利用gpedit.msc(組策略)禁止指定目錄執行某些文件。
操作步驟:
gpedit.msc---計算機配置---windows 設置---安全設置↓---軟件限制策略(如果旁邊沒有,點右鍵創建一個策略)---其他規則---右
鍵新建一個路徑規則
如圖:
這樣d:\wwwroot\目錄就無法執行任何exe.bat.com文件了。
即使是system都無法執行,
c:\windows\temp\是臨時文件夾。 很多的cmd或溢出利器都傳到這個目錄,可以限制它的執行權限。
可以給他加一個規則。讓c:\windows\temp\無執行權限。
注意:未經測試,也許對aspx的webshell無效,但是可以阻止asp調用exe,php暫未測試。