ASP menyediakan kemampuan akses sistem file yang kuat dan dapat membaca, menulis, menyalin, menghapus, mengganti nama, dan operasi lainnya pada file apa pun di hard disk server, yang merupakan ancaman besar bagi keamanan situs web sekolah. Saat ini, banyak kampus yang menjadi tuan rumah telah terinfeksi oleh Trojan FSO. Namun setelah komponen FSO dinonaktifkan, konsekuensinya adalah seluruh program ASP yang menggunakan komponen ini tidak akan dapat berjalan dan tidak dapat memenuhi kebutuhan pelanggan. Bagaimana cara mengizinkan komponen FileSystemObject tanpa mempengaruhi keamanan server (yaitu, pengguna host virtual yang berbeda tidak dapat menggunakan komponen ini untuk membaca dan menulis file orang lain)? Berikut ini adalah pengalaman penulis yang diperoleh selama bertahun-tahun:
Langkah pertama adalah kunci untuk menyiapkan sesuatu yang berbeda dari Windows 2000: klik kanan drive C, klik "Berbagi dan Keamanan", pilih tab "Keamanan" di kotak dialog yang muncul, hapus grup Semua Orang dan Pengguna, dan jika situs web Anda bahkan tidak dapat menjalankan program ASP. Silakan tambahkan grup IIS_WPG (Gambar 1) dan restart komputer.
Setelah desain ini, Trojan FSO tidak dapat dijalankan lagi. Jika Anda ingin mengatur tingkat keamanan yang lebih tinggi, silakan atur pengaturan di atas untuk setiap partisi disk secara terpisah, dan atur pengguna akses anonim yang berbeda untuk setiap situs. Berikut ini adalah contoh yang akan diperkenalkan (dengan asumsi folder Abc di drive E komputer host Anda memiliki situs Abc.com):
1. Buka "Manajemen Komputer→Pengguna dan Grup Lokal→Pengguna", buat pengguna Abc, atur kata sandi, hilangkan tanda centang sebelum "Pengguna harus mengubah kata sandi saat masuk lain kali", dan pilih "Pengguna tidak dapat mengubah kata sandi" dan " Kata sandi tidak pernah kedaluwarsa" dan atur pengguna untuk menjadi anggota grup Tamu.
2. Klik kanan E:Abc dan pilih tab "Properti → Keamanan". Saat ini, Anda dapat melihat bahwa pengaturan keamanan default folder tersebut adalah kontrol penuh "Semua Orang" (konten yang ditampilkan mungkin tidak persis sama tergantung pada situasi tersebut). Hapus Kontrol Penuh Semua Orang (jika tidak dapat dihapus, silakan klik tombol [Lanjutan], hilangkan tanda centang di depan "Izinkan izin warisan orang tua untuk menyebar", dan hapus semua), tambahkan Administrator dan pengguna Abc. untuk semua izin keamanan di direktori situs web ini.
3. Buka IIS Manager, klik kanan nama host Abc.com, pilih tab "Properties → Directory Security" di menu pop-up, klik [Edit] pada Authentication and Access Control, dan kotak dialog ditunjukkan pada Gambar 2 akan muncul. Default untuk pengguna akses anonim adalah "IUSR_machine name". Klik [Jelajahi], temukan akun Abc yang dibuat sebelumnya di kotak dialog "Pilih Pengguna", dan masukkan kata sandi lagi setelah konfirmasi.
Setelah pengaturan ini, pengguna yang mengunjungi situs web dapat mengakses situs di folder E:Abc secara anonim sebagai akun Abc. Karena akun Abc hanya memiliki izin keamanan untuk folder ini, ia hanya dapat menggunakan FSO di folder ini.
Pertanyaan Umum:
Bagaimana cara menghilangkan program upload FSO kurang dari batas 200k?
Pertama, tutup layanan layanan admin IIS di layanan, temukan Metabase.xml di direktori WindowsSystem32Inesrv dan buka, temukan ASPMaxRequestEntityAllowed, dan ubah ke nilai yang diperlukan. Defaultnya adalah 204800, yaitu 200K. Ubah menjadi 51200000 (50M), lalu mulai ulang layanan admin IIS.
ASP menyediakan kemampuan akses sistem file yang kuat dan dapat membaca, menulis, menyalin, menghapus, mengganti nama, dan operasi lainnya pada file apa pun di hard disk server, yang merupakan ancaman besar bagi keamanan situs web sekolah. Saat ini, banyak kampus yang menjadi tuan rumah telah terinfeksi oleh Trojan FSO. Namun setelah komponen FSO dinonaktifkan, konsekuensinya adalah seluruh program ASP yang menggunakan komponen ini tidak akan dapat berjalan dan tidak dapat memenuhi kebutuhan pelanggan. Bagaimana cara mengizinkan komponen FileSystemObject tanpa mempengaruhi keamanan server (yaitu, pengguna host virtual yang berbeda tidak dapat menggunakan komponen ini untuk membaca dan menulis file orang lain)? Berikut ini adalah pengalaman penulis yang diperoleh selama bertahun-tahun:
Langkah pertama adalah kunci untuk menyiapkan sesuatu yang berbeda dari Windows 2000: klik kanan drive C, klik "Berbagi dan Keamanan", pilih tab "Keamanan" di kotak dialog yang muncul, hapus grup Semua Orang dan Pengguna, dan jika situs web Anda bahkan tidak dapat menjalankan program ASP. Silakan tambahkan grup IIS_WPG (Gambar 1) dan restart komputer.
Setelah desain ini, Trojan FSO tidak dapat dijalankan lagi. Jika Anda ingin mengatur tingkat keamanan yang lebih tinggi, silakan atur pengaturan di atas untuk setiap partisi disk secara terpisah, dan atur pengguna akses anonim yang berbeda untuk setiap situs. Berikut ini adalah contoh yang akan diperkenalkan (dengan asumsi folder Abc di drive E komputer host Anda memiliki situs Abc.com):
1. Buka "Manajemen Komputer→Pengguna dan Grup Lokal→Pengguna", buat pengguna Abc, atur kata sandi, hilangkan tanda centang sebelum "Pengguna harus mengubah kata sandi saat masuk lain kali", dan pilih "Pengguna tidak dapat mengubah kata sandi" dan " Kata sandi tidak pernah kedaluwarsa" dan atur pengguna untuk menjadi anggota grup Tamu.
2. Klik kanan E:Abc dan pilih tab "Properti → Keamanan". Saat ini, Anda dapat melihat bahwa pengaturan keamanan default folder tersebut adalah kontrol penuh "Semua Orang" (konten yang ditampilkan mungkin tidak persis sama tergantung pada situasi tersebut). Hapus Kontrol Penuh Semua Orang (jika tidak dapat dihapus, silakan klik tombol [Lanjutan], hilangkan tanda centang di depan "Izinkan izin warisan orang tua untuk menyebar", dan hapus semua), tambahkan Administrator dan pengguna Abc. untuk semua izin keamanan di direktori situs web ini.
3. Buka IIS Manager, klik kanan nama host Abc.com, pilih tab "Properties → Directory Security" di menu pop-up, klik [Edit] pada Authentication and Access Control, dan kotak dialog ditunjukkan pada Gambar 2 akan muncul. Default untuk pengguna akses anonim adalah "IUSR_machine name". Klik [Jelajahi], temukan akun Abc yang dibuat sebelumnya di kotak dialog "Pilih Pengguna", dan masukkan kata sandi lagi setelah konfirmasi.
Setelah pengaturan ini, pengguna yang mengunjungi situs web dapat mengakses situs di folder E:Abc secara anonim sebagai akun Abc. Karena akun Abc hanya memiliki izin keamanan untuk folder ini, ia hanya dapat menggunakan FSO di folder ini.