asp提供了強大的檔案系統訪問能力,可以對伺服器硬碟上的任何檔案進行讀、寫、複製、刪除、改名等操作,這給學校**的安全帶來巨大的威脅。現在很多校園主機都遭受過fso木馬的侵擾。但是禁用fso元件後,引起的後果就是所有利用這個元件的asp程式將無法執行,無法滿足客戶的需求。如何既允許filesystemobject元件,又不影響伺服器的安全性呢(即:不同虛擬主機使用者之間不能使用該元件讀寫別人的檔案)?以下是筆者多年來摸索出來的經驗:
第一步是有別於windows 2000設定的關鍵:右擊c盤,點選「共享與安全」,在出現在對話方塊中選擇「安全」選項卡,將everyone、users組刪除,刪除後如果你的**連asp程式都不能執行,請新增iis_wpg組(圖1),並重啟計算機。
圖1經過這樣設計後,fso木馬就已經不能執行了。如果你要進行更安全級別的設定,請分別對各個磁碟分割槽進行如上設定,並為各個站點設定不同匿名訪問使用者。下面以例項來介紹(假設你的主機上e盤abc資料夾下設abc.com站點):
1. 開啟「計算機管理→本地使用者和組→使用者」,建立abc使用者,並設定密碼,並將「使用者下次登入時須更改密碼」前的對號去掉,選中「使用者不能更改密碼」和「密碼永不過期」,並把使用者設定為隸屬於guests組。
2. 右擊e:abc,選擇「屬性→安全」選項卡,此時可以看到該資料夾的預設安全設定是「everyone」完全控制(視不同情況顯示的內容不完全一樣),刪除everyone的完全控制(如果不能刪除,[高階]按鈕,將「允許父項的繼承許可權傳播」前面的對號去掉,並刪除所有),新增administrators及abc使用者對本**目錄的所有安全許可權。
3. 開啟iis管理器,右擊abc.com主機名,在彈出的選單中選擇「屬性→目錄安全性」選項卡,點選身份驗證和訪問控制的[編輯],彈出圖2所示對話方塊,匿名訪問使用者預設的就是「iusr_機器名」,點選[瀏覽],在「選擇使用者」對話方塊中找到前面建立的awww.cppcns.combc賬戶,確定後重複輸入密碼。
圖2經過這樣設定,訪問**的使用者就以abc賬戶匿名身份訪問e:abc資料夾的站點,因為abc賬戶只對此資料夾有安全許可權,所以他只能在本資料夾下使用fso。
如何解除fso上傳程式小於200k限制?
www.cppcns.com先在服務裡關閉iis admin service服務,找到windows\system32\inesrv目錄下的metabase.xml並開啟,找到aspmaxrequestentityallowed,將其修改為需要的值。預設為204800,即200k,把它修改為51200000(50m),然後重啟iis admin service服務。
asp提供了強大的檔案系統訪問能力,可以對伺服器硬碟上的任何檔案進行讀、寫、複製、刪除、改名等操作,這給學校**的安全帶來巨大的威脅。現在很多校園主機都遭受過fso木馬的侵擾。但是禁用fso元件後,引起的後果就是所有利用這個元件的asp程式將無法執行,無法滿足客戶的需求。如何既允許filesystemobject元件,又不影響伺服器的安全性呢(即:不同虛擬主機用www.cppcns.com戶之間不能使用該元件讀寫別人的檔案)?以下是筆者多年來摸索出來的經驗:
第一步是有別於windows 2000設定的關鍵:右擊c盤,點選「共享與安保誄魷衷詼曰翱蛑醒≡瘛鞍踩毖∠羈獷veryone、users組刪除,刪除後如果你的**連asp程式都不能執行,請新增iis_wpg組(圖1),並重啟計算機。
經過這樣設計後,fso木馬就已經不能執行了。如果你要進行更安全級別的設定,請分別對各個磁碟分割槽進行如上設定,並為各個站點設定不同匿名訪問使用者。下面以例項來介紹(假設你的主機上e盤abc資料夾下設abc.com站點):
1. 開啟「計算機管理→本地使用者和組→使用者」,建立abc使用者,並設定密碼,並將「使用者下次登入時須更改密碼」前的對號去掉,選中「使用者不能更改密碼」和「密碼永不過期」,並把使用者設定為隸屬於guests組。
2. 右擊e:abc,選擇「屬性→安全」選項卡,此時可以看到該資料夾的預設安全設定是「everyone」完全控制(視不同情況顯示的內容不完全一樣),刪除everyone的完全控制(如果不能刪除,[高階]按鈕,將「允許父項的繼承許可權傳播」前面的對號去掉,並刪除所有),新增administrators及abc使用者對本**目錄的所有安全許可權。
3. 開啟iis管理器,右擊abc.com主機名,在彈出的選單中選擇「屬性→目錄安全性」選項卡,點選身份驗證和訪問控制的[編輯],彈出圖2所示對話方塊,匿名訪問使用者預設的就是「iusr_機器名」,點選[瀏覽],在「選擇使用者」對話方塊中找到前面建立的abc賬戶,確定後重複輸入密碼。
經過這樣設定,訪問**的使用者就以abc賬戶匿名身份訪問e:abc資料夾的站點,因為abc賬戶只對此資料夾有安全許可權,所以他只能在本資料夾下使用fso。
常見問題:
如何解除fso上傳程式小於200k限制?
先在服務裡關閉iis admin service服務,找到windows\system32\inesrv目錄下的metabase.xml並開啟,找到aspmaxrequestentityallowed,將其修改為需要的值。預設為204800,即200k,把它修改為51200000(50m),然後重啟iis admin service服務。
本文標題: win2003下提高fso的安全性
本文位址: /wangluo/asp/838.html
輕鬆提高Win2003的執行速度
輕鬆提高win2003的執行速度 登錄檔是優化修改windows的利器,windows 2003也不例外。下面筆者就介紹如何利用登錄檔提高系統的執行速度。1.減少進度條讀取時間 進入 開始 執行 輸入 regedit 開啟 登錄檔編輯器 找到鍵值hkey local machinesystemcur...
關於win2003企業版中FSO元件不能使用的問題
更新了windows2003最新的系統補丁,結果發現上傳的時候就停在那裡,經查發現是原來的fso不好用。在網上找的資料如下 1 首先在系統盤中查詢scrrun.dll,如果存在這個檔案,請跳到第三步,如果沒有,請執行第二步。2 在安裝檔案目錄i386中找到scrrun.dl 用winrar解壓縮,得...
Win2003下如何解除安裝集群
win2003下如何解除安裝集群 在預設情況下,群集服務 mscs 的檔案已經安裝在執行windows server 2003 企業版或windows server 2003 datacenter 版本的計算機上。在windows 的早期版本中,若要安裝群集服務需要在控制面板中的 新增 刪除程式 工...