给IIS Web服务器装上一把锁(5)

领测软件测试网 现在取消图五安装URLScan的选项，点击“下一步”，IIS Lockdown显示出一系列将要执行的操作，如图六。点击“取消”可以放弃操作，点击“下一步”则开始执行图六清单中列出的“加锁”操作。加锁操作一旦开始，中途不能停止。

图六

　　依赖于具体的修改操作，IIS Lockdown可能在\%windir%\system32\.netsrv目录下创建几个日志文件和IIS元数据备份文件，如表二所示。虽然没有人要求我们一定要保证这些IIS Lockdown日志文件和元数据备份文件的安全，但如果要手工撤销IIS Lockdown所做的操作，或者需要重新安装OS，那就要用到这些文件。因此，最好把这些文件复制到另一个磁盘，或者把它们保存到另一个服务器。

表二：IIS Lockdown日志和元数据备份文件
.log或.md0文件	说明
oblt-log.log	IIS Lockdown为了提高服务器安全性而执行的一系列操作的清单。
oblt-rep.log	加锁过程的一个简短总结。加锁过程结束后，点击View Report按钮可以看到这个文件。
oblt-undo.log	IIS Lockdown为了撤销加锁操作而采取的一系列动作的清单。
metaback\oblt-mb.md0	IIS元数据的备份文件。
metaback\oblt-beforeundo-mb.md0	在IIS Lockdown Undo命令恢复元数据备份之前备份的IIS元数据。

　　如果在正式为用户提供服务的机器上运行IIS Lockdown，一定要安排在正常的关机维护期间进行。IIS Lockdown开始执行修改操作时会关闭Web服务，安排在正常的维护期间进行修改可以避免给用户带来不必要的麻烦。

　　四、尝尝后悔药

　　只要能够找到oblt-log.log文件，IIS Lockdown就给你后悔的机会。如果你打算让服务器采用一种新的IIS Lockdown配置，首先必须撤销前一次操作，然后再启动IIS Lockdown，按照新的配置运行向导。如果已经在前一次加锁操作时删除了不必要的服务，那就必须用控制面板中的添加/删除程序功能重新安装服务。类似地，如果已经在加锁过程中安装了URLScan，也要用添加/删除程序功能删除它

延伸阅读

文章来源于领测软件测试网 https://www.ltesting.net/