武汉大学论坛|大汉武立

标题: 用软件限制策略限制特定目录下所有文件运行 [打印本页]

作者: wancc77 时间: 2008-9-9 16:34
标题: 用软件限制策略限制特定目录下所有文件运行
尽管我们可以禁用WScript.Shell、Shell.application、WScript.Network以及PHP的一些危险函数来防止用户执行系统命令从而得到服务器的权限，但为了安全起见我们还是有必要限制了虚拟主机目录下所有文件运行-包括EXE、COM、VBS、BAT、CMD、SCR等多种可执行文件，省得一些垃圾“Hacker”上传可执行文件到WEB目录下运行
配置方法，以限制E:\HTTP下所有文件禁止运行为例：

管理工具-本地安全策略-软件限制策略-右键创建软件限制策略（如果你的系统上还没有创建软件限制策略的话）-其他规则-新路径规则-路径为E:\HTTP\，安全级别设为不允许的

这样就已经创建好了，很简单哦^_^

看下效果，服务器上直接运行一个E:\HTTP\下的EXE文件试试

呵呵，放到子目录下的效果也是一样的哦，都不能运行，这对于BAT、COM等其他可执行文件效果也是同样的

这招不影响服务器上正常的ASP、PHP、ASPX脚本的运行（至少目前发现没有影响）
这只是软件限制策略的一个简单应用，当然它本身还有非常强大的功能。

欢迎光临武汉大学论坛|大汉武立 (http://whu.23du.com/)