给IIS Web服务器装上一把锁(3)

　　默认情况下，IIS会限制对Web内容目录的匿名访问，但还应该加上一层对系统工具（如cmd.exe）的保护，以防止未经授权的用户在系统安全出现漏洞时访问这些工具。如果选中图四对话框中的Running system utilities (for example, Cmd.exe, Tftp.exe)检查框，IIS Lockdown将修改\%windir%目录及其子目录下所有执行文件的访问控制属性（ACE，Access Control Entry），明确地禁止本地Web匿名用户组和Web用户组的运行权限。如果选中Writing to content directories 检查框，IIS Lockdown还会加强所有Web内容目录的安全性，即设置ACE，禁止本地Web匿名用户组和We应用组的写入权限。

　　窗口底部有一个Disable Web Distributed Authoring and Versioning（WebDAV）选项，即禁用Web分布式创作和版本控制。WebDAV功能用来支持远程Web内容创作和管理，如果确实不必用到该功能，那就可以选中Disable Web Distributed Authoring and Versioning检查框。选中该选项之后，IIS Lockdown将设置httpext.dll（实现WebDAV功能的执行文件）的ACE，禁止将httpext.dll文件装入inetinfo.exe的进程，从而也就禁止了WebDAV功能。

　　对话框的“下一步”，IIS Lockdown将询问是否要安装URLScan，如图五。如果要用筛选器来禁止IIS处理某些可能有恶意的URL，即经常被黑客用来攻击系统的URL，那就可以用URLScan作为守卫IIS的前门（即筛选器）。本文不准备详细介绍URLScan，请访问http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/tools/urlscan.asp了解更多有关URLScan的说明。

　　取消安装URLScan的选项，点击“下一步”，IIS Lockdown显示出一系列将要执行的操作，如图六。点击“取消”可以放弃操作，点击“下一步”则开始执行图六清单中列出的“加锁”操作。加锁操作一旦开始，中途不能停止。

　　依赖于具体的修改操作，IIS Lockdown可能在\%windir%\system32\inetsrv目录下创建几个日志文件和IIS元数据备份文件，如表二所示。虽然没有人要求我们一定要保证这些IIS Lockdown日志文件和元数据备份文件的安全，但如果要手工撤销IIS Lockdown所做的操作，或者需要重新安装OS，那就要用到这些文件。因此，最好把这些文件复制到另一个磁盘，或者把它们保存到另一个服务器。

　　表二：IIS Lockdown日志和元数据备份文件

　　.log或.md0文件 说明

　　oblt-log.log IIS Lockdown为了提高服务器安全性而执行的一系列操作的清单。

　　oblt-rep.log 加锁过程的一个简短总结。加锁过程结束后，点击View Report按钮可以看到这个文件。

　　oblt-undo.log IIS Lockdown为了撤销加锁操作而采取的一系列动作的清单。

　　metaback\oblt-mb.md0 IIS元数据的备份文件。

　　metaback\oblt-beforeundo-mb.md0 在IIS Lockdown Undo命令恢复元数据备份之前备份的IIS元数据。

　　如果在正式为用户提供服务的机器上运行IIS Lockdown，一定要安排在正常的关机维护期间进行。IIS Lockdown开始执行修改操作时会关闭Web服务，安排在正常的维护期间进行修改可以避免给用户带来不必要的麻烦。