在弹出的“选择 组”对话框中找到“Guests”，点“添加”，此组就会出现在下方的文本框中，然后点“确定”：

　　出现的就是如下图所示的内容，点“确定”关闭此对话框：

　　打开“Internet 信息服务”，开始对虚拟主机进行设置，本例中的以对“第一虚拟主机”设置为例进行说明，右击该主机名，在弹出的菜单中选择“属性”：

　　弹出一个“第一虚拟主机 属性”的对话框，从对话框中可以看到该虚拟主机用户的使用的是“F:\VHOST1”这个文件夹：

　　暂时先不管刚才的“第一虚拟主机 属性”对话框，切换到“资源管理器”，找到“F:\VHOST1”这个文件夹，右击，选“属性”→“安全”选项卡，此时可以看到该文件夹的默认安全设置是“Everyone”完全控制（视不同情况显示的内容不完全一样），首先将最将下的“允许将来自父系的可继承权限传播给该对象”前面的对号去掉：

此时会弹出如下图所示的“安全”警告，点“删除”：

　　此时安全选项卡中的所有组和用户都将被清空（如果没有清空，请使用“删除”将其清空），然后点“添加”按钮。

　　将如图中所示的“Administrator”及在前面所创建的新帐号“IUSR_VHOST1”添加进来，将给予完全控制的权限，还可以根据实际需要添加其他组或用户，但一定不要将“Guests”组、“IUSR_机器名”这些匿名访问的帐号添加上去！

　　再切换到前面打开的“第一虚拟主机 属性”的对话框，打开“目录安全性”选项卡，点匿名访问和验证控制的“编辑”：

　　在弹出的“验证方法”对方框（如下图所示），点“编辑”：

　　弹出了“匿名用户帐号”，默认的就是“IUSR_机器名”，点“浏览”：

　　在“选择 用户”对话框中找到前面创建的新帐号“IUSR_VHOST1”，双击：

　　此时匿名用户名就改过来了，在密码框中输入前面创建时，为该帐号设置的密码：

　　再确定一遍密码：

　　OK，完成了，点确定关闭这些对话框。
　　经此设置后，“第一虚拟主机”的用户，使用 ASP 的 FileSystemObject 组件也只能访问自己的目录：F:\VHOST1 下的内容，当试图访问其他内容时，会出现诸如“没有权限”、“硬盘未准备好”、“500 服务器内部错误”等出错提示了。
　　另：如果该用户需要读取硬盘的分区容量及硬盘的序列号，那这样的设置将使其无法读取。如果要允许其读取这些和整个分区有关的内容，请右键点击该硬盘的分区（卷），选择“属性”→“安全”，将这个用户的帐号添加到列表中，并至少给予“读取”权限。由于该卷下的子目录都已经设置为“禁止将来自父系的可继承权限传播给该对象”，所以不会影响下面的子目录的权限设置。

三、基于CGI、PHP、JSP的WEBSHELL及溢出攻击与防范
CGI、PHP、JSP脚本也能绑定CMD命令，但基本CGI的WEBSHELL功能权限与防范方法是不是都是一样的呢？答案是他们的WEBSHELL权限几本相同，大同小异，但防范的黑客使用脚本给你绑定CMD命令的方法却是完全不同的，因为别的语言脚本中要绑定CMD命令根本不需要FSO等对像的支持，所以就算你关了FSO对像，再在注册表里删除上面ASP的WEBSHELL中例三中的shell.application和 wscript.shell 键值，也不能防范这些脚本的WEBSHELL。
由于ASP、CGI、PHP、JSP通过脚本绑定CMD命令的方法都是大同小异的了，都能用一种很简单的方法就能完全防范这类的攻击，在此例中，我会把一种30秒内就能完成安全配置，让任何的脚本程序都没法通过远程调用你的CMD命令，以达到完全防范脚本绑定CMD的目的。WEBSHELL的攻击方法我们在这里就作一个最后举例。
下面举例：CGI的WEBSHELL攻击与防范
如下图所示，只要黑客把一个CMD.CGI的WEBSHELL传到你的服务器，那么黑客就能在你的服务器里调用CMD命令，并能运行你服务器里的所有CMD命令，如建立超级用户等，下图是使用这个CMD.CGI的WEBSHELL运行DIR C：\命令。如果黑客在你的服务器上传了这个东东，呵呵，你可是欲哭没泪了。

即使你重装了N次服务器的系统，打了N多的补丁，没用，只要你没删除这个WEBSHELL，黑客知道这个WEBSHELL的WWW的浏览地址，随时能把你的机器当肉鸡使用。我以前入侵的肉鸡就是在对方的虚拟主机目录下留下了这个东东，我把他叫不死后门吧，只要对方管理员不删除这个WEBSHELL，那么他的服务器永远是我的肉鸡，因为这个东东杀毒软件查不出来的哈。
下面给出这个CMD.CGI的代码（网络上也有很多黑客站提供下载的）：

use CGI qw(:standard);
print header(-charset=>gb2312);
$cmd=param("cmd");
$out=`$cmd 2>&1`;
print start_form,textfield("cmd",$cmd,60);
print end_form;
print pre($out);

上面就是这个WEBSHELL的代码，还有一些PHP和JSP等的WEBSHELL，这里就不再作介绍了，因为攻击与防范的方法大同小异，通过上面这些例子，我们看出这几个 webshell 都是调用了NT系统下的 cmd.exe 命令来执行命令的，只要我们对NT系统下的 cmd.exe 文件设置一定的权限，呵呵，那么黑客的这些WEBSHELL都将没用武之地了。为了安全起见，我们还要对如 net.exe cacls.exe telnet.exe tftp.exe tftp.exe format.com mountvol.exe mshta.exe等危险的命令作出权限设置。因为这些危险的文件默认的情况下都是允许来宾以上权限的用户访问及执行的，只有为这些文件设置了权限，这样才能确保真正的安全。这些危险的文件默认的情况下，都是存放在 C:\WINNT\SYSTEM32 的目录下的。设置权限的方法如下图所示，清除原来的所有其它用户访问这些命令的权限，然后只设置允许你正在使用的超级用户拥有使用这些命令的权限，比如说你正在使用的超级用户名是 administrator 那么，你就在权限设置里只允许用户名为 administrator 的用户使用这些命令。

通过上面这些简单的设置，就能让那些绑定你服务器里的CMD命令的WEBSHELL全部失效，够简单吧。：）而且还能防止你的服务器在遭到黑客的溢出攻击成功后绑定CMD命令登陆你的服务器，道理很简单，比如目前流先的WEBDAV溢出，这些溢出攻击就是黑客通过溢出你的服务器后绑定你服务器里的CMD命令，然后TELNET登陆你的服务器，取得你服务器上的系统管理权的，但一般黑客溢出成功后，都是只能拥用SYSTEM权限绑定你服务器的CMD命令的，而你已经把CMD命令设置了禁止SYSTEM权限访问，只能使用你设置的唯一一个你正在使用的超级用户名去访问CMD命令。所以就算黑客成功溢出后，都不能绑定你的CMD命令，那么黑客就登陆不了你的服务器，你的服务器就是安全的了。
但这只能是相对的安全，因为有些溢出攻击黑客能直接把反向连接的木马文件传到你的服务器上，并能运行哦。呵呵，如最近出现的Serv-U溢出，如果你的FTP服务器使用了Serv-U的话，你又没有打上最新的安全补丁，让黑客溢出成功了，那么黑客可以不绑定你的CMD命令登陆你的服务器，而是给你服务器传一个反向连接的木马后门，这种反向连接的后门是通过你的服务器向黑客的机器连接，而黑客只要在自己的机器监听，只要你的服务器中了这种后门，那么就算你的服务器安装了防火墙，并屏蔽了所有不使用的端口，黑客不能正向与你的服务器联接木马后门，但黑客给你传一个反向连接的木马，这个木马是通过你的服务器连接黑客的机器的，只要你的服务器向黑客的机器发出连接请求，黑客就能取得你服务器的控制权，而这种反向木马攻击可以完全不依赖于NT系统下的CMD。可以反向连接木马的危害性。
那么我们如果防止这一类的反向木马攻击呢？方法很简单，那就是安装一个具有防止反向连接木马的防火墙，如天网及BlackICE防火墙等。都是具有防止反向连接功能的，因为这些防火墙都有应用程序访问网络权限设置功能。服务器上的任何一个程序要访问网络，都会弹出一个警告窗口，必须要服务器的管理员同意允许该应用程序访问网络后，这些程序才能访问网络，这项功能正好用于防范反向木马。下面举一个例子，如你的服务器安装了天网防火墙，如黑客成功溢出了你的Serv-U服务器，并给你传了一个反向连接的后门木马，这个后门木马在你的服务器的 C:\MM.EXE ，黑客所在IP地址是 192.168.0.18 ，现在黑客要对你服务器的这个反向连接木马进行连接，只要黑客在你服务器上运行了这个反向木马，那么你的天网防火墙就会弹出一个警告窗口，如下图所示：