ASP предоставляет мощные возможности доступа к файловой системе и может читать, записывать, копировать, удалять, переименовывать и выполнять другие операции с любым файлом на жестком диске сервера, что представляет собой огромную угрозу безопасности школьного веб-сайта. В настоящее время многие хосты университетских кампусов заражены троянами FSO. Однако после отключения компонента FSO все программы ASP, использующие этот компонент, не смогут работать и не смогут удовлетворить потребности клиентов. Как разрешить компонент FileSystemObject, не влияя на безопасность сервера (то есть пользователи разных виртуальных хостов не могут использовать этот компонент для чтения и записи чужих файлов) Ниже приведен опыт автора, накопленный за годы работы:
Первый шаг является ключом к настройке чего-то отличного от Windows 2000: щелкните правой кнопкой мыши диск C, нажмите «Общий доступ и безопасность», в появившемся диалоговом окне выберите вкладку «Безопасность», удалите группы «Все» и «Пользователи» и если на вашем веб-сайте даже не удается запустить программу ASP, добавьте группу IIS_WPG (рис. 1) и перезагрузите компьютер.
После этой разработки троян FSO больше не может запускаться. Если вы хотите установить более высокий уровень безопасности, настройте указанные выше параметры для каждого раздела диска отдельно и настройте разных пользователей анонимного доступа для каждого сайта. Ниже приведен пример (при условии, что в папке Abc на диске E вашего компьютера находится сайт Abc.com):
1. Откройте «Управление компьютером→Локальные пользователи и группы→Пользователи», создайте пользователя Abc, установите пароль, снимите галочку перед «Пользователь должен сменить пароль при следующем входе в систему» и выберите «Пользователь не может изменить пароль» и « Срок действия пароля никогда не истекает» и установите пользователя в группу «Гости».
2. Щелкните правой кнопкой мыши E:Abc и выберите вкладку «Свойства → Безопасность». На данный момент вы можете видеть, что по умолчанию для папки установлен полный доступ «Все» (в зависимости от отображаемого содержимого может отличаться). в зависимости от ситуации). Удалите «Полный доступ для всех» (если его нельзя удалить, нажмите кнопку [Дополнительно], снимите флажок «Разрешить распространение наследственных разрешений родителя» и удалите все), добавьте администраторов и пользователей Abc. ко всем разрешениям безопасности в этом каталоге веб-сайта.
3. Откройте диспетчер IIS, щелкните правой кнопкой мыши имя хоста Abc.com, выберите вкладку «Свойства → Безопасность каталога» во всплывающем меню, нажмите [Изменить] в разделе «Аутентификация и контроль доступа» и появится диалоговое окно, показанное на рисунке 2. По умолчанию для пользователей с анонимным доступом используется «Имя компьютера_IUSR». Нажмите [Обзор], найдите созданную ранее учетную запись Abc в диалоговом окне «Выбор пользователя» и снова введите пароль после подтверждения.
После этой настройки пользователь, посещающий веб-сайт, может получить доступ к сайту в папке E:Abc анонимно под учетной записью Abc. Поскольку учетная запись Abc имеет разрешения безопасности только для этой папки, он может использовать FSO только в этой папке.
ЧАСТО ЗАДАВАЕМЫЕ ВОПРОСЫ:
Как снять ограничение программы загрузки FSO менее 200 тыс.?
Сначала закройте службу администрирования IIS в службе, найдите файл Metabase.xml в каталоге WindowsSystem32Inesrv и откройте его, найдите ASPMaxRequestEntityAllowed и измените его на необходимое значение. Значение по умолчанию — 204800, то есть 200 КБ. Измените его на 51200000 (50M), а затем перезапустите службу администрирования IIS.
ASP предоставляет мощные возможности доступа к файловой системе и может читать, записывать, копировать, удалять, переименовывать и выполнять другие операции с любым файлом на жестком диске сервера, что представляет собой огромную угрозу безопасности школьного веб-сайта. В настоящее время многие хосты университетских кампусов заражены троянами FSO. Однако после отключения компонента FSO все программы ASP, использующие этот компонент, не смогут работать и не смогут удовлетворить потребности клиентов. Как разрешить компонент FileSystemObject, не влияя на безопасность сервера (то есть пользователи разных виртуальных хостов не могут использовать этот компонент для чтения и записи чужих файлов) Ниже приведен опыт автора, накопленный за годы работы:
Первый шаг является ключом к настройке чего-то отличного от Windows 2000: щелкните правой кнопкой мыши диск C, нажмите «Общий доступ и безопасность», в появившемся диалоговом окне выберите вкладку «Безопасность», удалите группы «Все» и «Пользователи» и если на вашем веб-сайте даже не удается запустить программу ASP, добавьте группу IIS_WPG (рис. 1) и перезагрузите компьютер.
После этой разработки троян FSO больше не может запускаться. Если вы хотите установить более высокий уровень безопасности, настройте указанные выше параметры для каждого раздела диска отдельно и настройте разных пользователей анонимного доступа для каждого сайта. Ниже приведен пример (при условии, что в папке Abc на диске E вашего компьютера находится сайт Abc.com):
1. Откройте «Управление компьютером→Локальные пользователи и группы→Пользователи», создайте пользователя Abc, установите пароль, снимите галочку перед «Пользователь должен сменить пароль при следующем входе в систему» и выберите «Пользователь не может изменить пароль» и « Срок действия пароля никогда не истекает» и установите пользователя в группу «Гости».
2. Щелкните правой кнопкой мыши E:Abc и выберите вкладку «Свойства → Безопасность». На данный момент вы можете видеть, что по умолчанию для папки установлен полный доступ «Все» (в зависимости от отображаемого содержимого может отличаться). в зависимости от ситуации). Удалите «Полный доступ для всех» (если его нельзя удалить, нажмите кнопку [Дополнительно], снимите флажок «Разрешить распространение наследственных разрешений родителя» и удалите все), добавьте администраторов и пользователей Abc. ко всем разрешениям безопасности в этом каталоге веб-сайта.
3. Откройте диспетчер IIS, щелкните правой кнопкой мыши имя хоста Abc.com, выберите вкладку «Свойства → Безопасность каталога» во всплывающем меню, нажмите [Изменить] в разделе «Аутентификация и контроль доступа» и появится диалоговое окно, показанное на рисунке 2. По умолчанию для пользователей с анонимным доступом используется «Имя компьютера_IUSR». Нажмите [Обзор], найдите созданную ранее учетную запись Abc в диалоговом окне «Выбор пользователя» и снова введите пароль после подтверждения.
После этой настройки пользователь, посещающий веб-сайт, может получить доступ к сайту в папке E:Abc анонимно под учетной записью Abc. Поскольку учетная запись Abc имеет разрешения безопасности только для этой папки, он может использовать FSO только в этой папке.