圖一

在圖一對話框中選擇一個最接近當前服務器配置的模板，本文假定使用Static Web Server（靜態Web服務器）模板。選中View Template Settings選項，向導將顯示出一係列有關該模板類型的對話框，如果不選中這個選項，向導將跳過這些對話框，直接進入URLScan安裝過程。

點擊"下一步"，出現Internet Services對話框，如圖二，這是第一個真正配置IIS加鎖選項的頁麵。IIS Lockdown能夠禁用或刪除四種IIS服務：HTTP，FTP，SMTP，以及NNTP（Network News Transport Protocol，網絡新聞傳輸協議）。怎樣才能知道哪些服務才是必需的呢？除了前麵選擇的服務器模板類型可資參考之外，個人經驗、全麵地測試也同樣重要。

圖二

Internet Services對話框中的IIS服務選項有三種狀態：

㈠ 啟用：選項處於選中狀態，檢查框有標記，例如圖二的Web services。清除檢查框的標記將禁用服務。

㈡ 啟用，但推薦禁用，例如圖二的E-mail service：選項沒有選中，檢查框沒有標記。如果保留檢查框的清除狀態，服務將被禁用。

㈢ 禁用，且不可選擇，例如圖二的File Transfer service：如果一個選項變灰，它的檢查框也沒有選中標記，則表示不允許修改該服務，可能是因為服務沒有安裝，也可能是因為當前選擇的服務器模板需要該服務。

如果服務器的用途不是經常改變，最好徹底刪除不用的服務，這樣就再也沒有人會意外地激活它了。

點擊"下一步"，向導顯示出Script Maps（腳本映射）對話框，如圖三所示。腳本映射是指把特定的文件擴展名關聯到ISAPI（Internet Server API）執行文件，由指定的ISAPI文件來解釋該類文件的內容。例如，.asp文件類型映射到asp.dll。

圖三

如果禁用了某種類型的腳本文件，IIS Lockdown會把腳本映射指向一個特殊的DLL，當用戶試圖運行該類腳本文件時這個DLL會返回"文件沒有找到"的信息。要禁用某種類型的文件，隻需在圖三對話框中清除該類文件的檢查框。

點擊"下一步"，進入最後一個IIS Lockdown的選項對話框Additional Security，如圖四所示，通過這個對話框可以刪除不需要的目錄，禁止未經授權的用戶訪問文件係統。IIS安裝好之後會有許多用於開發和學習的虛擬目錄，正式向用戶提供服務的環境不需要這些目錄，IIS Lockdown將刪除圖四對話框中選中的虛擬目錄，但仍會完好地保留這些目錄包含的數據。

圖四

默認情況下，IIS會限製對Web內容目錄的匿名訪問，但還應該加上一層對係統工具（如cmd.exe）的保護，以防止未經授權的用戶在係統安全出現漏洞時訪問這些工具。如果選中圖四對話框中的Running system utilities (for example, Cmd.exe, Tftp.exe)檢查框，IIS Lockdown將修改\%windir%目錄及其子目錄下所有執行文件的訪問控製屬性（ACE，Access Control Entry），明確地禁止本地Web匿名用戶組和Web用戶組的運行權限。如果選中Writing to content directories 檢查框，IIS Lockdown還會加強所有Web內容目錄的安全性，即設置ACE，禁止本地Web匿名用戶組和We應用組的寫入權限。

圖四窗口底部有一個Disable Web Distributed Authoring and Versioning（WebDAV）選項，即禁用Web分布式創作和版本控製。WebDAV功能用來支持遠程Web內容創作和管理，如果確實不必用到該功能，那就可以選中Disable Web Distributed Authoring and Versioning檢查框。選中該選項之後，IIS Lockdown將設置httpext.dll（實現WebDAV功能的執行文件）的ACE，禁止將httpext.dll文件裝入inetinfo.exe的進程，從而也就禁止了WebDAV功能。

點擊圖四對話框的"下一步"，IIS Lockdown將詢問是否要安裝URLScan，如圖五。如果要用篩選器來禁止IIS處理某些可能有惡意的URL，即經常被黑客用來攻擊係統的URL，那就可以用URLScan作為守衛IIS的前門（即篩選器）。本文不準備詳細介紹URLScan，請訪問http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/tools/urlscan.asp了解更多有關URLScan的說明。

圖五

現在取消圖五安裝URLScan的選項，點擊"下一步"，IIS Lockdown顯示出一係列將要執行的操作，如圖六。點擊"取消"可以放棄操作，點擊"下一步"則開始執行圖六清單中列出的"加鎖"操作。加鎖操作一旦開始，中途不能停止。

圖六

依賴於具體的修改操作，IIS Lockdown可能在\%windir%\system32\inetsrv目錄下創建幾個日誌文件和IIS元數據備份文件，如表二所示。雖然沒有人要求我們一定要保證這些IIS Lockdown日誌文件和元數據備份文件的安全，但如果要手工撤銷IIS Lockdown所做的操作，或者需要重新安裝OS，那就要用到這些文件。因此，最好把這些文件複製到另一個磁盤，或者把它們保存到另一個服務器。