ASP มอบความสามารถในการเข้าถึงระบบไฟล์ที่ทรงพลังและสามารถอ่าน เขียน คัดลอก ลบ เปลี่ยนชื่อ และการดำเนินการอื่น ๆ บนไฟล์ใด ๆ บนเซิร์ฟเวอร์ฮาร์ดดิสก์ ซึ่งก่อให้เกิดภัยคุกคามอย่างมากต่อความปลอดภัยของเว็บไซต์ของโรงเรียน ปัจจุบันโฮสต์ของวิทยาเขตหลายแห่งถูกรบกวนโดย FSO Trojans อย่างไรก็ตาม หลังจากปิดใช้งานคอมโพเนนต์ FSO ผลที่ตามมาก็คือโปรแกรม ASP ทั้งหมดที่ใช้คอมโพเนนต์นี้จะไม่สามารถรันและไม่สามารถตอบสนองความต้องการของลูกค้าได้ จะอนุญาตส่วนประกอบ FileSystemObject ได้อย่างไรโดยไม่ส่งผลกระทบต่อความปลอดภัยของเซิร์ฟเวอร์ (นั่นคือผู้ใช้โฮสต์เสมือนที่แตกต่างกันไม่สามารถใช้ส่วนประกอบนี้เพื่ออ่านและเขียนไฟล์ของผู้อื่นได้) ต่อไปนี้เป็นประสบการณ์ของผู้เขียนที่ได้รับในช่วงหลายปีที่ผ่านมา:
ขั้นตอนแรกคือกุญแจสำคัญในการตั้งค่าสิ่งที่แตกต่างจาก Windows 2000: คลิกขวาที่ไดรฟ์ C คลิก "การแบ่งปันและความปลอดภัย" เลือกแท็บ "ความปลอดภัย" ในกล่องโต้ตอบที่ปรากฏขึ้น ลบกลุ่มทุกคนและผู้ใช้ และ หากเว็บไซต์ของคุณไม่สามารถรันโปรแกรม ASP ได้ โปรดเพิ่มกลุ่ม IIS_WPG (รูปที่ 1) และรีสตาร์ทคอมพิวเตอร์
หลังจากการออกแบบนี้ โทรจัน FSO จะไม่สามารถทำงานได้อีกต่อไป หากคุณต้องการตั้งค่าระดับความปลอดภัยที่สูงขึ้น โปรดตั้งค่าด้านบนสำหรับแต่ละพาร์ติชันดิสก์แยกกัน และตั้งค่าผู้ใช้ที่เข้าถึงแบบไม่ระบุชื่อที่แตกต่างกันสำหรับแต่ละไซต์ ต่อไปนี้เป็นตัวอย่างที่จะแนะนำ (สมมติว่าโฟลเดอร์ Abc บนไดรฟ์ E ของคอมพิวเตอร์แม่ข่ายของคุณมีไซต์ Abc.com):
1. เปิด "การจัดการคอมพิวเตอร์→ผู้ใช้และกลุ่มภายใน→ผู้ใช้" สร้างผู้ใช้ Abc ตั้งรหัสผ่าน ลบเครื่องหมายถูกออกก่อน "ผู้ใช้ต้องเปลี่ยนรหัสผ่านเมื่อเข้าสู่ระบบในครั้งถัดไป" และเลือก "ผู้ใช้ไม่สามารถเปลี่ยนรหัสผ่าน" และ " รหัสผ่านไม่มีวันหมดอายุ" และตั้งค่าผู้ใช้ให้อยู่ในกลุ่มแขก
2. คลิกขวาที่ E:Abc และเลือกแท็บ "Properties → Security" ในขณะนี้ คุณจะเห็นว่าการตั้งค่าความปลอดภัยเริ่มต้นของโฟลเดอร์คือ "ทุกคน" ทั้งหมด (เนื้อหาที่แสดงอาจไม่เหมือนกันทุกประการ ขึ้นอยู่กับ ในสถานการณ์นี้) ลบการควบคุมทั้งหมดของทุกคน (หากไม่สามารถลบได้ โปรดคลิกปุ่ม [ขั้นสูง] ลบเครื่องหมายถูกที่อยู่หน้า "อนุญาตให้ผู้ปกครองอนุญาตในการเผยแพร่" และลบทั้งหมด) เพิ่มผู้ดูแลระบบและผู้ใช้ Abc สำหรับการอนุญาตด้านความปลอดภัยทั้งหมดในไดเร็กทอรีเว็บไซต์นี้
3. เปิด IIS Manager คลิกขวาที่ชื่อโฮสต์ Abc.com เลือกแท็บ "Properties → Directory Security" ในเมนูป๊อปอัป คลิก [Edit] ของ Authentication and Access Control และกล่องโต้ตอบที่แสดงในรูปที่ 2 จะปรากฏขึ้น ค่าเริ่มต้นสำหรับผู้ใช้ที่ไม่ระบุชื่อคือ "IUSR_machine name" คลิก [Browse] ค้นหาบัญชี Abc ที่สร้างขึ้นก่อนหน้านี้ในกล่องโต้ตอบ "Select User" และป้อนรหัสผ่านอีกครั้งหลังจากการยืนยัน
หลังจากการตั้งค่านี้ ผู้ใช้ที่เข้าชมเว็บไซต์จะสามารถเข้าถึงไซต์ในโฟลเดอร์ E:Abc โดยไม่ระบุชื่อเป็นบัญชี Abc เนื่องจากบัญชี Abc มีสิทธิ์ด้านความปลอดภัยสำหรับโฟลเดอร์นี้เท่านั้น เขาจึงสามารถใช้ได้เฉพาะ FSO ในโฟลเดอร์นี้เท่านั้น
คำถามที่พบบ่อย:
จะยกโปรแกรมอัพโหลด FSO น้อยกว่าขีด จำกัด 200k ได้อย่างไร
ขั้นแรก ปิดบริการบริการผู้ดูแลระบบ IIS ในบริการ ค้นหา Metabase.xml ในไดเรกทอรี WindowsSystem32Inesrv แล้วเปิด ค้นหา ASPMaxRequestEntityAllowed และแก้ไขเป็นค่าที่ต้องการ ค่าเริ่มต้นคือ 204800 ซึ่งก็คือ 200K เปลี่ยนเป็น 51200000 (50M) จากนั้นเริ่มบริการผู้ดูแลระบบ IIS ใหม่
ASP มอบความสามารถในการเข้าถึงระบบไฟล์ที่ทรงพลังและสามารถอ่าน เขียน คัดลอก ลบ เปลี่ยนชื่อ และการดำเนินการอื่น ๆ บนไฟล์ใด ๆ บนเซิร์ฟเวอร์ฮาร์ดดิสก์ ซึ่งก่อให้เกิดภัยคุกคามอย่างมากต่อความปลอดภัยของเว็บไซต์ของโรงเรียน ปัจจุบันโฮสต์ของวิทยาเขตหลายแห่งถูกรบกวนโดย FSO Trojans อย่างไรก็ตาม หลังจากปิดใช้งานคอมโพเนนต์ FSO ผลที่ตามมาก็คือโปรแกรม ASP ทั้งหมดที่ใช้คอมโพเนนต์นี้จะไม่สามารถรันและไม่สามารถตอบสนองความต้องการของลูกค้าได้ จะอนุญาตส่วนประกอบ FileSystemObject ได้อย่างไรโดยไม่ส่งผลกระทบต่อความปลอดภัยของเซิร์ฟเวอร์ (นั่นคือผู้ใช้โฮสต์เสมือนที่แตกต่างกันไม่สามารถใช้ส่วนประกอบนี้เพื่ออ่านและเขียนไฟล์ของผู้อื่นได้) ต่อไปนี้เป็นประสบการณ์ของผู้เขียนที่ได้รับในช่วงหลายปีที่ผ่านมา:
ขั้นตอนแรกคือกุญแจสำคัญในการตั้งค่าสิ่งที่แตกต่างจาก Windows 2000: คลิกขวาที่ไดรฟ์ C คลิก "การแบ่งปันและความปลอดภัย" เลือกแท็บ "ความปลอดภัย" ในกล่องโต้ตอบที่ปรากฏขึ้น ลบกลุ่มทุกคนและผู้ใช้ และ หากเว็บไซต์ของคุณไม่สามารถรันโปรแกรม ASP ได้ โปรดเพิ่มกลุ่ม IIS_WPG (รูปที่ 1) และรีสตาร์ทคอมพิวเตอร์
หลังจากการออกแบบนี้ โทรจัน FSO จะไม่สามารถทำงานได้อีกต่อไป หากคุณต้องการตั้งค่าระดับความปลอดภัยที่สูงขึ้น โปรดตั้งค่าด้านบนสำหรับแต่ละพาร์ติชันดิสก์แยกกัน และตั้งค่าผู้ใช้ที่เข้าถึงแบบไม่ระบุชื่อที่แตกต่างกันสำหรับแต่ละไซต์ ต่อไปนี้เป็นตัวอย่างที่จะแนะนำ (สมมติว่าโฟลเดอร์ Abc บนไดรฟ์ E ของคอมพิวเตอร์แม่ข่ายของคุณมีไซต์ Abc.com):
1. เปิด "การจัดการคอมพิวเตอร์→ผู้ใช้และกลุ่มภายใน→ผู้ใช้" สร้างผู้ใช้ Abc ตั้งรหัสผ่าน ลบเครื่องหมายถูกออกก่อน "ผู้ใช้ต้องเปลี่ยนรหัสผ่านเมื่อเข้าสู่ระบบในครั้งถัดไป" และเลือก "ผู้ใช้ไม่สามารถเปลี่ยนรหัสผ่าน" และ " รหัสผ่านไม่มีวันหมดอายุ" และตั้งค่าผู้ใช้ให้อยู่ในกลุ่มแขก
2. คลิกขวาที่ E:Abc และเลือกแท็บ "Properties → Security" ในขณะนี้ คุณจะเห็นว่าการตั้งค่าความปลอดภัยเริ่มต้นของโฟลเดอร์คือ "ทุกคน" ทั้งหมด (เนื้อหาที่แสดงอาจไม่เหมือนกันทุกประการ ขึ้นอยู่กับ ในสถานการณ์นี้) ลบการควบคุมทั้งหมดของทุกคน (หากไม่สามารถลบได้ โปรดคลิกปุ่ม [ขั้นสูง] ลบเครื่องหมายถูกที่อยู่หน้า "อนุญาตให้ผู้ปกครองอนุญาตในการเผยแพร่" และลบทั้งหมด) เพิ่มผู้ดูแลระบบและผู้ใช้ Abc สำหรับการอนุญาตด้านความปลอดภัยทั้งหมดในไดเร็กทอรีเว็บไซต์นี้
3. เปิด IIS Manager คลิกขวาที่ชื่อโฮสต์ Abc.com เลือกแท็บ "Properties → Directory Security" ในเมนูป๊อปอัป คลิก [Edit] ของ Authentication and Access Control และกล่องโต้ตอบที่แสดงในรูปที่ 2 จะปรากฏขึ้น ค่าเริ่มต้นสำหรับผู้ใช้ที่ไม่ระบุชื่อคือ "IUSR_machine name" คลิก [Browse] ค้นหาบัญชี Abc ที่สร้างขึ้นก่อนหน้านี้ในกล่องโต้ตอบ "Select User" และป้อนรหัสผ่านอีกครั้งหลังจากการยืนยัน
หลังจากการตั้งค่านี้ ผู้ใช้ที่เข้าชมเว็บไซต์จะสามารถเข้าถึงไซต์ในโฟลเดอร์ E:Abc โดยไม่ระบุชื่อเป็นบัญชี Abc เนื่องจากบัญชี Abc มีสิทธิ์ด้านความปลอดภัยสำหรับโฟลเดอร์นี้เท่านั้น เขาจึงสามารถใช้ได้เฉพาะ FSO ในโฟลเดอร์นี้เท่านั้น