近段日子大家總對fso的戒心很大，不是想要關閉就要刪除，其實不然，以后我就零散的說幾點關于fso的一些東西，也許會有不對的地方，請大家見諒、指正。

　　第一：fso的打開和關閉

      關閉FSO命令：

windows98系統

在DOS命令行狀態輸入以下命令：

關閉命令：RegSvr32 /u C:\WINDOWS\SYSTEM\scrrun.dll

打開命令：RegSvr32 C:\WINDOWS\SYSTEM\scrrun.dll


win2000系統

在CMD命令行狀態輸入以下命令：

關閉命令：RegSvr32 /u C:\WINNT\SYSTEM32\scrrun.dll

打開命令：RegSvr32 C:\WINNT\SYSTEM32\scrrun.dll

　　禁止Guest用戶使用scrrun.dll來防止調用此組件。

　　使用命令：cacls C:\WINNT\system32\scrrun.dll /e /d guests

　　第二：fso的改名

　　可以通過修改注冊表，將此組件改名，來防止此類木馬的危害。

　　HKEY_CLASSES_ROOT\Scripting.FileSystemObject\

　　改名為其它的名字，如：改為FileSystemObject_ChangeName

     （一點要說的是，在海洋頂端asp2005a以上版本，更改fso名是無效的。因為它直接調用object組件。）

　　自己以后調用的時候使用這個就可以正常調用此組件了

　　也要將clsid值也改一下

　　HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\項目的值

　　也可以將其刪除，來防止一些木馬的危害。

　　第三、黑客是如何利用FSO的

      1、黑客通過合法的ftp或者upfile等漏洞，將利用FSO進行上傳、下載等文件放到目錄中去。
      2、然后通過FSO的目錄遍歷程序，將目錄找了出來。
      3、然后通過FSO的上傳程序，將黑客工具放到系統目錄中
      4、然后通過FSO的上傳程序，改寫autoexec.bat，使啟動中運行黑客工具和注冊表程序tab.reg和hide.reg
      5、然后將findpass運行的結果寫入文本，他就可以得到我們的超級管理密碼
      6、然后可以得到sa的密碼，可以增加用戶，以后可以干很多事情了。

　　第四、Win 2003中提高FSO的安全性

　　第一步是有別于Windows 2000設置的關鍵：右擊C盤，點擊“共享與安全”，在出現在對話框中選擇“安全”選項卡，將Everyone、Users組刪除，刪除后如果你的網站連ASP程序都不能運行，請添加IIS_WPG組，并重啟計算機。

　　經過這樣設計后，FSO木馬就已經不能運行了。如果你要進行更安全級別的設置，請分別對各個磁盤分區進行如上設置，并為各個站點設置不同匿名訪問用戶。下面以實例來介紹（假設你的主機上E盤Abc文件夾下設Abc.com站點）：

　　1. 打開“計算機管理→本地用戶和組→用戶”，創建Abc用戶，并設置密碼，并將“用戶下次登錄時須更改密碼”前的對號去掉，選中“用戶不能更改密碼”和“密碼永不過期”，并把用戶設置為隸屬于Guests組。

　　2. 右擊E:\Abc，選擇“屬性→安全”選項卡，此時可以看到該文件夾的默認安全設置是“Everyone”完全控制（視不同情況顯示的內容不完全一樣），刪除Everyone的完全控制（如果不能刪除，請點擊[高級]按鈕，將“允許父項的繼承權限傳播”前面的對號去掉，并刪除所有），添加Administrators及Abc用戶對本網站目錄的所有安全權限。

　　3. 打開IIS管理器，右擊Abc.com主機名，在彈出的菜單中選擇“屬性→目錄安全性”選項卡，點擊身份驗證和訪問控制的[編輯]，彈出對話框，匿名訪問用戶默認的就是“IUSR_機器名”，點擊[瀏覽]，在“選擇用戶”對話框中找到前面創建的Abc賬戶，確定后重復輸入密碼。 

     經過這樣設置，訪問網站的用戶就以Abc賬戶匿名身份訪問E:\Abc文件夾的站點，因為Abc賬戶只對此文件夾有安全權限，所以他只能在本文件夾下使用FSO。

　　常見問題：

　　如何解除FSO上傳程序小于200k限制？

　　先在服務里關閉IIS admin service服務，找到Windows＼System32＼Inesrv目錄下的Metabase．xml并打開，找到ASPMaxRequestEntityAllowed，將其修改為需要的值。默認為204800，即200K，把它修改為51200000（50M），然后重啟IIS admin service服務。

　　ASP提供了強大的文件系統訪問能力，可以對服務器硬盤上的任何文件進行讀、寫、復制、刪除、改名等操作，這給學校網站的安全帶來巨大的威脅。現在很多校園主機都遭受過FSO木馬的侵擾。但是禁用FSO組件后，引起的后果就是所有利用這個組件的ASP程序將無法運行，無法滿足客戶的需求。如何既允許FileSystemObject組件，又不影響服務器的安全性呢（即：不同虛擬主機用戶之間不能使用該組件讀寫別人的文件）？

　　第一步是有別于Windows 2000設置的關鍵：右擊C盤，點擊“共享與安全”，在出現在對話框中選擇“安全”選項卡，將Everyone、Users組刪除，刪除后如果你的網站連ASP程序都不能運行，請添加IIS_WPG組，并重啟計算機。

　　經過這樣設計后，FSO木馬就已經不能運行了。如果你要進行更安全級別的設置，請分別對各個磁盤分區進行如上設置，并為各個站點設置不同匿名訪問用戶。下面以實例來介紹（假設你的主機上E盤Abc文件夾下設Abc.com站點）：

　　1. 打開“計算機管理→本地用戶和組→用戶”，創建Abc用戶，并設置密碼，并將“用戶下次登錄時須更改密碼”前的對號去掉，選中“用戶不能更改密碼”和“密碼永不過期”，并把用戶設置為隸屬于Guests組。

　　2. 右擊E:\Abc，選擇“屬性→安全”選項卡，此時可以看到該文件夾的默認安全設置是“Everyone”完全控制（視不同情況顯示的內容不完全一樣），刪除Everyone的完全控制（如果不能刪除，請點擊[高級]按鈕，將“允許父項的繼承權限傳播”前面的對號去掉，并刪除所有），添加Administrators及Abc用戶對本網站目錄的所有安全權限。

　　3. 打開IIS管理器，右擊Abc.com主機名，在彈出的菜單中選擇“屬性→目錄安全性”選項卡，點擊身份驗證和訪問控制的[編輯]，彈出對話框，匿名訪問用戶默認的就是“IUSR_機器名”，點擊[瀏覽]，在“選擇用戶”對話框中找到前面創建的Abc賬戶，確定后重復輸入密碼。

　　經過這樣設置，訪問網站的用戶就以Abc賬戶匿名身份訪問E:\Abc文件夾的站點，因為Abc賬戶只對此文件夾有安全權限，所以他只能在本文件夾下使用FSO。