⑴ 禁用或者删除不必要的IIS服务和组件。

　　⑵ 修改默认配置，提高系统文件和Web内容目录的安全性。

　　⑶ 用URLScan来过滤HTTP请求。

　　本文介绍如何运用IIS Lockdown 2.1的前两项功能。注意本文的说明针对 IIS Lockdown 2.1版本，以前版本的用法大不相同。

　　一、注意事项

　　IIS Lockdown会改变IIS的运行方式，因此很可能与依赖IIS某些功能的应用冲突。特别地，如果要在一个运行Microsoft Exchange 2000 Server、Exchange Server 5.5或Microsoft SharePoint Portal Server的服务器上安装IIS Lockdown和URLScan，应当加倍小心。

　　微软的两篇文章解释了可能遇到的困难和解决办法：《XADM：在Exchange 2000环境中使用IIS Lockdown向导的已知问题和调整策略》（http://support.microsoft.com/default.aspx?scid=kb;en-us;q309677），以及《SPS：IIS Lockdown工具影响SharePoint Portal Server》（http://support.microsoft.com/default.aspx?scid=kb;en-us;q309675）。

　　另外，在正式应用IIS Lockdown或URLScan之前，务必搜索微软的知识库，收集可能出现问题的最新资料。掌握这些资料并了解其建议之后，再在测试服务器上安装IIS Lockdown，全面测试Web应用需要的IIS功能是否受到影响。最后，做一次全面的系统备份，以便在系统功能受到严重影响时迅速恢复。

　　二、安装

　　IIS Lockdown 2.1可以从http://www.microsoft.com/downloads/release.asp?releaseid=33961下载。下载之后得到一个iislockd.exe，双击运行，把它解压缩到一个临时目录并启动IIS Lockdown向导。但是，如果要用IIS Lockdown来保护多个服务器，最好按照下文的说明把它解压缩到一个专用目录，这样就不必每次运行IIS Lockdown都要重新解压缩了。

　　必须注意的是，下载得到的是一个自解压缩的执行文件，这个执行文件与压缩包里面的应用执行文件同名。因此，如果把iislockd.exe解压缩到它本身所在的目录，就会引起文件名称冲突。请按照下面的安装步骤执行，以避免可能出现的问题： [page]

　　㈠ 将iislockd.exe下载到一个临时目录。

　　㈡ 打开控制台窗口，进入临时目录，执行命令“iislockd.exe /q /c /t:c:\IISLockdown”解开压缩，/q要求以“安静”模式操作，/c要求IIS Lockdown只执行提取文件的操作，和-t选项一起使用，-t选项指定了要把文件解压缩到哪一个目录（例如在本例中，要求把文件解压缩到c:\IISLockdown目录）。表一列出了iislockd.exe解压缩得到的主要文件，注意iislockd.exe包含了URLScan的文件，但本文不准备详细探讨URLScan。

表一：IIS Lockdown 2.1主要文件 IIS Lockdown文件 说明 iislockd.exe IIS Lockdown主执行文件。 iislockd.ini 配置和选项文件。 iislockd.chm 联机帮助。 runlockdunattended.doc 有关“无人值守”运行方式的文档。 404.dll “文件没有找到”应答文件。 URLScan文件 说明 urlscan.exe URLScan安装程序包。 urlscan.doc URLScan文档。 urlscan*.ini 配置和选项文件。 urlscan_unattend.txt 无人值守方式安装URLScan的配置文件。 readme.txt 针对无人值守方式运行URLScan的说明 unattend.cmd 无人值守方式安装URLScan的命令文件。

　　三、实践应用

　　IIS Lockdown的用法很简单。双击启动iislockd.exe，出现Internet Information Services Lockdown向导，按照向导的提示一步一步操作，很快就可以为Web服务器加上一把锁。首先出现的是欢迎屏幕，点击“下一步”出现最终用户许可协议屏幕，选中I Agree选项，点击“下一步”进入服务器模板选择对话框。http://netadmin.77169.com/HTML/20060808001500.html