|
|
首先要说明的是win2003的目录安全性已经很高了,利用fso网页木马来攻击服务器的可能性已经很低,但为了进一步增强安全性,还是有必要做进一步更严格的目录权限设定
好了,开始进入正题,首先我们建立一个用户,用来作为网站登陆的匿名用户.点击我的电脑,选择 管理 跳出计算机管理窗口,然后选择 本地用户和组 然后点 用户 ,好了,现在在右边可以看到一些帐户,比如系统默认的Administrator guest等用户,在这些用户下面的空白处点右键 选择 新用户 跳出一个建立新用户的框,依次填写用户名-全名-描述-密码-确认密码,比如我们建立一个 hack3用户 全名是hack3,密码是hack3admin.然后把下面的用户下次登陆时须更改密码前面的勾去掉,选中用户不能更改密码 密码永不过期这两个选项,然后点创建,就可以了.点创建后又看到的是没有填写任何信息的创建新用户窗口,不用管它,直接关掉.我们现在设定这个新建用户的一些属性,现在在右边可以看到刚才建立的hack3用户了,在名字上点右键,选择属性,就跳出来属性框,选择 隶属于 这个选项,默认是Users组的,把这个Users选中,然后点下面的删除.然后点添加,就会跳出选择组的框,点高级,点立即查找,找到那个Guests,双击,然后点确定.好了,添加新用户并设定所属组完毕.
现在我们要做的是建立一个网站的虚拟目录,比如在C盘下面建立一个hack3目录作为www.hack3.com的网站的根目录,然后在建好的hack3目录上点右键,选择 共享和安全,跳出属性框,选择 安全 那个选项,点 高级 ,跳出高级选项框,把 允许父项的继承权限传播到该对象和所有的子对象.包括那些在此明确定义的项目. 前面的勾去掉,这个时候跳出一个框,选择删除这个选项,然后点应用,点确定,回到属性框.这个时候就剩下Administrators这个组了,把下面的 完全控制 后面的 允许 打上勾并点应用,这样就会自动选中所有的权限了.这个最好选中,不然以后用管理员身份登陆都没法删除这个目录了.现在我们把刚才建立的用户添加上来,点 添加 在跳出的框上面选择 高级 ,选择 立即查找 在下面找到刚才建立的hack3 这个用户,双击,然后点确定,添加完毕,回到属性框了,这个时候可以看到除了Administrators的名字还有一个hack3了,默认hack3没有完全控制,修改和写入的权限,把那个修改的权限选中,写入也就自动添加好了(但完全控制不要给选中),点应用.这里说一下,如果没有选中修改的权限,那么很多利用access数据库的网站就没法使用,因为access数据库都是放在虚拟目录下的,如果没有修改和写入,那么会提示数据库更新方面的错误.基本上这样设定就可以算完了,但有些网站可能还是没法使用,所以还要添加一个用户IIS_WPG,添加的方法跟添加hack3这个用户一样,我就不重复说了.虚拟目录的权限设定已经完成.
现在是设定IIS信息管理,从IIS信息服务管理器里面添加www.hack3.com的网站(添加方法我就不讲了),把根目录指向刚才建好的C盘下面的hack3目录.建好后打开这个网站的属性,选择 目录安全性 点在身份验证和访问控制下面的 编辑 把启用匿名访问下面的用户名和密码改为刚才建立的hack3用户名,密码是hack3admin.然后点确定.
这样FSO权限就限定在hack3这个目录了,即使被人植入了网页木马,所危害的范围也仅限于这个hack3虚拟目录,而不会让其他客户的网站和服务器受到攻击.
最后要提醒的是,这种防范只能是从服务器方面做防范,还要注意的是客户自己的代码安全性,这就需要客户自己完善自己的代码安全了.尤其是下载网上提供的免费代码就更要注意是否是安全的代码. |
|
发表于 2005-9-7 12:47:09