（4）配置文件修改以后，必須重新啟動IIS，使配置生效；

（5）配置文件由以下各節組成：

[Option]節，主要設置節；
[AllowVerbs]節，配置認定為合法URL規則設定，此設定與Option節有關；
[DenyVerbs]節，配置認定為非法URL規則設定，此設定與Option節有關；
[DenyHeaders]節，配置認定為非法的header在設立設置；
[AllowExtensions]節，配置認定為合法的文件擴展名在這里設置，此設定與Option節有關；
[DenyExtensions]節，配置認定為非法的文件擴展名在這里設置，此設定與Option節有關；

２、具體配置

（1）Option節的配置，因為Option節的設置直接影響到以后的配置，因此，這一節的設置特別重要。此節主要進行以下屬性的設置：

UseAllowVerbs：使用允許模式檢查URL請求，如果設置為1,所有沒有在[AllowVerbs]節設置的請求都被拒絕；如果設置為0，所有沒有在[DenyVerbs]設置的URL請求都認為合法；默認為1;

UseAllowExtensions：使用允許模式檢測文件擴展名；如果設置為 1,所有沒在[AllowExtensions]節設置的文件擴展名均認為是非法請求；如果設置為0,所有沒在[DenyExtensions]節設置的擴展名均被認為是合法請求；默認為0;

EnableLogging：是否允許使用Log文件，如果為1,將在urlscan.dll的相同目錄設置名為urlscan.log的文件記錄所有過濾；

AllowLateScanning：允許其他URL過濾在URLScan過濾之前進行，系統默認為不允許0;

AlternateServerName：使用服務名代替；如果此節存在而且[RemoveServerHeader]節設置為0,IIS將在這里設置的服務器名代替默認的“Server”；

NormalizeUrlBeforeScan：在檢測URL之前規格化URL；如果為1，URLScan將在IIS編碼URL之前URL進行檢測；需要提醒的是，只有管理員對URL解析非常熟悉的情況下才可以將其設置為0；默認為1；

VerifyNormalization：如果設置為1，UrlScan將校驗URL規則，默認為1；此節設定與NormalizeUrlBeforeScan有關；

AllowHighBitCharacters：如果設置為1,將允許URL中存在所有字節，如果為0，含有非ASCII字符的URL將拒絕；默認為1；

AllowDotInPath：如果設置為1，將拒絕所有含有多個“.”的URL請求，由于URL檢測在IIS解析URL之前，所以，對這一檢測的準確性不能保證，默認為0；

RemoveServerHeader：如果設置為1，將把所有應答的服務頭清除，默認為0;

（2）[AllowVerbs]節配置

如果UseAllowVerbs設置為1,此節設置的所有請求將被允許，一般設置以下請求：