默認(rèn)為204800,即200K,把它修改為51200000(50M),然后重啟IIS admin service服務(wù)。
標(biāo)簽:重慶 天津 臺(tái)灣 麗江 懷化 內(nèi)江 成都 公主嶺
巨人網(wǎng)絡(luò)通訊聲明:本文標(biāo)題《Win2003下提高FSO的安全性》,本文關(guān)鍵詞 Win2003,下,提高,FSO,的,安全性,;如發(fā)現(xiàn)本文內(nèi)容存在版權(quán)問(wèn)題,煩請(qǐng)?zhí)峁┫嚓P(guān)信息告之我們,我們將及時(shí)溝通與處理。本站內(nèi)容系統(tǒng)采集于網(wǎng)絡(luò),涉及言論、版權(quán)與本站無(wú)關(guān)。