1.WINDOWS本地安全策略 端口限制
A.对于我们的例子来说.需要开通以下端口
外->本地 80
外->本地 20
外->本地 21
外->本地 PASV所用到的一些端口
外->本地 25
外->本地 110
外->本地 3389
然后按照具体情况.打开SQL SERVER和MYSQL的端口
外->本地 1433
外->本地 3306
B.接着是开放从内部往外需要开放的端口
按照实际情况,如果无需邮件服务,则不要打开以下两条规则
本地->外 53 TCP,UDP
本地->外 25
按照具体情况.如果无需在服务器上访问网页.尽量不要开以下端口
本地->外 80
C.除了明确允许的一律阻止.这个是安全规则的关键.
外->本地 所有协议 阻止

2.用户帐号
a.将administrator改名,例子中改为root
b.取消所有除管理员root外所有用户属性中的
远程控制->启用远程控制 以及
终端服务配置文件->允许登陆到终端服务器
c.将guest改名为administrator并且修改密码
d.除了管理员root,IUSER以及IWAM以及ASPNET用户外.禁用其他一切用户.包括SQL DEBUG以及TERMINAL USER等等

3.目录权限
将所有盘符的权限,全部改为只有
administrators组 全部权限
system 全部权限
将C盘的所有子目录和子文件继承C盘的administrator(组或用户)和SYSTEM所有权限的两个权限
然后做如下修改
C:\Documents and Settings\All Users 开放默认的读取及运行 列出文件目录 读取三个权限
C:\Documents and Settings\ 增加Users用户组的读取运行权限，避免出现LoadUserProfile失败
C:\Program Files\Common Files 开放Everyone　默认的读取及运行 列出文件目录 读取三个权限 可以增加ASP ASP.net的access数据库访问权限
C:\Windows如下的操作可能导致采用Ghost的操作失败,系统可以Ghost成功，但在启动后会自动重启，等待解决
C:\WINDOWS\ 开放Everyone　默认的读取及运行 列出文件目录 读取三个权限
C:\WINDOWS\Temp 开放Everyone 修改,读取及运行,列出文件目录,读取,写入权限
C:\WINDOWS\ Microsoft.NET\Framework\v1.1.4322\Temporary ASP.NET Files 如果需要支持ASP.net请开发该目录的读写权限
同时注意下列相关目录权限不足IIS_WPG及Service用户的权限：
C:\WINDOWS\Help\IISHelp\Common
C:\WINDOWS\System32\Inetsrv\ASP Compiled Templates
C:\WINDOWS\IIS Temporary Compressed Files

现在WebShell就无法在系统目录内写入文件了.
当然也可以使用更严格的权限.
在WINDOWS下分别目录设置权限.
可是比较复杂.效果也并不明显.