Win2003でのFSOのセキュリティの向上

ASPは強力なファイルシステムアクセス機能を提供します。これにより、サーバーのハードディスク上の任意のファイルの読み取り、書き込み、コピー、削除、名前の変更などが可能になります。大きな脅威です。多くのキャンパスホストは現在、FSOトロイの木馬に悩まされています。しかし、FSOコンポーネントを無効にした後は、このコンポーネントを使用するすべてのASPプログラムが実行されず、顧客のニーズを満たすことができなくなります。サーバーのセキュリティに影響を与えずにFileSystemObjectコンポーネントを許可する方法（つまり、異なる仮想ホストユーザー間で他のユーザーのファイルを読み書きするためにコンポーネントを使用することはできません）。以下は私が長年にわたり探求してきた経験です。

最初のステップはWindows 2000をセットアップするための鍵です：Cドライブを右クリックし、「共有とセキュリティ」をクリックして表示されるダイアログボックスで「セキュリティ」を選択します。 「タブで、Everyone、Usersグループを削除し、ASPプログラムを削除してもWebサイトを実行できない場合は、IIS_WPGグループ（図1）を追加して、コンピュータを再起動してください。

は、この設計の後、FSOトロイの木馬は、実行されませんでした。より安全なレベルを設定する場合は、上記のように各ディスクパーティションを設定し、サイトごとに異なる匿名アクセスユーザーを設定してください。次に例を示します（ホストのEドライブのAbcフォルダにAbc.comサイトがあると仮定します）。1.コンピュータの管理→ローカルユーザーとグループ→ユーザーを開き、Abcユーザーを作成します。 「次回ログイン時にパスワードを変更する必要がある」の前にパスワードを設定してチェックマークを外し、「ユーザーはパスワードを変更できない」および「パスワードを無期限にする」を選択し、ユーザーをGuestsグループに属するように設定します。

2. [E：Abc]を右クリックし、[プロパティ]→[セキュリティ]タブを選択しますこの時点で、このフォルダのデフォルトのセキュリティ設定は[Everyone]フルコントロールです（状況に応じて）。内容はまったく同じではありません）Everyoneの完全なコントロールを削除し（削除できない場合は[詳細設定]ボタンをクリックし、[親の継承許可を伝播する]の前にあるチェックマークを外してすべて削除）、管理者とAbcユーザーをこれに追加しますサイトディレクトリに対するすべてのセキュリティ権限。

3. IISマネージャを開き、Abc.comのホスト名を右クリックして、ポップアップメニューの[プロパティ]→[ディレクトリセキュリティ]タブを選択し、[編集]をクリックしてアクセス制御[編集]をクリックします。 2ダイアログボックスで、匿名アクセスユーザーのデフォルトは "IUSR _ machine name"です。[参照]をクリックし、[ユーザーの選択]ダイアログボックスで作成したAbcアカウントを見つけて、パスワードを繰り返し入力します。これだけのフォルダのセキュリティ権限ので、フォルダのサイトABC、Abcのアカウントので、彼はこのフォルダのみで行うことができます

は、この設定した後、ユーザーが匿名アクセスでサイトにアクセスすると、AbcのEアカウントFSOを使用してください。

よくある質問：

どのようにFSOアップローダを200k未満の制限で削除しますか？

まずサービス内のIIS管理サービスを無効にし、Windows \\ System32 \\ Inesrvディレクトリの下にあるMetabaseを見つけます。 XMLを開いて、ASPMaxRequestEntityAllowedを見つけ、必要な値に変更します。デフォルトは204800（200K）で、これを51200000（50M）に変更してからIIS管理サービスを再起動します。

ASPは強力なファイルシステムアクセス機能を提供します。これはサーバーのハードディスク上の他のファイルを読み書き、コピー、削除、名前変更することができ、学校のウェブサイトのセキュリティに大きな脅威となります。多くのキャンパスホストは現在、FSOトロイの木馬に悩まされています。しかし、FSOコンポーネントを無効にした後は、このコンポーネントを使用するすべてのASPプログラムが実行されず、顧客のニーズを満たすことができなくなります。サーバーのセキュリティに影響を与えずにFileSystemObjectコンポーネントを許可する方法（つまり、異なる仮想ホストユーザー間で他のユーザーのファイルを読み書きするためにコンポーネントを使用することはできません）。以下は私が長年にわたり探求してきた経験です。

最初のステップはWindows 2000をセットアップするための鍵です：Cドライブを右クリックし、「共有とセキュリティ」をクリックして表示されるダイアログボックスで「セキュリティ」を選択します。 「タブで、Everyone、Usersグループを削除し、ASPプログラムを削除してもWebサイトを実行できない場合は、IIS_WPGグループ（図1）を追加して、コンピュータを再起動してください。

この設計の後、FSOトロイの木馬は機能しなくなりました。より安全なレベルを設定する場合は、上記のように各ディスクパーティションを設定し、サイトごとに異なる匿名アクセスユーザーを設定してください。次に例を示します（ホストのEドライブのAbcフォルダにAbc.comサイトがあると仮定します）。1.コンピュータの管理→ローカルユーザーとグループ→ユーザーを開き、Abcユーザーを作成します。 「次回ログイン時にパスワードを変更する必要がある」の前にパスワードを設定してチェックマークを外し、「ユーザーはパスワードを変更できない」および「パスワードを無期限にする」を選択し、ユーザーをGuestsグループに属するように設定します。

2. E：Abcを右クリックし、[プロパティ]→[セキュリティ]タブを選択しますこの時点で、このフォルダのデフォルトのセキュリティ設定は[全員]フルコントロールになっています（さまざまな状況で表示される内容は完全ではありません）。 （削除できない場合は、[詳細設定]ボタンをクリックし、[親の継承権限の伝播を許可する]の前にあるチェックマークを外して、すべて削除します。）このWebサイトのディレクトリにAdministratorsおよびAbcユーザーを追加します。すべてのセキュリティ権限

3. IISマネージャを開き、Abc.comのホスト名を右クリックして、ポップアップメニューの[プロパティ]→[ディレクトリセキュリティ]タブを選択し、[編集]をクリックしてアクセス制御[編集]をクリックします。 2ダイアログボックスで、匿名アクセスユーザーのデフォルトは "IUSR _ machine name"です。[参照]をクリックし、[ユーザーの選択]ダイアログボックスで作成したAbcアカウントを見つけて、パスワードを繰り返し入力します。

この設定の後、Webサイトにアクセスしたユーザーは、Abcアカウントとして匿名でE：Abcフォルダサイトにアクセスします。これは、Abcアカウントにはこのフォルダに対するセキュリティ権限しかないため、このフォルダにしかアクセスできないためです。 FSOを使用してください。

よくある質問：

どのようにFSOアップローダを200k未満の制限で削除しますか？

まずサービス内のIIS管理サービスを無効にし、Windows \\ System32 \\ Inesrvディレクトリの下にあるMetabaseを見つけます。 XMLを開いて、ASPMaxRequestEntityAllowedを見つけ、必要な値に変更します。デフォルトは204800（200K）で、これを51200000（50M）に変更してからIIS管理サービスを再起動します。