如何验证 IIS Lockdown 工具已经运行

如何验证 IIS Lockdown 工具已经运行

问：我应该如何在 Windows 2000 Server 上验证 IIS Lockdown 工具已经运行？

答：报告这个工具已经运行是一件事情，而报告它仍在起作用又是另外一回事情。换句话说，当首次运行 Lockdown 工具时，会创建某些特定的文件和设置，您可以据此判断服务器上曾经运行过 Lockdown 工具。但是，您可以很方便地运行这个工具，也可以同样方便地撤销它。因此，如果您要确定这个工具仍在起作用，仅仅验证服务器上曾经运行过这个工具是不够的。

如果以下任何一项条件成立，则表明 Lockdown 工具已经运行：

•	存在本地组 Web Anonymous Users 和 Web Applications。如果运行了这个工具，那么会创建这些组，但是如果再次运行这个工具以撤销锁定时，这些组并不会删除。
•	<%系统根目录%>\system32\inetsrv文件夹中有日志文件 oblt-log.log 和 oblt-rep.log。为了测试是否仍处于锁定状态，可以检查是否存在 oblt-undo.log 和 oblt-undone.log 文件。如果这些文件不存在，或是它们存在，而且日期和时间早于 oblt-log.log，则表明仍处于锁定状态。
•	存在注册表项 HKLM\Software\Microsoft\IIS Lockdown Wizard。

另外，Microsoft Baseline Security Analyzer 也可以报告本地或远程 IIS 服务器上是否运行了 Lockdown 工具，但是它不能报告这个工具是否已经撤销。