现在取消图五安装urlscan的选项，点击“下一步”，iis lockdown显示出一系列将要执行的操作，如图六。点击“取消”可以放弃操作，点击“下一步”则开始执行图六清单中列出的“加锁”操作。加锁操作一旦开始，中途不能停止。

图六

　　依赖于具体的修改操作，iis lockdown可能在\%windir%\system32\inetsrv目录下创建几个日志文件和iis元数据备份文件，如表二所示。虽然没有人要求我们一定要保证这些iis lockdown日志文件和元数据备份文件的安全，但如果要手工撤销iis lockdown所做的操作，或者需要重新安装os，那就要用到这些文件。因此，最好把这些文件复制到另一个磁盘，或者把它们保存到另一个服务器。

表二：iis lockdown日志和元数据备份文件
.log或.md0文件	说明
oblt-log.log	iis lockdown为了提高服务器安全性而执行的一系列操作的清单。
oblt-rep.log	加锁过程的一个简短总结。加锁过程结束后，点击view report按钮可以看到这个文件。
oblt-undo.log	iis lockdown为了撤销加锁操作而采取的一系列动作的清单。
metaback\oblt-mb.md0	iis元数据的备份文件。
metaback\oblt-beforeundo-mb.md0	在iis lockdown undo命令恢复元数据备份之前备份的iis元数据。

　　如果在正式为用户提供服务的机器上运行iis lockdown，一定要安排在正常的关机维护期间进行。iis lockdown开始执行修改操作时会关闭web服务，安排在正常的维护期间进行修改可以避免给用户带来不必要的麻烦。

　　四、尝尝后悔药

　　只要能够找到oblt-log.log文件，iis lockdown就给你后悔的机会。如果你打算让服务器采用一种新的iis lockdown配置，首先必须撤销前一次操作，然后再启动iis lockdown，按照新的配置运行向导。如果已经在前一次加锁操作时删除了不必要的服务，那就必须用控制面板中的添加/删除程序功能重新安装服务。类似地，如果已经在加锁过程中安装了urlscan，也要用添加/删除程序功能删除它。 [page]

iis lockdown的撤销操作会重新启用在加锁操作之前备份的元数据副本。因此，加锁操作和撤销操作之间的所有对iis的修改都会丢失。不过，iis lockdown的撤销操作会在启用上次备份的元数据之前另行备份当时的元数据，因此必要时可以重新执行丢失的修改操作。 　　五、无人值守 　　要用无人值守方式运行iis lockdown也很简单。用记事本打开iislockd.ini，修改[info]部分的两个键，使之成为： unattended=trueunattendedservertype= <servertype> 　　servertype的取值从servertypesnt4和servertypes键列出的值选择，这两个键也属于[info]部分。iis lockdown 2.1不支持命令行参数，因此修改iislockd.ini是唯一实现自动加锁的办法。由于这一局限，如果要针对几类不同的服务器配置使用iis lockdown加锁，就会遇到一定的困难。要解决这个问题，可以按照下面的步骤操作： 　　㈠ 为每一种不同的配置创建一个专用的目录。 　　㈡ 在每一个目录的iislockd.ini文件中，启用无人值守模式，并针对该配置要求设定服务器类型。 　　㈢ 针对要加锁的服务器类型，进入适当的目录，然后启动iis lockdown执行无人值守的加锁操作。 　　iislockd.ini配置文件的[info]部分中，最后一个键也值得一提，它就是undo，设置成true可以撤销前一次加锁操作。当iis lockdown执行撤销操作时，它不会再返回来按照unattendedservertype键指定的服务器类型执行加锁操作。 　　六、定制服务器模板 　　如果要创建自定义的服务器配置模板，并将模板加入到iis lockdown的配置清单中，只要修改iislockd.ini文件增加适当的信息就可以了。请按照下面的步骤创建定制的服务器模板： 　　⑴ 用记事本打开iislockd.ini文件。 　　⑵ 检查一下servertypesnt4和servertypes键中已有的模板名称，然后加入定制模板的名称，注意定制模板的名称不能与已有的模板冲突。用于nt 4.0平台的模板名字加入到servertypesnt4键，其他模板名字加入到servertypes键。 　　⑶ 在iislockd.ini文件的现有模板中，选择一个最接近定制模板配置的，将它复制到.ini文件的最后。 　　⑷ 把模板名称（即[]括号内的单词）修改成步骤2中指定的定制模板名称。 　　⑸ 将label键的值修改成定制模板的说明文字。 　　⑹ 根据服务器配置需要编辑其他键，以启用或禁用各个iis lockdown修改选项。这些选项对应前文“实践应用”部分的对话框选项，在此不再赘述。 　　最后必须指出的是，iis lockdown确实能够方便地提高web服务器的安全性，但不意味着有了iis lockdown就可以高枕无忧。安全是一个不断发展和变化的概念，唯有时刻牢记在心，才能防患于未然。