点击“下一步”，出现internet services对话框，如图二，这是第一个真正配置iis加锁选项的页面。iis lockdown能够禁用或删除四种iis服务：http，ftp，smtp，以及nntp（network news transport protocol，网络新闻传输协议）。怎样才能知道哪些服务才是必需的呢？除了前面选择的服务器模板类型可资参考之外，个人经验、全面地测试也同样重要。

图二

　　internet services对话框中的iis服务选项有三种状态：

　　㈠ 启用：选项处于选中状态，检查框有标记，例如图二的web services。清除检查框的标记将禁用服务。

　　㈡ 启用，但推荐禁用，例如图二的e-mail service：选项没有选中，检查框没有标记。如果保留检查框的清除状态，服务将被禁用。

　　㈢ 禁用，且不可选择，例如图二的file transfer service：如果一个选项变灰，它的检查框也没有选中标记，则表示不允许修改该服务，可能是因为服务没有安装，也可能是因为当前选择的服务器模板需要该服务。

　　如果服务器的用途不是经常改变，最好彻底删除不用的服务，这样就再也没有人会意外地激活它了。

　　点击“下一步”，向导显示出script maps（脚本映射）对话框，如图三所示。脚本映射是指把特定的文件扩展名关联到isapi（internet server api）执行文件，由指定的isapi文件来解释该类文件的内容。例如，.asp文件类型映射到asp.dll。

图三

[page]

　　如果禁用了某种类型的脚本文件，iis lockdown会把脚本映射指向一个特殊的dll，当用户试图运行该类脚本文件时这个dll会返回“文件没有找到”的信息。要禁用某种类型的文件，只需在图三对话框中清除该类文件的检查框。

　　点击“下一步”，进入最后一个iis lockdown的选项对话框additional security，如图四所示，通过这个对话框可以删除不需要的目录，禁止未经授权的用户访问文件系统。iis安装好之后会有许多用于开发和学习的虚拟目录，正式向用户提供服务的环境不需要这些目录，iis lockdown将删除图四对话框中选中的虚拟目录，但仍会完好地保留这些目录包含的数据。

图四

　　默认情况下，iis会限制对web内容目录的匿名访问，但还应该加上一层对系统工具（如cmd.exe）的保护，以防止未经授权的用户在系统安全出现漏洞时访问这些工具。如果选中图四对话框中的running system utilities (for example, cmd.exe, tftp.exe)检查框，iis lockdown将修改\%windir%目录及其子目录下所有执行文件的访问控制属性（ace，access control entry），明确地禁止本地web匿名用户组和web用户组的运行权限。如果选中writing to content directories 检查框，iis lockdown还会加强所有web内容目录的安全性，即设置ace，禁止本地web匿名用户组和we应用组的写入权限。

　　图四窗口底部有一个disable web distributed authoring and versioning（webdav）选项，即禁用web分布式创作和版本控制。webdav功能用来支持远程web内容创作和管理，如果确实不必用到该功能，那就可以选中disable web distributed authoring and versioning检查框。选中该选项之后，iis lockdown将设置httpext.dll（实现webdav功能的执行文件）的ace，禁止将httpext.dll文件装入inetinfo.exe的进程，从而也就禁止了webdav功能。

　　点击图四对话框的“下一步”，iis lockdown将询问是否要安装urlscan，如图五。如果要用筛选器来禁止iis处理某些可能有恶意的url，即经常被黑客用来攻击系统的url，那就可以用urlscan作为守卫iis的前门（即筛选器）。本文不准备详细介绍urlscan，请访问http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/tools/urlscan.asp了解更多有关urlscan的说明。

图五