ASP提供了強大的檔案系統訪問能力,可以對伺服器硬碟上的任何檔案進行讀、寫、複製、刪除、改名等操作,這給學校網站的安全帶來巨大的威脅。現在很多校園主機都遭受過FSO木馬的侵擾。但是禁用FSO組件後,引起的後果就是所有利用這個組件的ASP程式將無法運行,無法滿足客戶的需求。如何既允許FileSystemObject組件,又不影響伺服器的安全性呢(即:不同虛擬機器主機使用者之間不能使用該組件讀寫別人的檔案)?以下是筆者多年來摸索出來的經驗:
第一步是有別於Windows 2000設定的關鍵:右擊C盤,點擊“共用與安全”,在出現在對話方塊中選擇“安全”選項卡,將Everyone、Users組刪除,刪除後如果你的網站連ASP程式都不能運行,請添加IIS_WPG組(圖1),並重啟電腦。
經過這樣設計後,FSO木馬就已經不能運行了。如果你要進行更安全層級的設定,請分別對各個磁碟分割進行如上設定,並為各個網站設定不同匿名訪問使用者。下面以執行個體來介紹(假設你的主機上E盤Abc檔案夾下設Abc.com網站):
1. 開啟“電腦管理→本機使用者和組→使用者”,建立Abc使用者,並設定密碼,並將“使用者下次登入時須更改密碼”前的對號去掉,選中“使用者不能更改密碼”和“密碼永不到期”,並把使用者佈建為隸屬於Guests組。
2. 右擊E:\Abc,選擇“屬性→安全”選項卡,此時可以看到該檔案夾的預設安全設定是“Everyone”完全控制(視不同情況顯示的內容不完全一樣),刪除Everyone的完全控制(如果不能刪除,請點擊[進階]按鈕,將“允許父項的繼承許可權傳播”前面的對號去掉,並刪除所有),添加Administrators及Abc使用者對本網站目錄的所有安全許可權。
3. 開啟IIS管理器,右擊Abc.com主機名稱,在彈出的菜單中選擇“屬性→目錄安全性”選項卡,點擊身分識別驗證和存取控制的[編輯],彈出圖2所示對話方塊,匿名訪問使用者預設的就是“IUSR_機器名”,點擊[瀏覽],在“選擇使用者”對話方塊中找到前面建立的Abc賬戶,確定後重複輸入密碼。
經過這樣設定,訪問網站的使用者就以Abc賬戶匿名身份訪問E:\Abc檔案夾的網站,因為Abc賬戶只對此檔案夾有安全許可權,所以他只能在本檔案夾下使用FSO。
Start building with 50+ products and up to 12 months usage for Elastic Compute Service
1 on 1 presale consultation
24/7 Technical Support 6 Free Tickets per Quarter Faster Response
Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.
A comprehensive suite of global cloud computing services to power your business
Payment Methods We Support
