利用组策略限制禁止网站目录的可执行exe的权限,可以提高服务器的安全!
利用gpedit.msc(组策略)禁止指定目录执行某些文件。 操作步骤: gpedit.msc---计算机配置---windows 设置---安全设置↓---软件限制策略(如果旁边没有,点右键创建一个策略)---其他规则---右 键新建一个路径规则 如图:
这样d:\wwwroot\目录就无法执行任何exe.bat.com文件了。 即使是system都无法执行, c:\windows\temp\是临时文件夹。 很多的cmd或溢出利器都传到这个目录,可以限制它的执行权限。 可以给他加一个规则。让c:\windows\temp\无执行权限。 注意:未经测试,也许对aspx的webshell无效,但是可以阻止asp调用exe,php暂未测试。 |