|
【如内容违法或虚假,请联系上述邮件删除】IIS默许装置的漏洞及补偿办法
自从有了IIS,做WEB一些都变得容易了很多,但是其安全性却不容忽视的。觉得WINDOWS的东西中止默许装置都有极大的安全问题。而且往常有很多的攻击都是基于WEB的,维护好WEB效劳器是十分有必要的。
ASP、FSO组件威协效劳器
FSO(FileSystemObject)是微软ASP的一个对文件操作的控件,该控件能够对效劳器中止读取、新建、修正、删除目录以及文件的操作。是ASP编程中十分有用的一个控件。但是由于权限控制的问题,很多网站空间效劳器的FSO反而成为这台效劳器的一个公开的后门,由于客户能够在自己的ASP网页里面直接就对该控件编程,从而控制该效劳器以至删除效劳器上的文件。那么如何让客户在自己的网站空间中恣意运用FSO却又没有办法危害系统或者障碍其他客户网站的正常运转呢,我们只需对网站空间的不同用户设置相应的权限即可办到,前提是硬盘必需运用NTFS格式。 在效劳器上翻开资源管理器,用鼠标右键点击各个硬盘分区,选择“属性”->“安全”,这时我们能够看到对此盘的完整控制权限默许是“Everyone”。点击“添加”,将“Administrators”、“Backup Operators”、“PowerUsers”、“Users”等几个组添加进去,并给予“完整控制”或相应的权限,然后将“Everyone”组从列表中删除。留意,不要给“Guests”组、IUSR_机器名”这几个帐号任何权限,由于当 ASP 执行时,是以“IUSR_机器名”的权限访问硬盘的,这里没给该用户帐号权限,ASP 也就不能读写硬盘上的文件了。
下面要做的就是给每个网站空间用户设置一个单独的用户帐号,然后再给每个帐号分配一个允**完整控制的目录。
我们以新建一个网站空间名为hello为例,对应的WEB目录文件名为:F:\WWW\HELLO为例。
翻开“计算机管理”→“本地用户和组”→“用户”,然后添加一个新用户IUSR_HELLO,并对其他选项中止相应的设置(最好选择不允许用户修正密码)。新建的IUSR_HELLO默许为USER组,我们把他加为GUEST组中。翻开“Internet信息效劳”,设置IUSR_HELLO对应的网站空间。把IUSR_HELLO的主目录设置为F:\WWW\HELLO,并将IUSR_HELLO对应的WEB匿名使帐号设置为IUSR_HELLO。然后切换到F:\WWW\HELLO目录,对该目录设置访问权限,将ADMINISTRATOR和IUSR_HELLO设置为完整访问(当然能够依据不同请求参与其他的用户),删除一些没有必要的用户名,将最将下的“允许未来自父系的可继承权限传播给该对象”前面的对号去掉:经此设置后,“IUSR_HELLO”网站空间的用户,在运用 ASP 的 FileSystemObject 组件时只能访问自身的目录:F:\www\hello 下的内容。当试图访问其他内容时,会呈现诸如“没有权限”、“硬盘未准备好”、“500 效劳器内部错误”等出错提示了。
当然,我们也能够遏止FSO功用。
1、修正注册表,将FileSystemObject改成一个恣意的名字,只需知道该名字的用户才能够创建该对象, [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0D43FE01-F093-11CF-8940-00A0C9054228}\ProgID]@="Scripting.FileSystemObject"
2、运转Regsvr32 scrrun.dll /u,一切用户无法创建FileSystemObject。
3、运转cacls%systemroot%\system32\scrrun.dll/dguests,匿名用户(包括IUSR_Machinename用户)无法运用FileSystemObject,我们能够对ASP文件或者脚本文件设置NTFS权限,经过考证的非Guests组用户能够运用FileSystemObject。(关注老榕树网络旗下“网络思维”微信公众号:wlsw360 (每天都有好文章)
本帖如有虚假或违法,请联系邮箱删除,本社区删贴不收任何费用,欢迎举报。老榕树社区属老榕树网络旗下网站,旨在为老榕树用户提供创业咨询、网站建设技术交流、源码下载、提供各种实用工具。如有部分帖子涉及违法、虚假,请你第一时间与社区联系,把需要删除的社区链接提供给我们,我们核实之后,第一时间删除。邮箱:125175998@qq.com | 
发表于 2017-2-5 10:52:22
收藏
分享
淘帖