如果禁用了某種類型的腳本文件，IIS Lockdown會(huì)把腳本映射指向一個(gè)特殊的DLL，當(dāng)用戶試圖運(yùn)行該類腳本文件時(shí)這個(gè)DLL會(huì)返回“文件沒(méi)有找到”的信息。要禁用某種類型的文件，只需在圖三對(duì)話框中清除該類文件的檢查框。

　　點(diǎn)擊“下一步”，進(jìn)入最后一個(gè)IIS Lockdown的選項(xiàng)對(duì)話框Additional Security，如圖四所示，通過(guò)這個(gè)對(duì)話框可以刪除不需要的目錄，禁止未經(jīng)授權(quán)的用戶訪問(wèn)文件系統(tǒng)。IIS安裝好之后會(huì)有許多用于開發(fā)和學(xué)習(xí)的虛擬目錄，正式向用戶提供服務(wù)的環(huán)境不需要這些目錄，IIS Lockdown將刪除圖四對(duì)話框中選中的虛擬目錄，但仍會(huì)完好地保留這些目錄包含的數(shù)據(jù)。

圖四

　　默認(rèn)情況下，IIS會(huì)限制對(duì)Web內(nèi)容目錄的匿名訪問(wèn)，但還應(yīng)該加上一層對(duì)系統(tǒng)工具（如cmd.exe）的保護(hù)，以防止未經(jīng)授權(quán)的用戶在系統(tǒng)安全出現(xiàn)漏洞時(shí)訪問(wèn)這些工具。如果選中圖四對(duì)話框中的Running system utilities (for example, Cmd.exe, Tftp.exe)檢查框，IIS Lockdown將修改\%windir%目錄及其子目錄下所有執(zhí)行文件的訪問(wèn)控制屬性（ACE，Access Control Entry），明確地禁止本地Web匿名用戶組和Web用戶組的運(yùn)行權(quán)限。如果選中Writing to content directories 檢查框，IIS Lockdown還會(huì)加強(qiáng)所有Web內(nèi)容目錄的安全性，即設(shè)置ACE，禁止本地Web匿名用戶組和We應(yīng)用組的寫入權(quán)限。

　　圖四窗口底部有一個(gè)Disable Web Distributed Authoring and Versioning（WebDAV）選項(xiàng)，即禁用Web分布式創(chuàng)作和版本控制。WebDAV功能用來(lái)支持遠(yuǎn)程Web內(nèi)容創(chuàng)作和管理，如果確實(shí)不必用到該功能，那就可以選中Disable Web Distributed Authoring and Versioning檢查框。選中該選項(xiàng)之后，IIS Lockdown將設(shè)置httpext.dll（實(shí)現(xiàn)WebDAV功能的執(zhí)行文件）的ACE，禁止將httpext.dll文件裝入inetinfo.exe的進(jìn)程，從而也就禁止了WebDAV功能。

　　點(diǎn)擊圖四對(duì)話框的“下一步”，IIS Lockdown將詢問(wèn)是否要安裝URLScan，如圖五。如果要用篩選器來(lái)禁止IIS處理某些可能有惡意的URL，即經(jīng)常被黑客用來(lái)攻擊系統(tǒng)的URL，那就可以用URLScan作為守衛(wèi)IIS的前門（即篩選器）。本文不準(zhǔn)備詳細(xì)介紹URLScan，請(qǐng)?jiān)L問(wèn)http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/tools/urlscan.asp了解更多有關(guān)URLScan的說(shuō)明。

圖五