Windows 2003 防范web等目錄執行exe,bat,com的方法

利用gpedit.msc(組策略)禁止目錄執行某些文件。

　　首先:

　　運行-----輸入 gpedit.msc ----計算機配置---windows 設置----安全設置↓軟件限制策略(如果旁邊沒有什么東西。 點右鍵創建一個策略)---其他規則----(點右鍵)新建立一個路徑規則(p)。

　　如圖:

　　這樣d:\wwwroot\目錄就無法執行任何exe.bat.com文件了。 不管你是什么權限。 即使是system都無法執行。

　　這樣大大的提高了被使用exp提升權限的安全性。

　　當然這里提一個思路。 。 大家都知道c:\windows\temp\是臨時文件夾。 基本都是所有用戶都可以寫的。 它是不需要執行權限的。

　　當然我們這里可以給他加一個規則。 讓c:\windows\temp\無執行權限。 方法如上。

　　原理：基于軟件策略從這些目錄都無法運行程序， 增加安全。