在入侵者注入成功之后，往往会上传一个木马获取 Webshell，但是如果限制了用户的网站访问权限后，就可以有效地堵住入侵者的上传。

可以在 IIS 服务管理器中进行用户访问权限设置，另外还可以设置网站目录下的文件访问控制权限，赋予 IIS 网站访问用户相应的权限，才能正常浏览网站网页文档或访问数据库文件。

例如，网站的主目录位于“E:\inetpub\www.**.com\”文件夹下，需要对该目录下的所有文件设置访问权限。对于其中后缀为.asp、.html、.php等的网页文档文件，设置网站访问用户对这些文件可读即可。

在资源管理器中，用鼠标右键单击“E:\inetpub”中的“www.**.com”目录，选择【属性】命令，在打开的对话窗口中切换到“安全”选项卡。然后单击【添加】按钮，将“Everyone”用户添加到列表中，在下面的权限列表框中勾选“读取和运行”、“列出文件夹目录”、“读取”权限，然后单击【确定】按钮即可。

但是在网页文件夹中，还有数据库文件的权限设置需要进行特别的设置。因为用户在提交表单或注册等操作时，会修改到数据库的数据，因此除了给用户读取的权限外，还需要写入和修改权限，否则也会出现用户无法正常访问网站的用户问题。

用鼠标右键单击文件夹中的数据库文件，选择【属性】命令，切换到“安全”选项卡中。在“组或用户名称”列表中选中“Eveyone”用户，然后在下面的权限列表中再选中“修改”、“写入”权限，最后单击【确定】按钮。