文章简介：本文将详细的为大家介绍在Microsoft Windows 2000/2003 WebServer (IIS5.0/6.0)中如何解决FSO组件对WEB服务器系统的安全威胁之详细设置步骤；读完本文，您将可以使您的网站及服务器系统和数据完全避免黑客的入侵。

FSO安全解决办法正文内容：

1、本文设置方法与环境：实用于Microsoft WinNT/2000 Server /Advanced Server | IIS5.0,Microsoft Windows Server 2003 Web版/标准版/企业版/数据中心版|IIS6.0。

2、确保IIS及各虚拟主机网站均正常运行，并且删除了IIS中诸如.printer.dav之类不安全的 应用程序扩展的映射（其它话题不在本文的讨论范围之类， 如果需要了解更多可见本人的另一篇《Microsoft IIS WEB服务器整体安全解决方案详解》)

3、依次开启—–>开始——>程序—–>管理工具—— >计算机管理—–>本地用户与组，然后新建一些用户（假设为:IUSR_0001到IUSR_0050，您的WEB SERVER上有50个虚拟主机的话，如果更多可以再新增一些用户。目是就是采用不同的匿名用户访问机制，以保证您的服务器既可以完整的使用ASP 的FSO组件功能，又不会受到诸如ASP木马的夸站攻击威胁）。
备注：Windows 2000 IIS5.0可以不设置密码即可以正常运行虚拟主机，但Windows 2003 Server IIS 6.0因为2003增强了安全机制，切记必须输入匿名用户的密码，否则虚拟主机将产生403错误导致无法正常运行。

4、将刚才新建好的IUSR_0001至IUSR_0050去除User组的权限，统一将他们加到一个新建的IUSR_Users组内。（因为Microsoft Windows默认新用户自动为Users组内， 这里一定注意不要忘了将IUSR_xxxx赶出Users组哟^_^）。如果为更好的安全着想，可再新增一个IUSR_Users组，同时将 IUSR_XXXX全部加入这个组内，以便于在做其它系统脚本配置与安全设置时方便以组来控制ACLs。

5、设置IIS｜依次开启—–>开始——>程序—–>管理工具– —->Internet 服务管理器—–>打开IIS管理界面，然后将打开你的第一个虚拟主机的站点属性，在出来的IIS对话界面中，点击“目录安全性”在“身份验证 和访问控制”部分点击“编辑”，然后在出现的“验证方法”界面的“匿名访问”部分再点击“编辑”，将会出现匿名用户帐号的界面，这时候你选择“浏览”然后 把选择在3步中新建的第一个IIS匿名访问用户，即选中“IUSR_0001”，如果你新建用户是密码为空者此处为空，不为空者两次输入此用户的密码即可。然后IIS5.0 再选中下面的“允许IIS控制密码”，IIS6.0请选择”集成Windows身份验证”，接着点击确定。

[小提示：为了方便管理及后面设置目录权限，网站描述最好和IUSR_XXXX进行对号，比如你上面的操作是对网站描述为leebolin.cn的虚拟主机站点，那么您可以将网站描述换成:leebolin.cn(IUSR_0001）。这样一目了然，更加方便管理。]

6、磁盘权限：确保已经做好了C、D、E、F之类的磁盘的ACLs权限。（即将所有盘的 Everyone”完全控制”权必须去掉，这个非常危险，只给其所必需的就成） 同时设置您的网站虚拟目录的相应权限，即NTFS中的ACLs访问权限。选择到你网站所在的虚拟主机总目录，将Everyone,访问权限去掉。只加 Administrators -完全控制、Serv-U-完全控制.（Serv-U是用于Serv-U之类FTP上传下载所需用的权限，因为Serv-U默认是以System的身份运行的，这样非常危险；Hacker们常乐于的webshell+Serv-U进行的提权以控制整台服务器就是因为Serv-U的服 务运行权难为system，权限太大的原因造成的，如何降底Serv-U的权限呢？请参考本文的另一篇文章《Serv-U防溢出提权攻击解决办法 》）。

然后再选择你的IUSR_0001 假设这里是leebolin.cn(IUSR_0001)网站的根目录。再后再右键—->属性——>安全,添加我们的 IUSR_0001，并赋予读取权限，如果是单HTML只给读 取权限即可，如果是ASP+ACESS数据库类似的，同时还需要加上”写入”权限。如果网站的ASP程序需要利用FSO进行网站内容的在线修改、删除等操 作的话，那么一般我们还要将修改、删除权限给IUSR_XXXX。(提示：这里切记不要给”运行”与完全控制权限，如果给了以IUSR_XXX的匿名用户将有权在WEB目录中执行如cmd.exe net.exe nc.exe之类哟，给不给就看你了，嘻嘻~~)

7、好了，第一个虚拟主机设置终于搞定^_^，我们放一个Webshell在网站目录内，然后再浏览http://www.leebolin.cn/webshell.asp 嘿嘿,测试测试，再用FSO 功能访问其它虚拟主机网站目录是不是就访问不了了，更不用说编辑与删除其它虚拟主机用户的网页文件了：）剩下来的工作就是重复步骤3、4、5、6、将所有站点都进 行设置。

具本人所知，部份虚拟主机管理系统就是利用这个原理，来进行的！只不过将这些步骤利用脚本都写到了虚拟主机的管理系统程序中罢了.(这里说明一下，现在没有任何一个虚拟主机管理系不支持FSO的单用户匿名机制了，因此此文方法适合手工开虚拟主机站点.)