自從有了IIS,做WEB一些都變得容易了很多,但是其安全性卻不容忽視的。感覺WINDOWS的東西進行默認(rèn)安裝都有極大的安全問題。而且現(xiàn)在有很多的攻擊都是基于WEB的,保護好WEB服務(wù)器是非常有必要的。
IIS默認(rèn)安裝的漏洞及補救方法
自從有了IIS,做WEB一些都變得容易了很多,但是其安全性卻不容忽視的。感覺WINDOWS的東西進行默認(rèn)安裝都有極大的安全問題。而且現(xiàn)在有很多的攻擊都是基于WEB的,保護好WEB
服務(wù)器是非常有必要的。
ASP、FSO組件威協(xié)服務(wù)器
FSO(FileSystemObject)是微軟ASP的一個對文件操作的控件,該控件可以對服務(wù)器進行讀取、新建、修改、刪除目錄以及文件的操作。是ASP編程中非常有用的一個控件。但是因為權(quán)限控制的問題,很多
網(wǎng)站空間服務(wù)器的FSO反而成為這臺服務(wù)器的一個公開的后門,因為客戶可以在自己的ASP網(wǎng)頁里面直接就對該控件編程,從而控制該服務(wù)器甚至刪除服務(wù)器上的文件。那么如何讓客戶在自己的網(wǎng)站空間中任意使用FSO卻又沒有辦法危害系統(tǒng)或者妨礙其他客戶網(wǎng)站的正常運行呢,我們只要對網(wǎng)站空間的不同用戶設(shè)置相應(yīng)的權(quán)限即可辦到,前提是硬盤必須使用NTFS格式。 在服務(wù)器上打開資源管理器,用鼠標(biāo)右鍵點擊各個硬盤分區(qū),選擇“屬性”->“安全”,這時我們可以看到對此盤的完全控制權(quán)限默認(rèn)是“Everyone”。點擊“添加”,將“Administrators”、“Backup Operators”、“PowerUsers”、“Users”等幾個組添加進去,并給予“完全控制”或相應(yīng)的權(quán)限,然后將“Everyone”組從列表中刪除。注意,不要給“Guests”組、IUSR_機器名”這幾個帳號任何權(quán)限,因為當(dāng) ASP 執(zhí)行時,是以“IUSR_機器名”的權(quán)限訪問硬盤的,這里沒給該用戶帳號權(quán)限,ASP 也就不能讀寫硬盤上的文件了。
下面要做的就是給每個網(wǎng)站空間用戶設(shè)置一個單獨的用戶帳號,然后再給每個帳號分配一個允許其完全控制的目錄。
我們以新建一個網(wǎng)站空間名為hello為例,對應(yīng)的WEB目錄文件名為:F:\WWW\HELLO為例。
打開“計算機管理”→“本地用戶和組”→“用戶”,然后添加一個新用戶IUSR_HELLO,并對其他選項進行相應(yīng)的設(shè)置(最好選擇不允許用戶修改密碼)。新建的IUSR_HELLO默認(rèn)為USER組,我們把他加為GUEST組中。打開“Internet信息服務(wù)”,設(shè)置IUSR_HELLO對應(yīng)的網(wǎng)站空間。把IUSR_HELLO的主目錄設(shè)置為F:\WWW\HELLO,并將IUSR_HELLO對應(yīng)的WEB匿名使帳號設(shè)置為IUSR_HELLO。然后切換到F:\WWW\HELLO目錄,對該目錄設(shè)置訪問權(quán)限,將ADMINISTRATOR和IUSR_HELLO設(shè)置為完全訪問(當(dāng)然可以根據(jù)不同要求加入其他的用戶),刪除一些沒有必要的用戶名,將最將下的“允許將來自父系的可繼承權(quán)限傳播給該對象”前面的對號去掉:經(jīng)此設(shè)置后,“IUSR_HELLO”網(wǎng)站空間的用戶,在使用 ASP 的 FileSystemObject 組件時只能訪問自身的目錄:F:\www\hello 下的內(nèi)容。當(dāng)試圖訪問其他內(nèi)容時,會出現(xiàn)諸如“沒有權(quán)限”、“硬盤未準(zhǔn)備好”、“500 服務(wù)器內(nèi)部錯誤”等出錯提示了。
當(dāng)然,我們也可以禁止FSO功能。
1、修改注冊表,將FileSystemObject改成一個任意的名字,只有知道該名字的用戶才可以創(chuàng)建該對象, [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0D43FE01-F093-11CF-8940-00A0C9054228}\ProgID]@="Scripting.FileSystemObject"
2、運行Regsvr32 scrrun.dll /u,所有用戶無法創(chuàng)建FileSystemObject。
3、運行cacls%systemroot%\system32\scrrun.dll/dguests,匿名用戶(包括IUSR_Machinename用戶)無法使用FileSystemObject,我們可以對ASP文件或者腳本文件設(shè)置NTFS權(quán)限,通過驗證的非Guests組用戶可以使用FileSystemObject。
河南億恩科技股份有限公司(1tcdy.com)始創(chuàng)于2000年,專注服務(wù)器托管租用,是國家工信部認(rèn)定的綜合電信服務(wù)運營商。億恩為近五十萬的用戶提供服務(wù)器托管、服務(wù)器租用、機柜租用、云服務(wù)器、網(wǎng)站建設(shè)、網(wǎng)站托管等網(wǎng)絡(luò)基礎(chǔ)服務(wù),另有網(wǎng)總管、名片俠網(wǎng)絡(luò)推廣服務(wù),使得客戶不斷的獲得更大的收益。
服務(wù)器/云主機 24小時售后服務(wù)電話:
0371-60135900
虛擬主機/智能建站 24小時售后服務(wù)電話:
0371-55621053
網(wǎng)絡(luò)版權(quán)侵權(quán)舉報電話:
0371-60135995
服務(wù)熱線:
0371-60135900