配置参考方法一：

目录权限

1.将所有盘符的权限,全部改为只有：

　　administrators组 全部权限

　　system 全部权限

2.将C盘的所有子目录和子文件继承C盘的administrator(组或用户)和SYSTEM所有权限的两个权限 。

3.做如下修改 ：

　　C:\Program Files\Common Files 开放Everyone 默认的读取及运行 列出文件目录 读取三个权限

　　C:\WINDOWS\ 开放Everyone 默认的读取及运行 列出文件目录 读取三个权限

　　C:\WINDOWS\Temp 开放Everyone 修改,读取及运行,列出文件目录,读取,写入权限

4.完成。现在WebShell就无法在系统目录内写入文件了。

　　当然也可以使用更严格的权限. 那就是在WINDOWS下分别目录设置权限. 可是比较复杂.效果也并不明显。

配置参考方法二：

　　1.在C:\Program Files\Common Files文件夹属性对话框安全选项卡中，取消"允许将来自父系的可继承权限传播给该对象"，访问权限设成redblood、system完全控制，everyone读取及运行、列出文件夹目录、读取。因为ASP连接数据库的时候会用到这个目录。

　　2.把WINNT目录也按照同样的方法来设置成和Common Files文件夹同样的权限。

　　3.我们还要特殊设置一个目录那就是C:\WINNT\Temp，这个目录的访问权限是everyone修改、读取及运行、列出文件夹目录、读取、写入。

　　4.把如下文件设置成只有redblood完全控制权限，取消父系继承来的权限。这些文件有：C:\winnt\sytem32文件夹和C:\winnt\sytem32\dllcache文件夹的net.exe、net1.exe、netstat、netsh、cacls、cmd.exe、tftp.exe、at.exe、format.com、xcopy.exe ftp.exe。

　　5.把装应用程序的目录我这里是f:\soft目录的访问权限设成redblood、system完全控制和everyone读取、读取和运行、列出文件夹目录的权限。

　　6.大功告成。