下載安裝最新的Tomcat版本，?新版本一般都修復了舊版本的問題，包括安全性問題；

修改Tomcat管理后臺的賬號和密碼（tomcatconf omcat-user.xml）

修改tomcat運行的用戶權限：

在Windows環境下，Tomcat默認以System權限運行，這個權限過大，導致一些黑客通過tomcat上傳一些提權的webshell工具，可以遠程創建用戶，并遠程訪問你的服務器，所以要給tomcat降權運行。

首先新建一個用戶，設置復雜的密碼，并且讓它不屬于任何用戶組，接著打開“本地安全策略”--->“本地策略”--->“用戶權限分配”，找到“作為服務登錄”項，把剛剛新建的用戶添加進去再找到Tomcat安裝目錄，只為“Administrators組”和“tomcat”賬戶分配完全控制權限，并將其他賬戶權限全部刪除。如果不為tomcat賬戶分配權限，Tomcat服務將無法啟動。

然后需要以最小權限原則為Tomcat日志目錄和WEB目錄單獨分配權限，日志目錄只需要分配“讀取”和“寫入”權限即可。

然后需修改  C:Program FilesJavajre6 （java的安裝路徑）的權限，需要新加入tomcat用戶權限，否則也會報錯。

如果是apache+tomcat的架構，還需修改apach目錄權限，apache服務也需要以tomcat用戶運行，apache的目錄也需要添加tomcat用戶的讀寫執行權限，否則apache起不來。