快捷導航

FSO 安全隱患解決辦法

更新時間：2006年11月03日 00:00:00 作者：

　　FSO安全解決辦法正文內(nèi)容：

　　1、本文設(shè)置方法與環(huán)境：實用于Microsoft WinNT/2000 Server /Advanced Server 　 IIS5.0　

　　2、確保IIS及各虛擬主機網(wǎng)站均正常運行，并且刪除了IIS中諸如.printer.dav之類不安全的應(yīng)用程序擴展的映射（其它話題不在本文的討論范圍之類，如果需要了解更多可見本人的另一篇《Microsoft Win 2000 IIS WEB服務(wù)器整體安全解決方案詳解》)　

　　3、依次開啟----->開始------>程序----->管理工具------>計算機管理----->本地用戶與組，然后新建一些用戶（假設(shè)為:IUSR_0001到IUSR_0050，您的WEB SERVER上有50個虛擬主機的話，如果更多可以再新增一些用戶。目是就是采用不同的匿名用戶訪問機制，以保證您的服務(wù)器既可以完整的使用ASP 的FSO組件功能，又不會受到諸如ASP木馬的威脅）。這里可以按自己適當?shù)陌踩墑e及實際要求決定是否設(shè)置密碼，其實為空也無大礙?！?

　　4、將剛才新建好的IUSR_0001至IUSR_0050去除User組的權(quán)限，統(tǒng)一將他們加到Guests組內(nèi)。（因為Microsoft Windows默認新用戶自動為Users組內(nèi)，這里一定注意不要忘了將IUSR_xxxx趕出Users組喲^_^）。如果為更好的安全著想，可再新增一個IIS_USERS組，同時將IUSR_XXXX全部加入這個組內(nèi)，以便于在做其它系統(tǒng)安全設(shè)置時方便用到?！?

　　5、設(shè)置IIS｜依次開啟----->開始------>程序----->管理工具------>Internet 服務(wù)管理器----->打開IIS管理界面，然后將打開你的第一個虛擬主機的站點屬性，在出來的IIS對話界面中，點擊“目錄安全性”在“身份驗證和訪問控制”部分點擊“編輯”，然后在出現(xiàn)的“驗證方法”界面的“匿名訪問”部分再點擊“編輯”，將會出現(xiàn)匿名用戶帳號的界面，這時候你選擇“瀏覽”然后把選擇在3步中新建的第一個Guests來賓用戶，即選中“IUSR_0001”，如果你新建用戶是密碼為空者為空，不為空者輸入此用戶的密碼即可。然后再選中下面的“允許IIS控制密碼”，接著點擊確定?！?

　　[另外注意：為了方便管理及后面設(shè)置目錄權(quán)限，網(wǎng)站描述最好和IUSR_XXXX進行對號，比如你上面的操作是對網(wǎng)站描述為Fineacer.com的網(wǎng)站，那么您可以將網(wǎng)站描述換成:Fineacer.com(IUSR_0001）。這樣一目了然，更加方便管理?！　?

　　6、磁盤權(quán)限：確保已經(jīng)做好了C、D、E、F之類的磁盤的ACLs權(quán)限。（即將所有盤的Everyone"完全控制"權(quán)必須去掉，這個非常危險，只給其所必需的就成）同時設(shè)置您的網(wǎng)站虛擬目錄的相應(yīng)權(quán)限，即NTFS中的ACLs訪問權(quán)限。選擇到你網(wǎng)站所在的虛擬主機總目錄，將Everyone,訪問權(quán)限去掉。只加Administrators -完全控制、System-完全控制.（System是用于Serv-U之類FTP上傳下載所需用的權(quán)限，因為Serv-U是以System的身份啟動服務(wù)的）。然后再選擇你的IUSR_0001 假設(shè)這里是Fineacer.com(IUSR_0001)網(wǎng)站的根目錄。再后再右鍵---->屬性------>安全,添加我們的IUSR_0001，并賦予讀取權(quán)限，如果是單HTML只給讀取權(quán)限即可，如果是ASP+ACESS數(shù)據(jù)庫類似的，同時還需要加上"寫入"權(quán)限。如果網(wǎng)站的ASP程序需要利用FSO進行網(wǎng)站內(nèi)容的在線修改、刪除等操作的話，那么一般我們將“完全控制”權(quán)給IUSR_XXXX?！?

　　7、好了，第一個虛擬主機設(shè)置終于搞定^_^，我們放一個Webshell在網(wǎng)站目錄內(nèi)，然后再瀏覽http://www.fineacer.com/webshell.asp 嘿嘿,試試，再用FSO 功能訪問其它網(wǎng)站目錄是不是就訪問不了了，更不用說編輯與刪除其它虛擬主機用戶的網(wǎng)頁文件了：）剩下來的工作就是重復(fù)步驟3、4、5、6、將所有站點都進行設(shè)置。具本人所知，部份虛擬主機管理系統(tǒng)就是利用這個原理，來進行的！只不過將這些步驟都寫到了虛擬主機的管理系統(tǒng)程序中罷了.

本文作者：李泊林/LeeBolin 資深系統(tǒng)工程師、專業(yè)網(wǎng)絡(luò)安全顧問。已成功為國內(nèi)多家大中型企業(yè)，ISP服務(wù)商提供了完整的網(wǎng)絡(luò)安全解決方案。尤其擅長于整體網(wǎng)絡(luò)安全方案的設(shè)計、大型網(wǎng)絡(luò)工程的策劃、以及提供完整的各種服務(wù)器系列安全整體解決方案。