创建组策略,防止误点程序

描述: 目标目录开启了可执行文件运行权限。 
1.恶意攻击者可以在该目录下执行恶意文件或程序。 
2. 目录开启可执行文件运行权限是IIS服务器所特有的一种情况。该目录下的可执行文件(.EXE、.DLL、.BAT)等后缀的文件可以通过WEB接口调用运行,这有可能会导致恶意攻击者通过执行后门程序来达到完全控制服务器的目的。 
危害: 
1.被恶意攻击执行恶意程序控制服务器。 
2. 对不需要可执行权限的目录开放可执行权限将导致恶意攻击者有可能利用目录中某些可执行文件执行恶意行为,从而获取进一步的信息或导致直接获取目标服务器的控制权。 
解决方案: 1、请验证目标目录是否确实需要可执行权限,如非必要,请调整服务器配置,关闭该目录的可执行权限; 
2、如果确需开放该目录的可执行权限,请严格审查该目录下的可执行程序,确保不出现非期望的可执行程序。 
下面介绍一种利用组策略限制限制目录的文件执行权限保障服务器安全 
还在为网站被入侵,导致可以被人运行可执行文件而烦恼嘛? 
对于一个web目录来说。 根本不需要运行可执行文件的权限。这里教大家一种方法。 
利用gpedit.msc(组策略)禁止目录执行某些文件。 
首先: 
运行-----输入 gpedit.msc ----计算机配置---windows 设置----安全设置↓ 
----软件限制策略(如果旁边没有什么东西。点右键创建一个策略)---其他规则----(点右键)新建立一个路径规则(p)。 
 
这样d:\\\\wwwroot\\\\目录就无法执行任何exe.bat.com文件了。 不管你是什么权限。即使是system都无法执行。 
这样大大的提高了被使用exp提升权限的安全性。 
当然这里提一个思路。 。大家都知道c:\\\\windows\\\\temp\\\\是临时文件夹。 基本都是所有用户都可以写的。它是不需要执行权限的。 
当然我们这里可以给他加一个规则。让c:\\\\windows\\\\temp\\\\无执行权限。 方法同上。

null

时间: 2024-12-28 14:22:53

创建组策略,防止误点程序的相关文章

View结合组策略进行应用程序下发

一.前言 当做完虚拟桌面后,就需要我们给终端用户安装程序了,尽管我们可以将程序安装在模板机里在创建Replica,但是后期的软件升级和新装其他软件如果使用Recompose会让人很头疼,于是我们就可以利用组策略的方式来下发程序. 二.准备工作 使用组策略需要软件是msi格式,我们可以利用vmware的thinapp来封装,找一台干净的XP或者Win7 VM,安装Thinapp,然后对该vm创建快照,同时在域中创建一个共享文件夹,要求domain user对其有读取权限. 三.操作步骤 1.在VM

组策略发布Office2010

在Windows Active Directory网络中,使用组策略发布Office 2003时,是在组策略编辑器的"用户配置→策略→软件设置"中进行发布的,但Office 2007与Office 2010,改变了软件分发方式,只能通过将软件指派给"计算机对象"的方式进行分发,在本文中我们介绍使用组策略与脚本,分发Office 2010的办法,主要步骤如下: (1)为分发Office 2010创建两个共享文件夹,一个文件夹保存Office 2010的安装程序,此共享

使用组策略首选项进行扩展控制

使用组策略首选项进行扩展控制 2010-12-15 15:30 Derek Melber TechNet中文网 字号:T | T 在 Windows Server 2008 和 Windows Vista 引入的诸多新技术中,最引人注目的当属“组策略首选项”(GPP),它现在可以极大地扩展管理员对组策略的操作.在组策略对象 (GPO) 中,组策略首选项在 22 个不同区域提供了 3,000 余种设置,另外还包括设置驱动器和打印机映射及控制本地组成员等. AD:51CTO网+ 首届中国APP创新评

windows_learn 002 用户管理和组策略

内容总览 域用户与组的管理 用户和组 用户登录名 添加用户工具 在活动目录中使用组 为何使用组? 全局组 Global Group Rules 域本地组 Domain Local Group Rules 通用组 Universal Group Rules 在域中使用组的策略 使用组的方针 组策略规划及部署 组策略规划及创建 组策略对象的工具 域用户与组的管理 概述 管理域用户账户 添加多个用户账户 域组账户 组的使用准则 用户和组 每个用户账号创建一个唯一的登录名 使用批处理创建多个用户 将用户

09、组策略之软件分发(01-02)

此演示2012.9.16完成,可参考借鉴 软件分发1.建立分发点(建立一个共享文件夹,一般位于某台成员服务器上)2.给共享文件夹设置权限(如果指派给用户,给用户读取权限,如果指派给计算机,给该计算机账户读取权限)3.设置组策略,新建程序包(路径必须是网络路径!!重要!从网上邻居开始!) 01.指派--用户(用户无论在哪台计算机登录,都有该软件)升级软件卸载软件修复软件02.发布给用户 原文地址:http://blog.51cto.com/vbers/2119234

实验四十八微软应用程序虚拟化之三APP-V 5.1 Client部署和通过组策略自定义配置

实验四十八微软应用程序虚拟化之三APP-V 5.1Client部署和通过组策略自定义配置 APP-V  Client分为Application Virtualization Desktop Client和 Application Virtualization Client for Remote Desktop Services,两者都为虚拟化应用程序提供并管理虚拟环境,管理到缓存的程序包传输.发布刷新.传输,以及与 Application Virtualization Server的所有交互.

Powershell脚本配合计划任务程序实现组策略自动备份

同样是在今天遇到了一个题目,要求每五分钟自动备份一次组策略(GPO),绞尽脑汁发现图形界面并不能解决这个问题,于是开始想Powershell能不能解决,最后真的解决了.下面是我做的过程 首先放脚本: 解释一下: 导入grouppolicy这个模块,后边要用它的方法 定义一个时间变量,每天的备份都会记录在一个以日期命名的文件夹 指定在C盘下某目录新建文件夹 然后指定备份所有组策略到该文件夹 保存并运行: 成功备份,开心 接下来才是重头戏: 打开任务计划程序,点击创建任务(注意是创建任务而不是创建基

使用组策略创建、替换、更新、删除客户机IE收藏夹

使用组策略创建.替换.更新.删除客户机IE收藏夹 在Windows Server 2012活动目录上,使用组策略为客户机创建.替换.更新.删除IE收藏夹.首选,在Windows Server 2012上创建共享文件夹,并将需要收藏夹的网址放到共享文件夹下. 1.     创建共享文件夹 2.     添加常用网址到共享文件夹里 3.     在所选OU上创建GPO 4.     组策略创建文件 选中刚创建的GPO文件点击编辑,进入到组策略管理编辑器. 选择"用户配置"--"首

Windows Server 2008 R2组策略创建用户桌面快捷方式

问题: 如何让所有域用户桌面有一个公司共享的快捷方式,让所有域用户直接双击就能打开公司共享. 解决办法: 1.创建一个zhuyu组织单元 ----- 在zhuyu组织单元创建一个域用户user1. 2.开始 ---- 运行 ---- 输入 gpmc.msc  ----- 选择zhuyu.com  ----- 右键组策略对象  ----- 新建. 3.自定义组策略名称 “桌面快捷方式_共享文件” ---- 确定. 4.右键组策略“桌面快捷方式_共享文件” ---- 编辑. 5.用户配置 -----