IIS Lockdown的用法很簡(jiǎn)單。為了保護(hù)IIS服務(wù)器的安全，我們來(lái)一起學(xué)習(xí)下IIS Lockdown的知識(shí)吧。默認(rèn)情況下，IIS會(huì)限制對(duì)Web內(nèi)容目錄的匿名訪問(wèn)，但還應(yīng)該加上一層對(duì)系統(tǒng)工具（如cmd.exe）的保護(hù)，以防止未經(jīng)授權(quán)的用戶在系統(tǒng)安全出現(xiàn)漏洞時(shí)訪問(wèn)這些工具。

如果選中對(duì)話框中的Running system utilities (for example, Cmd.exe, Tftp.exe)檢查框，IIS Lockdown將修改\%windir%目錄及其子目錄下所有執(zhí)行文件的訪問(wèn)控制屬性（ACE，Access Control Entry），明確地禁止本地Web匿名用戶組和Web用戶組的運(yùn)行權(quán)限。

如果選中Writing to content directories 檢查框，IIS Lockdown還會(huì)加強(qiáng)所有Web內(nèi)容目錄的安全性，即設(shè)置ACE，禁止本地Web匿名用戶組和We應(yīng)用組的寫(xiě)入權(quán)限。

窗口底部有一個(gè)Disable Web Distributed Authoring and Versioning（WebDAV）選項(xiàng)，即禁用Web分布式創(chuàng)作和版本控制。WebDAV功能用來(lái)支持遠(yuǎn)程Web內(nèi)容創(chuàng)作和管理，如果確實(shí)不必用到該功能，那就可以選中Disable Web Distributed Authoring and Versioning檢查框。

選中該選項(xiàng)之后，IIS Lockdown將設(shè)置httpext.dll（實(shí)現(xiàn)WebDAV功能的執(zhí)行文件）的ACE，禁止將httpext.dll文件裝入inetinfo.exe的進(jìn)程，從而也就禁止了WebDAV功能。

對(duì)話框的“下一步”，IIS Lockdown將詢問(wèn)是否要安裝URLScan，如圖五。如果要用篩選器來(lái)禁止IIS處理某些可能有惡意的URL，即經(jīng)常被黑客用來(lái)攻擊系統(tǒng)的URL，那就可以用URLScan作為守衛(wèi)IIS的前門(mén)（即篩選器）。

本文不準(zhǔn)備詳細(xì)介紹URLScan，請(qǐng)?jiān)L問(wèn)http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/tools/urlscan.asp了解更多有關(guān)URLScan的說(shuō)明。

取消安裝URLScan的選項(xiàng)，點(diǎn)擊“下一步”，IIS Lockdown顯示出一系列將要執(zhí)行的操作。點(diǎn)擊“取消”可以放棄操作，點(diǎn)擊“下一步”則開(kāi)始執(zhí)行清單中列出的“加鎖”操作。加鎖操作一旦開(kāi)始，中途不能停止。

依賴于具體的修改操作，IIS Lockdown可能在\%windir%\system32\inetsrv目錄下創(chuàng)建幾個(gè)日志文件和IIS元數(shù)據(jù)備份文件，如表二所示。

雖然沒(méi)有人要求我們一定要保證這些IIS Lockdown日志文件和元數(shù)據(jù)備份文件的安全，但如果要手工撤銷(xiāo)IIS Lockdown所做的操作，或者需要重新安裝OS，那就要用到這些文件。因此，最好把這些文件復(fù)制到另一個(gè)磁盤(pán)，或者把它們保存到另一個(gè)服務(wù)器。

表二：IIS Lockdown日志和元數(shù)據(jù)備份文件
 

.log或.md0文件 說(shuō)明  
oblt-log.log IIS Lockdown為了提高服務(wù)器安全性而執(zhí)行的一系列操作的清單。  
oblt-rep.log 加鎖過(guò)程的一個(gè)簡(jiǎn)短總結(jié)。加鎖過(guò)程結(jié)束后，點(diǎn)擊View Report按鈕可以看到這個(gè)文件。  
oblt-undo.log IIS Lockdown為了撤銷(xiāo)加鎖操作而采取的一系列動(dòng)作的清單。  
metaback\oblt-mb.md0 IIS元數(shù)據(jù)的備份文件。  
metaback\oblt-beforeundo-mb.md0 在IIS Lockdown Undo命令恢復(fù)元數(shù)據(jù)備份之前備份的IIS元數(shù)據(jù)。 

如果在正式為用戶提供服務(wù)的機(jī)器上運(yùn)行IIS Lockdown，一定要安排在正常的關(guān)機(jī)維護(hù)期間進(jìn)行。IIS Lockdown開(kāi)始執(zhí)行修改操作時(shí)會(huì)關(guān)閉Web服務(wù)，安排在正常的維護(hù)期間進(jìn)行修改可以避免給用戶帶來(lái)不必要的麻煩。

【編輯推薦】

1. 通過(guò)巧妙設(shè)置消除IIS沖突現(xiàn)象
2. 從基礎(chǔ)做起提高IIS服務(wù)器速率問(wèn)題
3. 通過(guò)優(yōu)化性能改善IIS運(yùn)行的效率
4. 讓IIS服務(wù)器管理更加高效
5. IIS服務(wù)器中使用的一些要點(diǎn)