IIS安全配置主要有3个方面需要注意

　　设置主目录权限

　　删除不需要的扩展名映射

　　删除危险的IIS组件

　　安装IIS时应该注意只安装必需的服务，建议不要安装 Index Server、FrontPage Server Extensions、示例WWW站点等功能。

　　关闭不必要的服务，服务开的多不是好事，将不必要的服务通通关掉，特别是连管理员都不知道的和一些危险的服务，免得给系统带来灾难，同时也能节约一些系统资源。可在服务器上关闭以下服务：

　　Computer Browser：维护网络上计算机的最新列表，以及提供这个列表

　　Task scheduler：允许程序在指定时间运行

　　Routing and Remote Access：在局域网及广域网环境中为企业提供路由服务。

　　Removable storage：管理可移动媒体、驱动程序和库。

　　Remote Registry Service：允许远程注册表操作

　　Print Spooler：将文件加载到内存中以便以后打印。要用打印机的朋友不能禁用这项。

　　Distributed Link Tracking Client：当文件在网络域的NTFS卷中移动时发送通知。

　　Com+ Event System：提供事件的自动发布到订阅COM组件。

　　Alerter：通知选定的用户和计算机管理警报。

　　Messenger：传输客户端和服务器之间的NET SEND和警报器服务消息。

　　Telnet：允许远程用户登录到此计算机并运行程序。

　　打开IIS管理器，删除“默认WEB站点”及其下的所有目录，并且将磁盘上这些文件全部删除。在非系统分区建立WEB根目录，如在D盘创建“WebMain”作为站点的根目录。

　　打开IIS管理器，右键单击左侧列表中的“网站”，在弹出的菜单中选择“新建/网站”命令，按向导的提示选择上一步创建的目录作为站点根目录。

　　右键单击新创建的站点名称，在弹出的菜单中选择“属性”命令，弹出“站点属性设置”对话框，选择“主目录”选项卡，史选中“读取”复选框，并在下方的“执行权限”中选择“纯脚本”。需要注意的是，在安装操作系统service pack以后，IIS的应用程序映射应重新设置。因为安装新的 service pack后，某些应用程序映射又会重新出现，导致出现安全漏洞。这是较易疏忽的一个问题。

　　在“主目录”选项卡中，单击“配置”按钮，弹出“应用程序配置”对话框，在“映射”选项卡中删除不必要的IIS扩展名映射，如.idc .hrt .stm .ida .htw .shtml .shtm等。如果服务器只使用ASP，则可将除.asp和.asa之外的全部删除。

　　接下来限制危险组件的运行。如果在服务器端做好文件系统和用户账户的权限设置，FSO、XML、Stream都应该是安全组件，因为它们都没有跨出自己的文件夹或者站点的权限。最危险的组件是WSH和Shell，因为它们可以运行服务器硬盘里的EXE等程序，因此应该将其删除。可使用以下代码删除这两个组件：

　　复制代码 代码如下:

　　regsvr32/u c:\系统文件夹\system32\wshom.ocx

　　regsvr32/u c:\系统文件夹\system32\shell32.dll

　　del c:\系统文件夹\system32\wshom.ocx

　　del c:\系统文件夹\system32\shell32.dll (注：一般无法删除，只需反注册即可)