Søg
Avatar billede overload.dk Nybegynder
16. januar 2003 - 18:18 Der er 9 kommentarer og
1 løsning

FSO og sikkerhed på andre drev??

Heysa.

Jeg har nu rodet lidt med min egen lille web-server jeg har på min adsl linie. Jeg hoster er par sider for mine venner og bekendte da en af dem gjorde mig opmærksom på at jeg havde et "mindre" hul i sikkerheden... (en ting jeg går meget op i... også da jeg satte min server op).

Nå, men efter at have læst mange indlæg her på eksperten og andre steder på nettet, syntes jeg ikke rigtig der er nogen der virker eller egentlig omhandler problemet...

Serveren er en Win2000 Server der kører IIS.
C: Windows systemet
D: Blandet
E: Web-mapperne

Brugerne har ikke adgang til hinandens indhold i web-mapperne da de hver især kører deres NT-bruger i mappen, samt i IIS. Desuden er Everyone + andre udnødige NT-brugere fjernt totalt fra E-drevet.

C og D har altid kørt med Everyone da jeg ikke turde rode med NT og Windows-roden da jeg var sikker på det var den sikker død for systemet. Dog har jeg læst mig frem til at den skulle køre såfremt man kun havde:
- Administrators
- Power Users
- System
- Users

Det har jeg nu rettet C og D roden til. ASP og FSO objektet kører som det hele tiden har gjort, og umiddelbart er der ingen services der bugger pga. ændringen.

Jeg har dog imidlertidig fundt ud af at FSO bruger Users-gruppen, hvilket gør det lidt umuligt at sikre C drevet, da asp.dll+fso og andre objekter ligger på C-drevet, og slet ikke vil starte hvis ikke Users-gruppen tilføjet C-drevet.

Derfor går mit spørgsmål på hvad jeg så gør?

(Giver gerne flere point for en step by step guide der løser mit problem)
Avatar billede bufferzone Praktikant
16. januar 2003 - 18:38 #1
Der findes ikke rigtig nogle step by step guides, men her er nogle grundlæggende ting.

Først skal du have den almindelige sikkerhed i orden.

1. Dit styresystem skal patches (gennemfør total windows update)
2. Dine applikationer skal patcnes (indlæsning af alle service packs og sikkerhedspacthes til alle de applikationer du har kørende på din server, og jeg mener ALLE)
3 applikations sanering. Alle ikke nødvendige applikationer skal afinstalleres fra din server. Det er applikationerne der giver hullerne, færre applikationer giver færre muligheder for huller.
4 Tweaking af dit system. Læs anbefalingerne på www.nsa.gov, se e.v.t. her http://www.bufferzone.dk/Vidensbank/sikkerwebserver.htm den er skrevet til iis 4.0 og NT, men du kan nok bruge en del.

5. Du skal have processisoleret de enkelte websteder, denne vigtige ting fjerner mulighered der ellers findes med bl.a. fso
Avatar billede speedy Nybegynder
16. januar 2003 - 18:44 #2
bufferzone>>Så vidt jeg forstår spørgsmålet er det det med WinNT-rettigheder han ønsker nærmere oplysninger om.

I følge hans spørgsmål HAR han allerede isoleret de enkelte websteder ved hjælp af NT-rettighederne, så hvert websted KUN kan tilgå sine egne filer...

jeg tror nærmere problemet ligger i af at alle webstederna via FSO kan få adgang til C-drevet hvor Windows ligger...

overload.dk>>Sig til hvis jeg har forstået det forkert :)

/SpEeDy
Avatar billede overload.dk Nybegynder
16. januar 2003 - 18:46 #3
Speedy> Siger ikke noget... du har ret.
Avatar billede overload.dk Nybegynder
16. januar 2003 - 18:46 #4
Btw. så er der auto-update i Windows 2000 Server, som desuden kører 24-7.
Avatar billede burningice Nybegynder
16. januar 2003 - 22:03 #5
overload.dk>> jeg ved ikke om du ved det, men hver enkelt website i IIS, kører med sin egen bruger. Pr. default hedder denne bruger IUSR_<maskinnavn> og er medlem af Guest-gruppen.
Det du skal gøre er at tjekke hvilken bruger der kører de enkelte websites, dette kan gøres i fanebladet, under indstillinger for websitet. Sørg for at denne bruger er medlem af guest, eller, hvis dette ikke er muligt så f.eks. en gruppe ved navn Anonyme internet brugere, som du opretter. Det er nu muligt at styre hvilke ting brugeren der kører websitet, og altså derfor også den enkelte person der browser hjemmesiden, hvad han må og ikke må.
Avatar billede overload.dk Nybegynder
17. januar 2003 - 00:09 #6
Grunden til at jeg selv laver disse brugerer er fordi de ellers alle vil høre under samme rettigheder, og derved kan de kigge i hinandens mapper hvilket ikke er meningen.

Og jeg kan jo sådan set også styre det, men de brugere jeg oprettet er af en eller anden grund altid i Users-gruppen (Selvom jeg har fjernet dem derinde fra) og derved via FSO objektet får mulighed for at få adgang til det meste af C-drevet da windows kræver at Users-gruppen har adgang.

... eller er jeg helt ved siden af?
Avatar billede burningice Nybegynder
17. januar 2003 - 00:18 #7
overload.dk>> hvorfor fjerner du så ikke bare du de brugere som bruges til at kører websteder, fra gruppen Users, og smider dem i en Webstedsbrugere, som så kun få rettigheder til enkelte dele af c drevet... der er en guide på msdn hvor man kan se hvad de skal have adgang til
Avatar billede overload.dk Nybegynder
17. januar 2003 - 08:53 #8
Det har jeg prøvet, men som sagt så er den ligeglad hvis ikke brugerne fjernes fra Users-gruppen. Jeg har ligeledes prøvet at lave min egen gruppe, hvori disse brugere findes. Derefter tilføjet den til C-drevet og deny'ed al adgang... den var fuldstændig ligeglad. Først da jeg prøvede mig med 1 af brugerne direkte i sikkerhedsindstillingerne (altså ligesom før med gruppen, bare uden gruppen nu), det virkede og brugeren fik File not found når man prøvede at liste indholdet af en mappe på c-drevet.
Avatar billede burningice Nybegynder
17. januar 2003 - 10:06 #9
overload.dk>> hermm... så er der åbenbart gået ged i dine grupper, hvis du ikke kan give en gruppe rettigheder, som afspejles på de bruger der er medlemmer af den. Hvis det er tilfældet er det lidt svært at hjælpe dig videre herfra, men ønske dig god fornøjelse med at definere rettigheder for hver enkelt bruger ;)
Avatar billede overload.dk Nybegynder
20. januar 2003 - 15:07 #10
Hm... kan være man skal prøve at reinstallere, det virker tilsyneladende godt på en anden win2k server jeg prøvede på...

Men tak for hjælpen anyway.
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
AI & It-udvikling kurser
Uanset kodesprog, så giver vi dig mulighederne for at udvikle det, du behøver.
Se alle AI & It-udvikling kurser

Flere spørgsmål fra Webservere kategorien

Titel Indlæg Oprettet Seneste aktivitet
IIS på Win10 64 bit Af bsn i Webservere 2 20/05/202611:00 20/05/202617:09
VPN Af Jesper O. i Webservere 8 15/12/202512:28 16/12/202501:58
Bøvl med FTP og æ, ø og å Af andershl i Webservere 2 14/12/202515:16 15/12/202511:13
HTML-LINKS Af snestrup2000 i Webservere 2 16/11/202415:33 16/11/202418:41
Wordpress fejl Action Scheduler ? Af fimo i Webservere 2 24/10/202410:16 27/10/202412:07
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
IT-JOB
Seneste spørgsmål Seneste aktivitet
I går 14:57 Opgradere win 10 til 11 Af lurup i Windows
28/0620:51 Creative Soundblaster Audigy FX v2 Af ErikHg i Andet hardware
27/0616:10 Tilbage til Outlook Klassisk design Af susalapi i E-mail programmer
27/0613:59 CRASH og så gik windows ud af vinduet og ret til helvede .... Af snestrup2000 i Windows
26/0621:22 Problem med "Explorer Patcher" (File Explorer i Win 11) Af ErikHg i Andet software
White papers
Flere white papers »