服務器開啟FSO支持的方法

IIS默認安裝的漏洞及補救方法

自從有了IIS，做WEB一些都變得容易了很多，但是其安全性卻不容忽視的。感覺WINDOWS的東西進行默認安裝都有極大的安全問題。而且現在有很多的攻擊都是基于WEB的，保護好WEB服務器是非常有必要的。

ASP、FSO組件威協服務器

FSO(FileSystemObject)是微軟ASP的一個對文件操作的控件，該控件可以對服務器進行讀取、新建、修改、刪除目錄以及文件的操作。是ASP編程中非常有用的一個控件。但是因為權限控制的問題，很多網站空間服務器的FSO反而成為這臺服務器的一個公開的后門，因為客戶可以在自己的ASP網頁里面直接就對該控件編程，從而控制該服務器甚至刪除服務器上的文件。那么如何讓客戶在自己的網站空間中任意使用FSO卻又沒有辦法危害系統或者妨礙其他客戶網站的正常運行呢，我們只要對網站空間的不同用戶設置相應的權限即可辦到，前提是硬盤必須使用NTFS格式。 在服務器上打開資源管理器，用鼠標右鍵點擊各個硬盤分區，選擇“屬性”->“安全”，這時我們可以看到對此盤的完全控制權限默認是“Everyone”。點擊“添加”，將“Administrators”、“Backup Operators”、“PowerUsers”、“Users”等幾個組添加進去，并給予“完全控制”或相應的權限，然后將“Everyone”組從列表中刪除。注意，不要給“Guests”組、IUSR_機器名”這幾個帳號任何權限，因為當 ASP 執行時，是以“IUSR_機器名”的權限訪問硬盤的，這里沒給該用戶帳號權限，ASP 也就不能讀寫硬盤上的文件了。 

下面要做的就是給每個網站空間用戶設置一個單獨的用戶帳號，然后再給每個帳號分配一個允許其完全控制的目錄。

我們以新建一個網站空間名為hello為例，對應的WEB目錄文件名為：F:\WWW\HELLO為例。

打開“計算機管理”→“本地用戶和組”→“用戶”，然后添加一個新用戶IUSR_HELLO，并對其他選項進行相應的設置（最好選擇不允許用戶修改密碼）。新建的IUSR_HELLO默認為USER組，我們把他加為GUEST組中。打開“Internet信息服務”，設置IUSR_HELLO對應的網站空間。把IUSR_HELLO的主目錄設置為F:\WWW\HELLO，并將IUSR_HELLO對應的WEB匿名使帳號設置為IUSR_HELLO。然后切換到F:\WWW\HELLO目錄，對該目錄設置訪問權限，將ADMINISTRATOR和IUSR_HELLO設置為完全訪問（當然可以根據不同要求加入其他的用戶），刪除一些沒有必要的用戶名，將最將下的“允許將來自父系的可繼承權限傳播給該對象”前面的對號去掉：經此設置后，“IUSR_HELLO”網站空間的用戶，在使用 ASP 的 FileSystemObject 組件時只能訪問自身的目錄：F:\www\hello 下的內容。當試圖訪問其他內容時，會出現諸如“沒有權限”、“硬盤未準備好”、“500 服務器內部錯誤”等出錯提示了。 

當然，我們也可以禁止FSO功能。 

1、修改注冊表，將FileSystemObject改成一個任意的名字，只有知道該名字的用戶才可以創建該對象， [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0D43FE01-F093-11CF-8940-00A0C9054228}\ProgID]@="Scripting.FileSystemObject"

2、運行Regsvr32 scrrun.dll /u，所有用戶無法創建FileSystemObject。 

3、運行cacls%systemroot%\system32\scrrun.dll/dguests，匿名用戶（包括IUSR_Machinename用戶）無法使用FileSystemObject，我們可以對ASP文件或者腳本文件設置NTFS權限，通過驗證的非Guests組用戶可以使用FileSystemObject。