防止aspx大马IIS SPY列出网站物理路径

比较著名的aspx大马就是bin的aspxspy1.0和2.0，

如果服务器支持.NET，aspxspy有个功能：IIS Spy，可以列出所有网站域名和物理路径。

包括用IIS做FTP的，也能读出所有用户的FTP的用户名和密码，旁注很实用的功能。

现在给出解决方法，找到这两个文件：

把USER组和POWERS组去掉，只保留administrators和system权限。
如果还有其它组也全部去掉。

这样就能防止aspxspy大马列出所有站点的物理路径了，可以更好的防御！
建议配置ASP.NET的信任级别！