Windows 2003でのFSOセキュリティの向上

ASPは強力なファイルシステムアクセスを提供します。これにより、サーバーのハードディスク上の任意のファイルの読み取り、書き込み、コピー、削除、名前変更などができます。大きな脅威をもたらします。多くのキャンパスホストは現在、FSOトロイの木馬に苦しんでいます。しかし、FSOコンポーネントを無効にした後は、このコンポーネントを使用するすべてのASPプログラムが実行されず、顧客のニーズを満たすことができなくなります。サーバーのセキュリティに影響を与えずにFileSystemObjectコンポーネントを許可する方法（つまり、異なる仮想ホストユーザー間で他のユーザーのファイルを読み書きするためにコンポーネントを使用することはできません）。以下は私が長年にわたり探求してきた経験です。

最初のステップはWindows 2000をセットアップするための鍵です：Cドライブを右クリックし、「共有とセキュリティ」をクリックして表示されるダイアログボックスで「セキュリティ」を選択します。 「タブで、Everyone、Usersグループを削除し、ASPプログラムを削除してもWebサイトを実行できない場合は、IIS_WPGグループ（図1）を追加して、コンピュータを再起動してください。

この設計の後、FSOトロイの木馬は実行できなくなります。より安全なレベルを設定する場合は、上記のように各ディスクパーティションを設定し、サイトごとに異なる匿名アクセスユーザーを設定してください。以下は一例です（ホストのEドライブのAbcフォルダの下にAbc.comサイトがあると仮定します）。1. [コンピュータの管理]→[ローカルユーザーとグループ]→[ユーザー]を開き、Abcユーザーを作成します。 「次回ログイン時にパスワードの変更が必要」の前にパスワードを設定してチェックマークを外し、「ユーザーはパスワードを変更できない」および「パスワードを無期限にする」を選択し、ユーザーをGuestsグループに属するように設定します。
2. E：\\ Abcを右クリックし、[プロパティ]→[セキュリティ]タブを選択しますこの時点で、このフォルダのデフォルトのセキュリティ設定は[全員]フルコントロールになっています（さまざまな状況で表示される内容はまったく同じではありません） 、Everyoneの完全なコントロールを削除します（削除できない場合は、[詳細設定]ボタンをクリックし、[親の継承権限の伝播を許可する]の前のチェックマークを外してすべて削除）、管理者およびAbcユーザーのセキュリティをすべてこのWebサイトディレクトリに追加します。アクセス許可

3. IISマネージャを開き、Abc.comのホスト名を右クリックして、ポップアップメニューの[プロパティ]→[ディレクトリセキュリティ]タブを選択し、[認証]をクリックしてアクセス制御[編集]図2に示すダイアログボックスが表示されますので、デフォルトのユーザーアクセスは "IUSR_ machine name"です。[Browse]をクリックして、[Select User]ダイアログボックスで作成したAbcアカウントを見つけ、パスワードを繰り返し入力します。

この設定の後、Webサイトにアクセスしたユーザーは、Ab：アカウントとしてE：\\ Abcフォルダサイトに匿名でアクセスします。このフォルダの下にFSOを使用してください。

よくある質問：
FSOアップロードプログラムを上限の200k未満にするにはどうすればよいですか。
まずサービス内のIIS管理サービスを無効にし、Windows \\ System32 \\ Inesrvディレクトリの下にあるMetabaseを見つけます。 XMLを開いて、ASPMaxRequestEntityAllowedを見つけ、必要な値に変更します。デフォルトは204800（200K）で、これを51200000（50M）に変更してからIIS管理サービスを再起動します。