win2003禁止web等目录执行exe,bat,com的方法

利用gpedit.msc(组策略)禁止目录执行某些文件。

首先:

运行—–输入 gpedit.msc —-计算机配置—windows 设置—-安全设置↓软件限制策略(如果旁边没有什么东西。点右键创建一个策略)—其他规则—-(点右键)新建立一个路径规则(p)。

如图1:

这样d:\wwwroot\目录就无法执行任何exe.bat.com文件了。不管你是什么权限。即使是system都无法执行。

这样大大的提高了被使用exp提升权限的安全性。

当然这里提一个思路。。大家都知道c:\windows\temp\是临时文件夹。基本都是所有用户都可以写的。它是不需要执行权限的。
当然我们这里可以给他加一个规则。让c:\windows\temp\无执行权限。方法如上。

原理：基于软件策略从这些目录都无法运行程序，增加安全。

文章来源网络，作者：运维，如若转载，请注明出处：https://shuyeidc.com/wp/223720.html<