還在為網(wǎng)站被入侵。導(dǎo)致可以被人運行可執(zhí)行文件而煩惱嘛? 

對于一個web目錄來說。 根本不需要運行可執(zhí)行文件的權(quán)限。這里教大家一種方法。

利用gpedit.msc(組策略)禁止目錄執(zhí)行某些文件。

首先:

運行-----輸入 gpedit.msc ----計算機配置---windows 設(shè)置----安全設(shè)置----軟件限制策略(如果旁邊沒有什么東西。點右鍵創(chuàng)建一個策略)---其他規(guī)則----(點右鍵)新建立一個路徑規(guī)則(p)。

這樣d:\wwwroot\目錄就無法執(zhí)行任何exe.bat.com文件了。 不管你是什么權(quán)限。即使是system都無法執(zhí)行。

這樣大大的提高了被使用exp提升權(quán)限的安全性。

當(dāng)然這里提一個思路。  。大家都知道c:\windows\temp\是臨時文件夾。 基本都是所有用戶都可以寫的。它是不需要執(zhí)行權(quán)限的。

當(dāng)然我們這里可以給他加一個規(guī)則。讓c:\windows\temp\無執(zhí)行權(quán)限。  方法如上。