點擊“下一步”，進入最后一個IIS Lockdown的選項對話框Additional Security，如圖四所示，通過這個對話框可以刪除不需要的目錄，禁止未經授權的用戶訪問文件系統。IIS安裝好之后會有許多用于開發和學習的虛擬目錄，正式向用戶提供服務的環境不需要這些目錄，IIS Lockdown將刪除圖四對話框中選中的虛擬目錄，但仍會完好地保留這些目錄包含的數據。

圖四

　　默認情況下，IIS會限制對Web內容目錄的匿名訪問，但還應該加上一層對系統工具（如cmd.exe）的保護，以防止未經授權的用戶在系統安全出現漏洞時訪問這些工具。如果選中圖四對話框中的Running system utilities (for example, Cmd.exe, Tftp.exe)檢查框，IIS Lockdown將修改/%windir%目錄及其子目錄下所有執行文件的訪問控制屬性（ACE，Access Control Entry），明確地禁止本地Web匿名用戶組和Web用戶組的運行權限。如果選中Writing to content directories 檢查框，IIS Lockdown還會加強所有Web內容目錄的安全性，即設置ACE，禁止本地Web匿名用戶組和We應用組的寫入權限。

　　圖四窗口底部有一個Disable Web Distributed Authoring and Versioning（WebDAV）選項，即禁用Web分布式創作和版本控制。WebDAV功能用來支持遠程Web內容創作和管理，如果確實不必用到該功能，那就可以選中Disable Web Distributed Authoring and Versioning檢查框。選中該選項之后，IIS Lockdown將設置httpext.dll（實現WebDAV功能的執行文件）的ACE，禁止將httpext.dll文件裝入inetinfo.exe的進程，從而也就禁止了WebDAV功能。

　　點擊圖四對話框的“下一步”，IIS Lockdown將詢問是否要安裝URLScan，如圖五。如果要用篩選器來禁止IIS處理某些可能有惡意的URL，即經常被黑客用來攻擊系統的URL，那就可以用URLScan作為守衛IIS的前門（即篩選器）。本文不準備詳細介紹URLScan，請訪問http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/tools/urlscan.asp了解更多有關URLScan的說明。

圖五