GET、HEAD、POST

（3）[DenyVerbs]節配置

如果UseAllowVerbs設置為0，此節設置的所有請求將拒絕，一般設置以下請求：

PROPFIND、PROPPATCH、MKCOL、DELETE、PUT、COPY、MOVE、LOCK、UNLOCK

（4）[AllowExtensions]節設置

在這一節設置的所有擴展名文件將被允許請求，一般設置以下請求：

.asp、.htm、.html、.txt、.jpg、.jpeg、.gif，如果需要提供文件下載服務，需要增加.rar、.zip

（5）[DenyExtensions]節設置

在這一節設置的所有擴展名文件請求將被拒絕，根據已經發現的漏洞，我們可以在這一節增加內容，一般為以下設置：
.asa、可執行文件、批處理文件、日志文件、罕見擴展如：shtml、.printer等。

三、總結

以上兩個工具功能強大，可以真正實現對IIS的保護。IIS Lock Tool簡單，相對而言，只是被動的防衛；UrlScan設置比較難，建議對IIS非常熟悉的管理員使用，只要設置得當，UrlScan的功能更加強大。在使用UrlScan的時候，切記不要設置一次萬事大吉，需要不停跟蹤新出現的漏洞，隨時修改URLScan的配置文件。

3。高級篇：NT/2000的高級安全設置

1.禁用空連接，禁止匿名獲得用戶名列表

Win2000的默認安裝允許任何用戶通過空用戶得到系統所有賬號/共享列表，這個本來是為了方便局域網用戶共享文件的，但是一個遠程用戶也可以得到你的用戶列表并使用暴力法破解用戶密碼。很多朋友都知道可以通過更改注冊表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1來禁止139空連接，實際上win2000的本地安全策略（如果是域服務器就是在域服務器安全和域安全策略中）就有這樣的選項RestrictAnonymous（匿名連接的額外限制），這個選項有三個值： 0：None. Rely on default permissions（無，取決于默認的權限 1 ：Do not allow enumeration of SAM accounts and shares（不允許枚舉SAM帳號和共享）

2：No access without explicit anonymous permissions（沒有顯式匿名權限就不允許訪問） 0這個值是系統默認的，什么限制都沒有，遠程用戶可以知道你機器上所有的賬號、組信息、共享目錄、網絡傳輸列表(NetServerTransportEnum等等，對服務器來說這樣的設置非常危險。 1這個值是只允許非NULL用戶存取SAM賬號信息和共享信息。 2這個值是在win2000中才支持的，需要注意的是，如果你一旦使用了這個值，你的共享估計就全部完蛋了，所以我推薦你還是設為1比較好。 好了，入侵者現在沒有辦法拿到我們的用戶列表，我們的賬戶安全了