2003年冬季改善FSO安全

ASP提供了强大的文件系统访问能力，可以对服务器硬盘上的任何文件进行读、写、复制、删除和重命名，对学校网站的安全构成了极大的威胁。如今，许多校园主机都遭到了FSO木马的入侵。但是，禁用FSO组件后，结果是使用该组件的所有ASP程序都将无法运行，并且无法满足客户的需求。如何在不影响服务器安全性的情况下允许FileSystemObject组件(即不同的虚拟主机用户不能使用该组件读写别人的文件)？以下是笔者多年的经验：第一步是区别于Windows 2000设置的关键：右键单击驱动器c，点击“共享和安全”，在对话框中选择“安全”选项卡，删除“所有人”和“用户”组，如果删除后你的网站连ASP程序都不能运行，请添加IIS_WPG组(图1)，重新启动计算机。

图1经过这样的设计，FSO木马无法再运行了。如果要设置更安全的级别，请分别为每个磁盘分区设置上述设置，并为每个站点设置不同的匿名访问用户。给出了以下示例(假设您的主机上的驱动器e中的Abc文件夹下有一个Abc.com站点):1。打开“计算机管理本地用户和组用户”，创建Abc用户，设置密码，删除“用户下次登录时必须更改密码”前的勾号，选择“用户不能更改密码”和“密码永不过期”，将用户设置为属于来宾组。2.右键单击E:Abc并选择“属性安全性”选项卡。这时可以看到这个文件夹的默认安全设置是“所有人完全控制”(显示的内容因情况不同而不同)，删除所有人完全控制(如果无法删除，请点击【高级】按钮，去掉“允许传递父母的继承权”前的勾号，全部删除)。3.打开IIS管理器，右键单击Abc.com主机名，在弹出菜单中选择“属性目录安全”选项卡，点击身份验证和访问控制的【编辑】，弹出如图2所示的对话框。匿名访问用户的默认名称为“IUSR_ machine name”，点击【浏览】，在“选择用户”对话框中找到之前创建的Abc账户，确认后再次输入密码。

图2在此设置后，访问网站的用户可以匿名访问E:Abc文件夹的网站作为Abc账户。因为Abc帐户对此文件夹只有安全权限，所以他只能在此文件夹下使用FSO。如何提升20万以内的FSO上传程序？首先关闭服务中的IIS管理服务，在windows \ system32 \ iesrv目录中找到Metabase.xml并打开它，找到ASPMaxRequestEntityAllowed，并将其修改为所需的值。默认值为204800，即200K。将其修改为51200000(50M)，然后重新启动IIS管理服务。ASP提供了强大的文件系统访问能力，可以对服务器硬盘上的任何文件进行读、写、复制、删除和重命名，对学校网站的安全构成了极大的威胁。如今，许多校园主机都遭到了FSO木马的入侵。但是，禁用FSO组件后，结果是使用该组件的所有ASP程序都将无法运行，并且无法满足客户的需求。如何在不影响服务器安全性的情况下允许FileSystemObject组件(即不同的虚拟主机用户不能使用该组件读写别人的文件)？以下是笔者多年探索的经验：第一步是区别于Windows 2000设置的关键：右击C盘，点击“共享与安全”、“清醒”、“踩鞍”、“踩鞍”、“删除”、“用户”组。删除后，如果你的网站甚至不能运行ASP程序，经过这种设计，FSO木马就不能再运行了。如果要设置更安全的级别，请分别为每个磁盘分区设置上述设置，并为每个站点设置不同的匿名访问用户。给出了以下示例(假设您的主机上的驱动器e中的Abc文件夹下有一个Abc.com站点):1。打开“计算机管理本地用户和组用户”，创建Abc用户，设置密码，删除“用户下次登录时必须更改密码”前的勾号，选择“用户不能更改密码”和“密码永不过期”，将用户设置为属于来宾组。2.右键单击E:Abc并选择“属性安全性”选项卡。这时可以看到这个文件夹的默认安全设置是“所有人完全控制”(显示的内容因情况不同而不同)，删除所有人完全控制(如果无法删除，请点击【高级】按钮，去掉“允许传递父母的继承权”前的勾号，全部删除)。3.打开IIS管理器，右键单击Abc.com主机名，在弹出菜单中选择“属性目录安全”选项卡，点击身份验证和访问控制的【编辑】，弹出如图2所示的对话框。匿名访问用户的默认名称为“IUSR_ machine name”，点击【浏览】，在“选择用户”对话框中找到之前创建的Abc账户，确认后再次输入密码。使用此设置，访问该网站的用户可以作为Abc帐户匿名访问E:Abc文件夹的网站。因为Abc帐户对此文件夹只有安全权限，所以他只能在此文件夹下使用FSO。常见问题：如何解除20万以下的FSO上传程序？首先关闭服务中的IIS管理服务，在windows \ system32 \ iesrv目录中找到Metabase.xml并打开它，找到ASPMaxRequestEntityAllowed，并将其修改为所需的值。默认值为204800，即200K。将其修改为51200000(50M)，然后重新启动IIS管理服务。