1.先以C盤為例��,右擊C盤�����,點擊“安全”�,將Everyone��、Users組刪除��,設置administrators�����、system完全控制�����;iis_wpg只有該文件夾(列出文件夾/讀數據/讀屬性/讀擴展屬性/讀取權限)
2.
c:\inetpub\mailroot administrators 完全��;system 完全����;service 完全
c:\inetpub\ftproot everyone 只讀和運行
如果裝了軟件:
c:\Program Files\soft Everyone 讀取和運行�����,列出文件夾目錄���,讀取 administrators 完全 具體要看軟件的性質
3.讓asp順利運行
C:\Program Files\Common Files everyone默認權限
C:\WINNT\Temp everyone 讀寫
C:\WINDOWS\system32 everyone默認權限
其他盤���,也只留administrators��、system 兩個用戶即可����,如果安裝有軟件����,具體設置見附錄硬盤權限設置
4.防止asp木馬
首先��,設置system32下程序:net.exe,cmd.exe,ftp.exe,tftp.exe,telnet.exe�����,只允許administrator訪問
然后���,給每個虛擬站點單獨設一個用戶�,分給每個用戶文件夾相應用戶名完全控制的權限(防止FSO)��,具體設置見附錄 或參看 http://www.im286.com/viewthread.php?tid=974099&extra=page%3D1 落伍論壇有相關貼
如果服務器不需要 Wscript.Shell,stream對象 支持的話可以將其卸載
regsvr32 WSHom.Ocx /u
regsvr32 /s /u "C:\Program Files\Common Files\System\ado\msado15.dll" 注:此項不能輕易去掉�����,否則數據庫連接是可能出現 錯誤’ASP 0177 : 800401f3’ server.createobject
上文主要是簡單的走一下過程�����,如有什么不明白的地方可以參考附錄
附錄(參考文獻):
注:全來自網上����,版權歸原撰寫人
Win 2003 硬盤安全設置(針對ASP類網站)
C:分區部分:
c:\
administrators 全部
iis_wpg 只有該文件夾
列出文件夾/讀數據
讀屬性
讀擴展屬性
讀取權限
c:\inetpub\mailroot
administrators 全部
system 全部
service 全部
c:\inetpub\ftproot
everyone 只讀和運行
c:\windows
administrators 全部
Creator owner
不是繼承的
只有子文件夾及文件
完全
Power Users
修改���,讀取和運行�����,列出文件夾目錄����,讀取�,寫入
system 全部
Users 讀取和運行����,列出文件夾目錄����,讀取
c:\Program Files
Everyone 只有該文件夾
不是繼承的
列出文件夾/讀數據
administrators 全部
iis_wpg 只有該文件夾
列出文件/讀數據
讀屬性
讀擴展屬性
讀取權限
c:\Program Files\Common Files
administrators 全部
Creator owner
不是繼承的
只有子文件夾及文件
完全
Power Users
修改���,讀取和運行�����,列出文件夾目錄��,讀取�,寫入
system 全部
TERMINAL SERVER Users(如果有這個用戶)
修改���,讀取和運行���,列出文件夾目錄����,讀取�����,寫入
Users 讀取和運行���,列出文件夾目錄�����,讀取
如果安裝了我們的軟件:
c:\Program Files\LIWEIWENSOFT
Everyone 讀取和運行�,列出文件夾目錄����,讀取
administrators 全部
IIS_WPG 讀取和運行��,列出文件夾目錄���,讀取
c:\Program Files\Dimac(如果有這個目錄)
Everyone 讀取和運行�����,列出文件夾目錄�����,讀取
administrators 全部
c:\Program Files\ComPlus Applications (如果有)
administrators 全部
c:\Program Files\GflSDK (如果有)
administrators 全部
Creator owner
不是繼承的
只有子文件夾及文件
完全
Power Users
修改�,讀取和運行�����,列出文件夾目錄�����,讀取���,寫入
system 全部
TERMINAL SERVER Users
修改���,讀取和運行����,列出文件夾目錄��,讀取��,寫入
Users 讀取和運行����,列出文件夾目錄����,讀取
Everyone 讀取和運行����,列出文件夾目錄��,讀取
c:\Program Files\InstallShield Installation Information (如果有)
c:\Program Files\Internet Explorer (如果有)
c:\Program Files\NetMeeting (如果有)
administrators 全部
c:\Program Files\WindowsUpdate
Creator owner
不是繼承的
只有子文件夾及文件
完全
administrators 全部
Power Users
修改��,讀取和運行�����,列出文件夾目錄��,讀取����,寫入
system 全部
D:分區部分:
d:\ (如果用戶網站內容放置在這個分區中)
administrators 全部權限
d:\FreeHost (如果此目錄用來放置用戶網站內容)
administrators 全部權限
SERVICE 全部權限
E:分區部分:
從安全角度�����,我們建議WebEasyMail(WinWebMail)安裝在獨立的盤中��,例如E:
E:\(如果webeasymail安裝在這個盤中)
administrators 全部權限
system 全部權限
IUSR_*����,默認的Internet來賓帳戶(如果這個網站用這個用戶來運行)
不是繼承的
只有子文件夾
讀取權限
E:\WebEasyMail (如果webeasymail安裝在這個目錄中)
administrators 全部
system 全部權限
SERVICE 全部
IUSR_*���,默認的Internet來賓帳戶 全部權限(如果這個網站用這個用戶來運行)
關于IUSR_*����,我們不建議用這個用戶來運行Webeasymail���,應該用平臺開一個虛擬主機來運行Webeasymail��。
----------------不知道2000是不是一樣設置.
Win 2003中提高FSO的安全性
ASP提供了強大的文件系統訪問能力����,可以對服務器硬盤上的任何文件進行讀�����、寫��、復制����、刪除�、改名等操作�����,這給學校網站的安全帶來巨大的威脅���,F在很多校園主機都遭受過FSO木馬的侵擾���。但是禁用FSO組件后����,引起的后果就是所有利用這個組件的ASP程序將無法運行�����,無法滿足客戶的需求�。如何既允許FileSystemObject組件����,又不影響服務器的安全性呢(即:不同虛擬主機用戶之間不能使用該組件讀寫別人的文件)����?以下是筆者多年來摸索出來的經驗:
第一步是有別于Windows 2000設置的關鍵:右擊C盤���,點擊“共享與安全”�,在出現在對話框中選擇“安全”選項卡���,將Everyone��、Users組刪除�����,刪除后如果你的網站連ASP程序都不能運行����,請添加IIS_WPG組(圖1)�,并重啟計算機�。
經過這樣設計后��,FSO木馬就已經不能運行了���。如果你要進行更安全級別的設置�����,請分別對各個磁盤分區進行如上設置���,并為各個站點設置不同匿名訪問用戶����。下面以實例來介紹(假設你的主機上E盤Abc文件夾下設Abc.com站點):
1. 打開“計算機管理→本地用戶和組→用戶”�,創建Abc用戶����,并設置密碼����,并將“用戶下次登錄時須更改密碼”前的對號去掉�����,選中“用戶不能更改密碼”和“密碼永不過期”���,并把用戶設置為隸屬于Guests組�。
2. 右擊E:\Abc�,選擇“屬性→安全”選項卡�,此時可以看到該文件夾的默認安全設置是“Everyone”完全控制(視不同情況顯示的內容不完全一樣)����,刪除Everyone的完全控制(如果不能刪除�,請點擊[高級]按鈕�,將“允許父項的繼承權限傳播”前面的對號去掉�,并刪除所有)�����,添加Administrators及Abc用戶對本網站目錄的所有安全權限���。
3. 打開IIS管理器����,右擊Abc.com主機名�,在彈出的菜單中選擇“屬性→目錄安全性”選項卡�����,點擊身份驗證和訪問控制的[編輯]�����,彈出圖2所示對話框����,匿名訪問用戶默認的就是“IUSR_機器名”�,點擊[瀏覽]���,在“選擇用戶”對話框中找到前面創建的Abc賬戶�����,確定后重復輸入密碼����。
經過這樣設置����,訪問網站的用戶就以Abc賬戶匿名身份訪問E:\Abc文件夾的站點���,因為Abc賬戶只對此文件夾有安全權限��,所以他只能在本文件夾下使用FSO���。
常見問題:
如何解除FSO上傳程序小于200k限制�?
先在服務里關閉IIS admin service服務�,找到Windows\System32\Inesrv目錄下的Metabase.xml并打開���,找到ASPMaxRequestEntityAllowed�,將其修改為需要的值����。默認為204800���,即200K����,把它修改為51200000(50M)����,然后重啟IIS admin service服務�。
本文出自:億恩科技【www.endtimedelusion.com】
服務器租用/服務器托管中國五強���!虛擬主機域名注冊頂級提供商�!15年品質保障�!--億恩科技[ENKJ.COM]
|
香港服務器租用
美國服務器租用
電信骨干機房
聯通骨干機房
0371-60135900
