終極防御（CmdShell、IIS Spy、Process、Services、UserInfo、SysInfo、RegShell）
可能影響個(gè)別網(wǎng)站正常運(yùn)行，請測試網(wǎng)站無問題再正式使用這方法。
網(wǎng)站ASP.NET version切換成2.0.50727
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\CONFIG\web.config
<location allowOverride="true">  修改成  <location allowOverride="false">
<trust level="Full" originUrl="" />  修改成  <trust level="High" originUrl="" />
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\CONFIG\web_hightrust.config
刪除  <SecurityClass Name="RegistryPermission" Description="System.Security.Permissions.RegistryPermission, mscorlib, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089"/>
----------------------------------------------------------------------------
----------------------------------------------------------------------------
一般防御（以下方法還沒辦法禁用Process、RegShell，經(jīng)了解星外虛擬主機(jī)管理系統(tǒng)也沒有禁掉）
1、禁止跨站、Services(4也可行)
為每個(gè)網(wǎng)站新建一個(gè)系統(tǒng)用戶如web_xxx，只屬于Guests組、IIS_WPG組。
新建網(wǎng)站文件夾xxx，加入web_xxx權(quán)限。
新建應(yīng)用程序池xxx，屬性-標(biāo)識(shí)-配置，輸入web_xxx賬戶密碼。
新建網(wǎng)站xxx，屬性-主目錄-應(yīng)用程序池，選擇xxx。屬性-主目錄-目錄安全性-編輯，輸入web_xxx賬戶密碼。
2、禁止CmdShell
原理:文件夾 給運(yùn)行權(quán)限就不給寫入權(quán)限、給寫入權(quán)限就不給運(yùn)行權(quán)限。
設(shè)置權(quán)限時(shí)必須應(yīng)用到所有子目錄。

網(wǎng)站文件夾配置權(quán)限如圖