win 2003下增強(qiáng)FSO安全性的方法

　　在ASP中，F(xiàn)SO就是文件系統(tǒng)對象的意思。我們將要操縱的計算機(jī)文件系統(tǒng)，在這里是指位于web服務(wù)器之上。所以，確認(rèn)你對此擁有合適的權(quán)限。理想情況下，你可以在自己的機(jī)器上建立一個web服務(wù)器，這樣就能方便地進(jìn)行測試。ASP提供了強(qiáng)大的文件系統(tǒng)訪問能力,但卻給網(wǎng)站的安全帶來巨大的威脅,特別是遭受FSO木馬的侵?jǐn)_.可以采取禁用FSO組件后，但引起的后果就是所有利用這個組件的ASP程序?qū)�無法運(yùn)行，無法滿足客戶的需求。為此,我們又該怎么辦呢?

　　第一步是有別于windows 2000設(shè)置的關(guān)鍵：右擊C盤，點(diǎn)擊“共享與安全”，在出現(xiàn)在對話框中選擇“安全”選項卡，將Everyone、Users組刪除，刪除后如果你的網(wǎng)站連ASP程序都不能運(yùn)行，請?zhí)砑覫IS_WPG組(圖1)，并重啟計算機(jī)。

添加IIS_WPG組

　　經(jīng)過這樣設(shè)計后，F(xiàn)SO木馬就已經(jīng)不能運(yùn)行了。如果你要進(jìn)行更安全級別的設(shè)置，請分別對各個磁盤分區(qū)進(jìn)行如上設(shè)置，并為各個站點(diǎn)設(shè)置不同匿名訪問用戶。下面以實(shí)例來介紹(假設(shè)你的主機(jī)上E盤Abc文件夾下設(shè)Abc.com站點(diǎn))：

　　1. 打開“計算機(jī)管理→本地用戶和組→用戶”，創(chuàng)建Abc用戶，并設(shè)置密碼，并將“用戶下次登錄時須更改密碼”前的對號去掉，選中“用戶不能更改密碼”和“密碼永不過期”，并把用戶設(shè)置為隸屬于Guests組。

　　2. 右擊E:Abc，選擇“屬性→安全”選項卡，此時可以看到該文件夾的默認(rèn)安全設(shè)置是“Everyone”完全控制(視不同情況顯示的內(nèi)容不完全一樣)，刪除Everyone的完全控制(如果不能刪除，請點(diǎn)擊[高級]按鈕，將“允許父項的繼承權(quán)限傳播”前面的對號去掉，并刪除所有)，添加Administrators及Abc用戶對本網(wǎng)站目錄的所有安全權(quán)限。

　　3. 打開IIS管理器，右擊Abc.com主機(jī)名，在彈出的菜單中選擇“屬性→目錄安全性”選項卡，點(diǎn)擊身份驗證和訪問控制的[編輯]，彈出圖2所示對話框，匿名訪問用戶默認(rèn)的就是“IUSR_機(jī)器名”，點(diǎn)擊[瀏覽]，在“選擇用戶”對話框中找到前面創(chuàng)建的Abc賬戶，確定后重復(fù)輸入密碼。

　　經(jīng)過這樣設(shè)置，訪問網(wǎng)站的用戶就以Abc賬戶匿名身份訪問E:Abc文件夾的站點(diǎn)，因為Abc賬戶只對此文件夾有安全權(quán)限，所以他只能在本文件夾下使用FSO。

圖2對話框

　　常見問題：

　　如何解除FSO上傳程序小于200k限制?

　　先在服務(wù)里關(guān)閉IIS admin service服務(wù)，找到Windows\System32\Inesrv目錄下的Metabase.xml并打開，找到ASPMaxRequestEntityAllowed，將其修改為需要的值。默認(rèn)為204800，即200K，把它修改為51200000(50M)，然后重啟IIS admin service服務(wù)。

　　ASP提供了強(qiáng)大的文件系統(tǒng)訪問能力，可以對服務(wù)器硬盤上的任何文件進(jìn)行讀、寫、復(fù)制、刪除、改名等操作，這給學(xué)校網(wǎng)站的安全帶來巨大的威脅�，F(xiàn)在很多校園主機(jī)都遭受過FSO木馬的侵?jǐn)_。但是禁用FSO組件后，引起的后果就是所有利用這個組件的ASP程序?qū)�無法運(yùn)行，無法滿足客戶的需求。如何既允許FileSystemObject組件，又不影響服務(wù)器的安全性呢(即：不同虛擬主機(jī)用戶之間不能使用該組件讀寫別人的文件)?以下是筆者多年來摸索出來的經(jīng)驗：

　　第一步是有別于windows 2000設(shè)置的關(guān)鍵：右擊C盤，點(diǎn)擊“共享與安全”，在出現(xiàn)在對話框中選擇“安全”選項卡，將Everyone、Users組刪除，刪除后如果你的網(wǎng)站連ASP程序都不能運(yùn)行，請?zhí)砑覫IS_WPG組(圖1)，并重啟計算機(jī)。

共享與安全

　　經(jīng)過這樣設(shè)計后，F(xiàn)SO木馬就已經(jīng)不能運(yùn)行了。如果你要進(jìn)行更安全級別的設(shè)置，請分別對各個磁盤分區(qū)進(jìn)行如上設(shè)置，并為各個站點(diǎn)設(shè)置不同匿名訪問用戶。下面以實(shí)例來介紹(假設(shè)你的主機(jī)上E盤Abc文件夾下設(shè)Abc.com站點(diǎn))：

　　1. 打開“計算機(jī)管理→本地用戶和組→用戶”，創(chuàng)建Abc用戶，并設(shè)置密碼，并將“用戶下次登錄時須更改密碼”前的對號去掉，選中“用戶不能更改密碼”和“密碼永不過期”，并把用戶設(shè)置為隸屬于Guests組。

　　2. 右擊E:\Abc，選擇“屬性→安全”選項卡，此時可以看到該文件夾的默認(rèn)安全設(shè)置是“Everyone”完全控制(視不同情況顯示的內(nèi)容不完全一樣)，刪除Everyone的完全控制(如果不能刪除，請點(diǎn)擊[高級]按鈕，將“允許父項的繼承權(quán)限傳播”前面的對號去掉，并刪除所有)，添加Administrators及Abc用戶對本網(wǎng)站目錄的所有安全權(quán)限。

　　3. 打開IIS管理器，右擊Abc.com主機(jī)名，在彈出的菜單中選擇“屬性→目錄安全性”選項卡，點(diǎn)擊身份驗證和訪問控制的[編輯]，彈出圖2所示對話框，匿名訪問用戶默認(rèn)的就是“IUSR_機(jī)器名”，點(diǎn)擊[瀏覽]，在“選擇用戶”對話框中找到前面創(chuàng)建的Abc賬戶，確定后重復(fù)輸入密碼。

　　經(jīng)過這樣設(shè)置，訪問網(wǎng)站的用戶就以Abc賬戶匿名身份訪問E:\Abc文件夾的站點(diǎn)，因為Abc賬戶只對此文件夾有安全權(quán)限，所以他只能在本文件夾下使用FSO。

　　常見問題：

　　如何解除FSO上傳程序小于200k限制?

　　先在服務(wù)里關(guān)閉IIS admin service服務(wù)，找到Windows\System32\Inesrv目錄下的Metabase.xml并打開，找到ASPMaxRequestEntityAllowed，將其修改為需要的值。默認(rèn)為204800，即200K，把它修改為51200000(50M)，然后重啟IIS admin service服務(wù)。

　　小缺陷:

　　你不能使用FSO來管理權(quán)限以及文件、文件夾的屬性，執(zhí)行安全加密的一個很好方法就是將前面提到的留言簿文件設(shè)置為只讀，在需要時再設(shè)置為可寫，然后再修改回來。這個方法經(jīng)常在CGI和Perl使用，但是很不幸，還沒有令人滿意的方法來用FSO實(shí)現(xiàn)。