熱點推薦:
您现在的位置: 電腦知識網 >> 安全防毒 >> 正文

構建免受 Fso 威脅Windows虛擬主機(上)

2013-12-01 19:52:42  來源: 安全防毒 

  現在絕大多數的虛擬主機都禁用了 ASP 的標准組件FileSystemObject因為這個組件為 ASP 提供了強大的文件系統訪問能力可以對服務器硬盤上的任何文件進行讀復制刪除改名等操作(當然這是指在使用默認設置的 Windows NT / 下才能做到)但是禁止此組件後引起的後果就是所有利用這個組件的 ASP 將無法運行無法滿足客戶的需求
  
  如何既允許 FileSystemObject 組件又不影響服務器的安全性(即不同虛擬主機用戶之間不能使用該組件讀寫別人的文件)呢?這裡介紹本人在實驗中獲得的一種方法下文以 Windows Server 為例來說明
  
  在服務器上打開資源管理器用鼠標右鍵點擊各個硬盤分區或卷的盤符在彈出菜單中選擇屬性選擇安全選項卡此時就可以看到有哪些帳號可以訪問這個分區(卷)及訪問權限默認安裝後出現的是Everyone具有完全控制的權限添加AdministratorsBackup OperatorsPower UsersUsers等幾個組添加進去並給予完全控制或相應的權限注意不要給GuestsIUSR_機器名這幾個帳號任何權限然後將Everyone組從列表中刪除這樣就只有授權的組和用戶才能訪問此硬盤分區了而 ASP 執行時是以IUSR_機器名的身份訪問硬盤的這裡沒給該用戶帳號權限ASP 也就不能讀寫硬盤上的文件了
  
  下面要做的就是給每個虛擬主機用戶設置一個單獨的用戶帳號然後再給每個帳號分配一個允許其完全控制的目錄
  
  如下圖所示打開計算機管理本地用戶和組用戶在右欄中點擊鼠標右鍵在彈出的菜單中選擇新用戶
  
 

  在彈出的新用戶對話框中根據實際需要輸入用戶名全名描述密碼確認密碼並將用戶下次登錄時須更改密碼前的對號去掉選中用戶不能更改密碼密碼永不過期本例是給第一虛擬主機的用戶建立一個匿名訪問 Internet 信息服務的內置帳號IUSR_VHOST所有客戶端使用 訪問此虛擬主機時都是以這個身份來訪問的輸入完成後點創建即可可以根據實際需要創建多個用戶創建完畢後點關閉
  
 

  現在新建立的用戶已經出現在帳號列表中了在列表中雙擊該帳號以便進一步進行設置
  
 

  在彈出的IUSR_VHOST(即剛才創建的新帳號)屬性對話框中點隸屬於選項卡
  
 

  剛建立的帳號默認是屬於Users選中該組刪除
  
 

  現在出現的是如下圖所示此時再點添加
  
 

  在彈出的選擇 組對話框中找到Guests添加此組就會出現在下方的文本框中然後點確定
  
 

  出現的就是如下圖所示的內容確定關閉此對話框
  
 

  打開Internet 信息服務開始對虛擬主機進行設置本例中的以對第一虛擬主機設置為例進行說明右擊該主機名在彈出的菜單中選擇屬性
  
 

  彈出一個第一虛擬主機 屬性的對話框從對話框中可以看到該虛擬主機用戶的使用的是F:\VHOST這個文件夾
  

From:http://tw.wingwit.com/Article/Security/201312/30102.html
    推薦文章
    Copyright © 2005-2013 電腦知識網 Computer Knowledge   All rights reserved.