給IIS Web服務器裝上一把鎖 下

　　現在取消圖五安裝URLScan的選項，點擊“下一步”，IIS Lockdown顯示出一系列將要執行的操作，如圖六。點擊“取消”可以放棄操作，點擊“下一步”則開始執行圖六清單中列出的“加鎖”操作。加鎖操作一旦開始，中途不能停止。

圖六

　　依賴于具體的修改操作，IIS Lockdown可能在\%windir%\system32\.netsrv目錄下創建幾個日志文件和IIS元數據備份文件，如表二所示。雖然沒有人要求我們一定要保證這些IIS Lockdown日志文件和元數據備份文件的安全，但如果要手工撤銷IIS Lockdown所做的操作，或者需要重新安裝OS，那就要用到這些文件。因此，最好把這些文件復制到另一個磁盤，或者把它們保存到另一個服務器。

表二：IIS Lockdown日志和元數據備份文件 .log或.md0文件 說明 oblt-log.log IIS Lockdown為了提高服務器安全性而執行的一系列操作的清單。 oblt-rep.log 加鎖過程的一個簡短總結。加鎖過程結束后，點擊View Report按鈕可以看到這個文件。 oblt-undo.log IIS Lockdown為了撤銷加鎖操作而采取的一系列動作的清單。 metaback\oblt-mb.md0 IIS元數據的備份文件。 metaback\oblt-beforeundo-mb.md0 在IIS Lockdown Undo命令恢復元數據備份之前備份的IIS元數據。

　　如果在正式為用戶提供服務的機器上運行IIS Lockdown，一定要安排在正常的關機維護期間進行。IIS Lockdown開始執行修改操作時會關閉Web服務，安排在正常的維護期間進行修改可以避免給用戶帶來不必要的麻煩。

　　四、嘗嘗后悔藥

　　只要能夠找到oblt-log.log文件，IIS Lockdown就給你后悔的機會。如果你打算讓服務器采用一種新的IIS Lockdown配置，首先必須撤銷前一次操作，然后再啟動IIS Lockdown，按照新的配置運行向導。如果已經在前一次加鎖操作時刪除了不必要的服務，那就必須用控制面板中的添加/刪除程序功能重新安裝服務。類似地，如果已經在加鎖過程中安裝了URLScan，也要用添加/刪除程序功能刪除它。 [page]

　　IIS Lockdown的撤銷操作會重新啟用在加鎖操作之前備份的元數據副本。因此，加鎖操作和撤銷操作之間的所有對IIS的修改都會丟失。不過，IIS Lockdown的撤銷操作會在啟用上次備份的元數據之前另行備份當時的元數據，因此必要時可以重新執行丟失的修改操作。

　　五、無人值守

　　要用無人值守方式運行IIS Lockdown也很簡單。用記事本打開iislockd.ini，修改[Info]部分的兩個鍵，使之成為：

Unattended=TRUE

UnattendedServerType= <ServerType>

　　ServerType的取值從ServerTypesNT4和ServerTypes鍵列出的值選擇，這兩個鍵也屬于[info]部分。IIS Lockdown 2.1不支持命令行參數，因此修改iislockd.ini是唯一實現自動加鎖的辦法。由于這一局限，如果要針對幾類不同的服務器配置使用IIS Lockdown加鎖，就會遇到一定的困難。要解決這個問題，可以按照下面的步驟操作：

　?、?為每一種不同的配置創建一個專用的目錄。

　?、?在每一個目錄的iislockd.ini文件中，啟用無人值守模式，并針對該配置要求設定服務器類型。

　?、?針對要加鎖的服務器類型，進入適當的目錄，然后啟動IIS Lockdown執行無人值守的加鎖操作。

　　iislockd.ini配置文件的[info]部分中，最后一個鍵也值得一提，它就是Undo，設置成TRUE可以撤銷前一次加鎖操作。當IIS Lockdown執行撤銷操作時，它不會再返回來按照UnattendedServerType鍵指定的服務器類型執行加鎖操作。

　　六、定制服務器模板

　　如果要創建自定義的服務器配置模板，并將模板加入到IIS Lockdown的配置清單中，只要修改iislockd.ini文件增加適當的信息就可以了。請按照下面的步驟創建定制的服務器模板：

　?、?用記事本打開iislockd.ini文件。

　?、?檢查一下ServerTypesNT4和ServerTypes鍵中已有的模板名稱，然后加入定制模板的名稱，注意定制模板的名稱不能與已有的模板沖突。用于NT 4.0平臺的模板名字加入到ServerTypesNT4鍵，其他模板名字加入到ServerTypes鍵。

　?、?在iislockd.ini文件的現有模板中，選擇一個最接近定制模板配置的，將它復制到.ini文件的最后。

　?、?把模板名稱（即[]括號內的單詞）修改成步驟2中指定的定制模板名稱。

　?、?將Label鍵的值修改成定制模板的說明文字。

　?、?根據服務器配置需要編輯其他鍵，以啟用或禁用各個IIS Lockdown修改選項。這些選項對應前文“實踐應用”部分的對話框選項，在此不再贅述。

　　最后必須指出的是，IIS Lockdown確實能夠方便地提高Web服務器的安全性，但不意味著有了IIS Lockdown就可以高枕無憂。安全是一個不斷發展和變化的概念，唯有時刻牢記在心，才能防患于未然。

原文轉自：http://www.kjueaiud.com