利用gpedit.msc(組策略)禁止指定目錄執(zhí)行某些文件。

操作步驟:

gpedit.msc---計(jì)算機(jī)配置---windows 設(shè)置---安全設(shè)置↓---軟件限制策略(如果旁邊沒(méi)有，點(diǎn)右鍵創(chuàng)建一個(gè)策略)---其他規(guī)則---右

鍵新建一個(gè)路徑規(guī)則

如圖:

這樣d:/wwwroot/目錄就無(wú)法執(zhí)行任何exe.bat.com文件了。

即使是system都無(wú)法執(zhí)行，

c:/windows/temp/是臨時(shí)文件夾。 很多的cmd或溢出利器都傳到這個(gè)目錄，可以限制它的執(zhí)行權(quán)限。

可以給他加一個(gè)規(guī)則。讓c:/windows/temp/無(wú)執(zhí)行權(quán)限。

注意：未經(jīng)測(cè)試，也許對(duì)aspx的webshell無(wú)效，但是可以阻止asp調(diào)用exe，php暫未測(cè)試。