给IIS Web服务器装上一把锁(2)

　　三、实践应用

　　IIS Lockdown的用法很简单。双击启动iislockd.exe，出现Internet Information Services Lockdown向导，按照向导的提示一步一步操作，很快就可以为Web服务器加上一把锁。首先出现的是欢迎屏幕，点击“下一步”出现最终用户许可协议屏幕，选中I Agree选项，点击“下一步”进入服务器模板选择对话框.选择一个最接近当前服务器配置的模板，本文假定使用Static Web Server（静态Web服务器）模板。选中View Template Settings选项，向导将显示出一系列有关该模板类型的对话框，如果不选中这个选项，向导将跳过这些对话框，直接进入URLScan安装过程。

　　点击“下一步”，出现Internet Services对话框，如图二，这是第一个真正配置IIS加锁选项的页面。IIS Lockdown能够禁用或删除四种IIS服务：HTTP，FTP，SMTP，以及NNTP（Network News Transport Protocol，网络新闻传输协议）。怎样才能知道哪些服务才是必需的呢？除了前面选择的服务器模板类型可资参考之外，个人经验、全面地测试也同样重要。

　　Internet Services对话框中的IIS服务选项有三种状态：

　　㈠ 启用：选项处于选中状态，检查框有标记，例如图二的Web services。清除检查框的标记将禁用服务。

　　㈡ 启用，但推荐禁用，例如图二的E-mail service：选项没有选中，检查框没有标记。如果保留检查框的清除状态，服务将被禁用。

　　㈢ 禁用，且不可选择，例如图二的File Transfer service：如果一个选项变灰，它的检查框也没有选中标记，则表示不允许修改该服务，可能是因为服务没有安装，也可能是因为当前选择的服务器模板需要该服务。

　　如果服务器的用途不是经常改变，最好彻底删除不用的服务，这样就再也没有人会意外地激活它了。

　　点击“下一步”，向导显示出Script Maps（脚本映射）对话框。脚本映射是指把特定的文件扩展名关联到ISAPI（Internet Server API）执行文件，由指定的ISAPI文件来解释该类文件的内容。例如，.asp文件类型映射到asp.dll。

　　如果禁用了某种类型的脚本文件，IIS Lockdown会把脚本映射指向一个特殊的DLL，当用户试图运行该类脚本文件时这个DLL会返回“文件没有找到”的信息。要禁用某种类型的文件，只需在图三对话框中清除该类文件的检查框。

　　点击“下一步”，进入最后一个IIS Lockdown的选项对话框Additional Security，如图四所示，通过这个对话框可以删除不需要的目录，禁止未经授权的用户访问文件系统。IIS安装好之后会有许多用于开发和学习的虚拟目录，正式向用户提供服务的环境不需要这些目录，IIS Lockdown将删除图四对话框中选中的虚拟目录，但仍会完好地保留这些目录包含的数据。