1.先以C盤為例�,右擊C盤��,點(diǎn)擊“安全”�,將Everyone�、Users組刪除�����,設(shè)置administrators�、system完全控制;iis_wpg只有該文件夾(列出文件夾/讀數(shù)據(jù)/讀屬性/讀擴(kuò)展屬性/讀取權(quán)限)
2.
c:\inetpub\mailroot administrators 完全����;system 完全;service 完全
c:\inetpub\ftproot everyone 只讀和運(yùn)行
如果裝了軟件:
c:\Program Files\soft Everyone 讀取和運(yùn)行��,列出文件夾目錄��,讀取 administrators 完全 具體要看軟件的性質(zhì)
3.讓asp順利運(yùn)行
C:\Program Files\Common Files everyone默認(rèn)權(quán)限
C:\WINNT\Temp everyone 讀寫
C:\WINDOWS\system32 everyone默認(rèn)權(quán)限
其他盤��,也只留administrators��、system 兩個(gè)用戶即可����,如果安裝有軟件,具體設(shè)置見附錄硬盤權(quán)限設(shè)置
4.防止asp木馬
首先�����,設(shè)置system32下程序:net.exe,cmd.exe,ftp.exe,tftp.exe,telnet.exe,只允許administrator訪問
然后�,給每個(gè)虛擬站點(diǎn)單獨(dú)設(shè)一個(gè)用戶,分給每個(gè)用戶文件夾相應(yīng)用戶名完全控制的權(quán)限(防止FSO)�����,具體設(shè)置見附錄 或參看 http://www.im286.com/viewthread.php?tid=974099&extra=page%3D1 落伍論壇有相關(guān)貼
如果服務(wù)器不需要 Wscript.Shell,stream對(duì)象 支持的話可以將其卸載
regsvr32 WSHom.Ocx /u
regsvr32 /s /u "C:\Program Files\Common Files\System\ado\msado15.dll" 注:此項(xiàng)不能輕易去掉�����,否則數(shù)據(jù)庫(kù)連接是可能出現(xiàn) 錯(cuò)誤’ASP 0177 : 800401f3’ server.createobject
上文主要是簡(jiǎn)單的走一下過程�����,如有什么不明白的地方可以參考附錄
附錄(參考文獻(xiàn)):
注:全來自網(wǎng)上�����,版權(quán)歸原撰寫人
Win 2003 硬盤安全設(shè)置(針對(duì)ASP類網(wǎng)站)
C:分區(qū)部分:
c:\
administrators 全部
iis_wpg 只有該文件夾
列出文件夾/讀數(shù)據(jù)
讀屬性
讀擴(kuò)展屬性
讀取權(quán)限
c:\inetpub\mailroot
administrators 全部
system 全部
service 全部
c:\inetpub\ftproot
everyone 只讀和運(yùn)行
c:\windows
administrators 全部
Creator owner
不是繼承的
只有子文件夾及文件
完全
Power Users
修改���,讀取和運(yùn)行���,列出文件夾目錄�����,讀取,寫入
system 全部
Users 讀取和運(yùn)行���,列出文件夾目錄�,讀取
c:\Program Files
Everyone 只有該文件夾
不是繼承的
列出文件夾/讀數(shù)據(jù)
administrators 全部
iis_wpg 只有該文件夾
列出文件/讀數(shù)據(jù)
讀屬性
讀擴(kuò)展屬性
讀取權(quán)限
c:\Program Files\Common Files
administrators 全部
Creator owner
不是繼承的
只有子文件夾及文件
完全
Power Users
修改����,讀取和運(yùn)行,列出文件夾目錄�,讀取,寫入
system 全部
TERMINAL SERVER Users(如果有這個(gè)用戶)
修改��,讀取和運(yùn)行��,列出文件夾目錄����,讀取,寫入
Users 讀取和運(yùn)行�����,列出文件夾目錄,讀取
如果安裝了我們的軟件:
c:\Program Files\LIWEIWENSOFT
Everyone 讀取和運(yùn)行��,列出文件夾目錄���,讀取
administrators 全部
IIS_WPG 讀取和運(yùn)行���,列出文件夾目錄,讀取
c:\Program Files\Dimac(如果有這個(gè)目錄)
Everyone 讀取和運(yùn)行�����,列出文件夾目錄����,讀取
administrators 全部
c:\Program Files\ComPlus Applications (如果有)
administrators 全部
c:\Program Files\GflSDK (如果有)
administrators 全部
Creator owner
不是繼承的
只有子文件夾及文件
完全
Power Users
修改,讀取和運(yùn)行�,列出文件夾目錄,讀取�����,寫入
system 全部
TERMINAL SERVER Users
修改�����,讀取和運(yùn)行,列出文件夾目錄���,讀取�����,寫入
Users 讀取和運(yùn)行,列出文件夾目錄����,讀取
Everyone 讀取和運(yùn)行,列出文件夾目錄��,讀取
c:\Program Files\InstallShield Installation Information (如果有)
c:\Program Files\Internet Explorer (如果有)
c:\Program Files\NetMeeting (如果有)
administrators 全部
c:\Program Files\WindowsUpdate
Creator owner
不是繼承的
只有子文件夾及文件
完全
administrators 全部
Power Users
修改�����,讀取和運(yùn)行�,列出文件夾目錄,讀取��,寫入
system 全部
D:分區(qū)部分:
d:\ (如果用戶網(wǎng)站內(nèi)容放置在這個(gè)分區(qū)中)
administrators 全部權(quán)限
d:\FreeHost (如果此目錄用來放置用戶網(wǎng)站內(nèi)容)
administrators 全部權(quán)限
SERVICE 全部權(quán)限
E:分區(qū)部分:
從安全角度����,我們建議WebEasyMail(WinWebMail)安裝在獨(dú)立的盤中��,例如E:
E:\(如果webeasymail安裝在這個(gè)盤中)
administrators 全部權(quán)限
system 全部權(quán)限
IUSR_*�����,默認(rèn)的Internet來賓帳戶(如果這個(gè)網(wǎng)站用這個(gè)用戶來運(yùn)行)
不是繼承的
只有子文件夾
讀取權(quán)限
E:\WebEasyMail (如果webeasymail安裝在這個(gè)目錄中)
administrators 全部
system 全部權(quán)限
SERVICE 全部
IUSR_*�����,默認(rèn)的Internet來賓帳戶 全部權(quán)限(如果這個(gè)網(wǎng)站用這個(gè)用戶來運(yùn)行)
關(guān)于IUSR_*�,我們不建議用這個(gè)用戶來運(yùn)行Webeasymail�����,應(yīng)該用平臺(tái)開一個(gè)虛擬主機(jī)來運(yùn)行Webeasymail�。
----------------不知道2000是不是一樣設(shè)置.
Win 2003中提高FSO的安全性
ASP提供了強(qiáng)大的文件系統(tǒng)訪問能力,可以對(duì)服務(wù)器硬盤上的任何文件進(jìn)行讀����、寫、復(fù)制���、刪除���、改名等操作�,這給學(xué)校網(wǎng)站的安全帶來巨大的威脅�����,F(xiàn)在很多校園主機(jī)都遭受過FSO木馬的侵?jǐn)_����。但是禁用FSO組件后,引起的后果就是所有利用這個(gè)組件的ASP程序?qū)o法運(yùn)行�����,無法滿足客戶的需求����。如何既允許FileSystemObject組件��,又不影響服務(wù)器的安全性呢(即:不同虛擬主機(jī)用戶之間不能使用該組件讀寫別人的文件)��?以下是筆者多年來摸索出來的經(jīng)驗(yàn):
第一步是有別于Windows 2000設(shè)置的關(guān)鍵:右擊C盤�,點(diǎn)擊“共享與安全”,在出現(xiàn)在對(duì)話框中選擇“安全”選項(xiàng)卡����,將Everyone���、Users組刪除,刪除后如果你的網(wǎng)站連ASP程序都不能運(yùn)行���,請(qǐng)?zhí)砑覫IS_WPG組(圖1)����,并重啟計(jì)算機(jī)����。
經(jīng)過這樣設(shè)計(jì)后,F(xiàn)SO木馬就已經(jīng)不能運(yùn)行了����。如果你要進(jìn)行更安全級(jí)別的設(shè)置,請(qǐng)分別對(duì)各個(gè)磁盤分區(qū)進(jìn)行如上設(shè)置���,并為各個(gè)站點(diǎn)設(shè)置不同匿名訪問用戶����。下面以實(shí)例來介紹(假設(shè)你的主機(jī)上E盤Abc文件夾下設(shè)Abc.com站點(diǎn)):
1. 打開“計(jì)算機(jī)管理→本地用戶和組→用戶”����,創(chuàng)建Abc用戶����,并設(shè)置密碼���,并將“用戶下次登錄時(shí)須更改密碼”前的對(duì)號(hào)去掉��,選中“用戶不能更改密碼”和“密碼永不過期”��,并把用戶設(shè)置為隸屬于Guests組�。
2. 右擊E:\Abc����,選擇“屬性→安全”選項(xiàng)卡����,此時(shí)可以看到該文件夾的默認(rèn)安全設(shè)置是“Everyone”完全控制(視不同情況顯示的內(nèi)容不完全一樣),刪除Everyone的完全控制(如果不能刪除����,請(qǐng)點(diǎn)擊[高級(jí)]按鈕,將“允許父項(xiàng)的繼承權(quán)限傳播”前面的對(duì)號(hào)去掉����,并刪除所有)�,添加Administrators及Abc用戶對(duì)本網(wǎng)站目錄的所有安全權(quán)限���。
3. 打開IIS管理器����,右擊Abc.com主機(jī)名�,在彈出的菜單中選擇“屬性→目錄安全性”選項(xiàng)卡,點(diǎn)擊身份驗(yàn)證和訪問控制的[編輯]�,彈出圖2所示對(duì)話框,匿名訪問用戶默認(rèn)的就是“IUSR_機(jī)器名”�,點(diǎn)擊[瀏覽],在“選擇用戶”對(duì)話框中找到前面創(chuàng)建的Abc賬戶�����,確定后重復(fù)輸入密碼�����。
經(jīng)過這樣設(shè)置����,訪問網(wǎng)站的用戶就以Abc賬戶匿名身份訪問E:\Abc文件夾的站點(diǎn)�,因?yàn)锳bc賬戶只對(duì)此文件夾有安全權(quán)限��,所以他只能在本文件夾下使用FSO�����。
常見問題:
如何解除FSO上傳程序小于200k限制���?
先在服務(wù)里關(guān)閉IIS admin service服務(wù)�,找到Windows\System32\Inesrv目錄下的Metabase.xml并打開����,找到ASPMaxRequestEntityAllowed,將其修改為需要的值�����。默認(rèn)為204800�,即200K�,把它修改為51200000(50M),然后重啟IIS admin service服務(wù)��。
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)�����!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商�!15年品質(zhì)保障!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國(guó)服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
