給IIS Web服務器裝上一把鎖

為了提高IIS的安全性，微軟提供了兩 個工具：IIS Lockdown和URLScan，其中IIS Lockdown 2.1包含了URLScan。IIS Lockdown 2.1具有如下功能：

⑴ 禁用或者刪除不必要的IIS服務和組件。

⑵ 修改默認配置，提高系統文件和Web內容目錄 的安 全性。

⑶ 用URLScan來過濾HTTP請求。

一、注意事項

IIS Lockdown會改變IIS的運行方式，因此很可能與依 賴IIS某些功能的應用沖突。特別地，如果要在一個運行 Microsoft Exchange 2000 Server、Exchange Server 5.5或Microsoft SharePoint Portal Server的服務器上安裝IIS Lockdown和URLScan，應當加倍小心。

微軟的兩篇文章解釋了可能遇到的困難和解決辦法：《 XADM：在Exchange 2000環境中使用IIS Lockdown向導的已知問題和調整策略》（http://support.microsoft.com/default.aspx? scid=kb;en-us;q309677），以及《SPS：IIS Lockdown工具影響SharePoint Portal Server》（http://support.microsoft.com/default.aspx? scid=kb;en-us;q309675）。

另外，在正式應用IIS Lockdown或URLScan之前，務必搜索微軟的知識庫，收集可能出 現問題的最新資料。掌握這些資料并了解其建議之后，再在測試服務器上安裝IIS Lockdown，全面測試Web應用需要的IIS功能是否受到影響。最后，做一次全面的系統備份，以便在系統功能受到嚴重影響時 迅速恢復。

二、安裝

IIS Lockdown 2.1可以從http://www.microsoft.com/downloads/rel ease.asp?releaseid=33961下載。下載之后得到一個 iislockd.exe，雙擊運行，把它解壓縮到一個臨時目錄并啟動 IIS Lockdown向導。但是，如果要用IIS Lockdown來保護多個服務 器，最好按照下文的說明把它解壓縮到一個專用目錄，這樣就不必每次運行IIS Lockdown都要重新解壓縮了。

必須注意的是，下載得到的是一個自解壓縮的執行文件 ，這個執行文件與壓縮包里面的應用執行文件同名。因此，如 果把iislockd.exe解壓縮到它本身所在的目錄，就會引起文件 名稱沖突。請按照下面的安裝步驟執行，以避免可能出現的問 題：

㈠ 將iislockd.exe下載到一個臨 時目錄。

㈡ 打開控制臺窗口，進入臨時目錄，執行命令“iislockd.exe /q /c /t:c:IISLockdown”解開壓縮，/q要求以“安靜”模式操作， /c要求IIS Lockdown只執行提取文件的操作，和-t選項一起使用，-t選項 指定了要把文件解壓縮到哪一個目錄（例如在本例中，要求把文件解壓縮到c:IISLockdown目錄）。表一列出了 iislockd.exe解壓縮得到的主要文件，注意iislockd.exe包含了URLScan的文件，但本文不準備詳細探討URLScan。

表一：IIS Lockdown 2.1主要文件

    IIS Lockdown文件 說明 
iislockd.exe IIS Lockdown主執行文件。 
iislockd.ini 配置和選項文件。 
iislockd.chm 聯機幫助。 
runlockdunattended.doc 有關“無人值守”運行方式的文 檔。 
404.dll “文件沒有找到”應答文件。 
URLScan文件 說明 
urlscan.exe URLScan安裝程序包 。 

（責任編輯：城塵）