ASP bietet leistungsstarke Zugriffsfunktionen auf das Dateisystem und kann jede Datei auf der Serverfestplatte lesen, schreiben, kopieren, löschen, umbenennen und andere Vorgänge ausführen, was eine große Bedrohung für die Sicherheit der Schulwebsite darstellt. Heutzutage sind viele Campus-Hosts von FSO-Trojanern befallen. Allerdings hat die Deaktivierung der FSO-Komponente zur Folge, dass alle ASP-Programme, die diese Komponente verwenden, nicht lauffähig sind und die Kundenbedürfnisse nicht erfüllen können. Wie kann die FileSystemObject-Komponente zugelassen werden, ohne die Sicherheit des Servers zu beeinträchtigen (dh Benutzer verschiedener virtueller Hosts können diese Komponente nicht zum Lesen und Schreiben der Dateien anderer Personen verwenden)?
Der erste Schritt ist der Schlüssel zum Einrichten von etwas anderem als Windows 2000: Klicken Sie mit der rechten Maustaste auf das Laufwerk C, klicken Sie auf „Freigabe und Sicherheit“, wählen Sie im angezeigten Dialogfeld die Registerkarte „Sicherheit“, löschen Sie die Gruppen „Jeder“ und „Benutzer“ und Wenn Ihre Website das ASP-Programm nicht einmal ausführen kann, fügen Sie bitte die Gruppe IIS_WPG hinzu (Abbildung 1) und starten Sie den Computer neu.
Nach diesem Design kann der FSO-Trojaner nicht mehr ausgeführt werden. Wenn Sie eine höhere Sicherheitsstufe einrichten möchten, richten Sie bitte die oben genannten Einstellungen für jede Festplattenpartition separat ein und richten Sie für jede Site unterschiedliche anonyme Zugriffsbenutzer ein. Das Folgende ist ein Beispiel zur Einführung (vorausgesetzt, dass sich im Ordner „Abc“ auf dem Laufwerk E Ihres Hostcomputers die Website „Abc.com“ befindet):
1. Öffnen Sie „Computerverwaltung→Lokale Benutzer und Gruppen→Benutzer“, erstellen Sie den Benutzer „Abc“, legen Sie ein Kennwort fest, entfernen Sie das Häkchen vor „Benutzer muss Kennwort ändern, wenn er sich das nächste Mal anmeldet“ und wählen Sie „Benutzer kann Kennwort nicht ändern“ und „ „Passwort läuft nie ab“ und legen Sie fest, dass der Benutzer zur Gruppe „Gäste“ gehört.
2. Klicken Sie mit der rechten Maustaste auf E:Abc und wählen Sie die Registerkarte „Eigenschaften → Sicherheit“. Zu diesem Zeitpunkt können Sie sehen, dass die Standardsicherheitseinstellung des Ordners „Jeder“ mit voller Kontrolle ist (der angezeigte Inhalt ist möglicherweise nicht genau derselbe). (je nach Situation). Löschen Sie die Vollzugriffsrechte für alle (wenn sie nicht gelöscht werden können, klicken Sie bitte auf die Schaltfläche [Erweitert], entfernen Sie das Häkchen vor „Übertragung geerbter Berechtigungen zulassen“ und löschen Sie alle), fügen Sie Administratoren und ABC-Benutzer hinzu auf alle Sicherheitsberechtigungen für dieses Website-Verzeichnis.
3. Öffnen Sie den IIS-Manager, klicken Sie mit der rechten Maustaste auf den Hostnamen Abc.com, wählen Sie im Popup-Menü die Registerkarte „Eigenschaften → Verzeichnissicherheit“, klicken Sie auf „Bearbeiten“ unter „Authentifizierung und Zugriffskontrolle“ und das in Abbildung 2 dargestellte Dialogfeld wird angezeigt Der Standardwert für Benutzer mit anonymem Zugriff ist „IUSR_machine name“. Klicken Sie auf „Durchsuchen“, suchen Sie im Dialogfeld „Benutzer auswählen“ nach dem zuvor erstellten ABC-Konto und geben Sie das Kennwort nach der Bestätigung erneut ein.
Nach dieser Einstellung kann der Benutzer, der die Website besucht, anonym als Abc-Konto auf die Website im Ordner E:Abc zugreifen. Da das Abc-Konto nur über Sicherheitsberechtigungen für diesen Ordner verfügt, kann er FSO nur in diesem Ordner verwenden.
FAQ:
Wie kann ich das FSO-Upload-Programm auf ein Limit von weniger als 200.000 anheben?
Schließen Sie zunächst den IIS-Administratordienst im Dienst, suchen Sie Metabase.xml im Verzeichnis WindowsSystem32Inesrv, öffnen Sie es, suchen Sie ASPMaxRequestEntityAllowed und ändern Sie es auf den erforderlichen Wert. Der Standardwert ist 204800, was 200 KB entspricht. Ändern Sie ihn in 51200000 (50 MB) und starten Sie dann den IIS-Administratordienst neu.
ASP bietet leistungsstarke Zugriffsfunktionen auf das Dateisystem und kann jede Datei auf der Serverfestplatte lesen, schreiben, kopieren, löschen, umbenennen und andere Vorgänge ausführen, was eine große Bedrohung für die Sicherheit der Schulwebsite darstellt. Heutzutage sind viele Campus-Hosts von FSO-Trojanern befallen. Allerdings hat die Deaktivierung der FSO-Komponente zur Folge, dass alle ASP-Programme, die diese Komponente verwenden, nicht lauffähig sind und die Kundenbedürfnisse nicht erfüllen können. Wie kann die FileSystemObject-Komponente zugelassen werden, ohne die Sicherheit des Servers zu beeinträchtigen (dh Benutzer verschiedener virtueller Hosts können diese Komponente nicht zum Lesen und Schreiben der Dateien anderer Personen verwenden)?
Der erste Schritt ist der Schlüssel zum Einrichten von etwas anderem als Windows 2000: Klicken Sie mit der rechten Maustaste auf das Laufwerk C, klicken Sie auf „Freigabe und Sicherheit“, wählen Sie im angezeigten Dialogfeld die Registerkarte „Sicherheit“, löschen Sie die Gruppen „Jeder“ und „Benutzer“ und Wenn Ihre Website das ASP-Programm nicht einmal ausführen kann, fügen Sie bitte die Gruppe IIS_WPG hinzu (Abbildung 1) und starten Sie den Computer neu.
Nach diesem Design kann der FSO-Trojaner nicht mehr ausgeführt werden. Wenn Sie eine höhere Sicherheitsstufe einrichten möchten, richten Sie bitte die oben genannten Einstellungen für jede Festplattenpartition separat ein und richten Sie für jede Site unterschiedliche anonyme Zugriffsbenutzer ein. Das Folgende ist ein Beispiel zur Einführung (vorausgesetzt, dass sich im Ordner „Abc“ auf dem Laufwerk E Ihres Hostcomputers die Website „Abc.com“ befindet):
1. Öffnen Sie „Computerverwaltung→Lokale Benutzer und Gruppen→Benutzer“, erstellen Sie den Benutzer „Abc“, legen Sie ein Kennwort fest, entfernen Sie das Häkchen vor „Benutzer muss Kennwort ändern, wenn er sich das nächste Mal anmeldet“ und wählen Sie „Benutzer kann Kennwort nicht ändern“ und „ „Passwort läuft nie ab“ und legen Sie fest, dass der Benutzer zur Gruppe „Gäste“ gehört.
2. Klicken Sie mit der rechten Maustaste auf E:Abc und wählen Sie die Registerkarte „Eigenschaften → Sicherheit“. Zu diesem Zeitpunkt können Sie sehen, dass die Standardsicherheitseinstellung des Ordners „Jeder“ mit voller Kontrolle ist (der angezeigte Inhalt ist möglicherweise nicht genau derselbe). (je nach Situation). Löschen Sie die Vollzugriffsrechte für alle (wenn sie nicht gelöscht werden können, klicken Sie bitte auf die Schaltfläche [Erweitert], entfernen Sie das Häkchen vor „Übertragung geerbter Berechtigungen zulassen“ und löschen Sie alle), fügen Sie Administratoren und ABC-Benutzer hinzu auf alle Sicherheitsberechtigungen für dieses Website-Verzeichnis.
3. Öffnen Sie den IIS-Manager, klicken Sie mit der rechten Maustaste auf den Hostnamen Abc.com, wählen Sie im Popup-Menü die Registerkarte „Eigenschaften → Verzeichnissicherheit“, klicken Sie auf „Bearbeiten“ unter „Authentifizierung und Zugriffskontrolle“ und das in Abbildung 2 dargestellte Dialogfeld wird angezeigt Der Standardwert für Benutzer mit anonymem Zugriff ist „IUSR_machine name“. Klicken Sie auf „Durchsuchen“, suchen Sie im Dialogfeld „Benutzer auswählen“ nach dem zuvor erstellten ABC-Konto und geben Sie das Kennwort nach der Bestätigung erneut ein.
Nach dieser Einstellung kann der Benutzer, der die Website besucht, anonym als Abc-Konto auf die Website im Ordner E:Abc zugreifen. Da das Abc-Konto nur über Sicherheitsberechtigungen für diesen Ordner verfügt, kann er FSO nur in diesem Ordner verwenden.