一般大部分默认系统盘的文件夹,web_xxx没有写入权限,所以只需修改部分文件夹。
同时,自己新建的文件夹或者软件安装生成的文件夹都需要检查、按"原理"修改。
以下为部分可写可执行文件夹
C:\Inetpub
C:\RECYCLER
C:\wmpub
C:\php
C:\Documents and Settings\All Users\Application Data\
C:\Documents and Settings\All Users\Documents\
C:\WINDOWS\Temp\
C:\WINDOWS\IIS Temporary Compressed Files
C:\WINDOWS\system32\MicrosoftPassport
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Temporary ASP.NET Files
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Temporary ASP.NET Files
C:\WINDOWS\system32\inetsrv\ASP Compiled Templates
C:\Program Files\Zend\ZendOptimizer-3.3.0
至少取消非Administrators组的运行权限,至于让不让写入,自由发挥。
另外再用ScanRegFindWrite.aspx扫描是否还有其他可写文件夹,如果有,再判断这些可写文件夹是否有执行权限,如果有,去掉执行权限。
3、禁止IIS Spy
C:\WINDOWS\system32\activeds.tlb
只给予Administrators组、SYSTEM组“完全控制”,其余用户组删掉,重启IIS生效。
4、禁止Services(1也可行)、UserInfo、SysInfo
C:\WINDOWS\system32\wbem\wmiprvse.exe
只给予Administrators组、SYSTEM组“完全控制”,其余用户组删掉,重启IIS生效
