沒有任何系統是100%安全的，系統漏洞會不斷地發現，這是因為黑客和系統管理員一樣也在整天看著新聞組，收集著這方面的信息。黑與反黑之間的戰斗會永遠進行下去。Web 服務器通常是各種安全攻擊的目標。其中一些攻擊非常嚴重，足以對企業資產、工作效率和客戶關系造成相當的破壞—所有攻擊都會帶來不便和麻煩。Web 服務器的安全是企業成功的關鍵。
初次安裝 IIS 6.0 時，Web 服務器僅服務于或顯示靜態網頁 (HTML)，這降低了服務于動態網頁或可執行文件、內容而帶來的風險。默認情況下禁用 ASP 和 ASP.NET。由于 IIS 6.0 的默認設置禁用了 Web 服務通常使用的許多功能，所以，如何在降低服務器暴露給潛在攻擊者的程度，同時配置 Web 服務器的其他功能呢？
一、減少 Web 服務器的攻擊面，通過減少 Web 服務器的攻擊面，或者降低服務器暴露給潛在攻擊者的程度，來開始保護 Web 服務器的過程。例如，僅啟用 Web 服務器正常運行所必需的組件、服務和端口：
1、        禁用面向 Internet 連接上的 SMB：開始---設置---控制面板---網絡連接---本地連接---屬性---清除“Microsoft 網絡客戶端”復選框---清除“Microsoft 網絡的文件和打印機共享”復選框，然后單擊“確定”。
SMB 使用的端口：
TCP 端口 139、TCP 和 UDP 端口 445 (SMB Direct Host)
   2、禁用基于 TCP/IP 的 NetBIOS：我的電腦---屬性---硬件---設備管理”器---單擊查看---顯示隱藏的設備---雙擊非即插即用驅動程序---右鍵單擊“NetBios over Tcpip”---停用
        NetBIOS 使用的端口：
          TCP 和 UDP 端口 137（NetBIOS 命名服務）、TCP 和 UDP 端口 138（NetBIOS 數據報服務）、TCP 和 UDP 端口 139（NetBIOS 會話服務）
上述過程不僅禁用 TCP 端口 445 和 UDP 端口 445 上的 SMB 直接宿主偵聽者，而且禁用 Nbt.sys 驅動程序，并需要重新啟動系統。
3、配置 IIS 組件和服務，只選擇基本的 IIS 組件和服務。IIS 6.0 除了包括 WWW 服務之外，還包括一些子組件和服務，例如 FTP 服務和 SMTP 服務。為了最大限度地降低針對特定服務和子組件的攻擊風險，建議您只選擇網站和 Web 應用程序正確運行所必需的服務和子組件。開始---控制面板--- 添加或刪除程序---添加/刪除 Windows 組件---應用程序服務器單擊詳細信息--- Internet 信息服務 (IIS)單擊詳細信息---然后通過選擇或清除相應組件或服務的復選框，來選擇或取消相應的 IIS 組件和服務。
IIS 子組件和服務的推薦設置：
禁用：后臺智能傳輸服務 (BITS) 服務器擴展；FTP 服務；FrontPage 2002 Server Extensions；Internet 打印；NNTP 服務
啟用：公用文件；Internet 信息服務管理器；萬維網服務

二、建議您刪除未使用的帳戶，因為攻擊者可能發現這些帳戶，然后利用這些帳戶來獲取您服務器上的數據和應用程序的訪問權。始終使用強密碼，因為弱密碼增加了成功進行強力攻擊或字典攻擊（即攻擊者竭盡全力地猜密碼）的可能性。使用以最低特權運行的帳戶。否則，攻擊者可以通過使用以高級特權運行的帳戶來獲取未經授權的資源的訪問權。
1、禁用來賓帳戶（Guest），采用匿名連接來訪問 Web 服務器時，使用來賓帳戶。在默認安裝 Windows Server 2003 時，禁用來賓帳戶。 要限制對服務器的匿名連接，請確保禁用來賓帳戶。
2、重命名管理員帳戶，默認的本地管理員帳戶因其在計算機上的更高特權而成為惡意用戶的目標。要增強安全性，請重命名默認的管理員帳戶并分配一個強密碼。
3、重命名 IUSR 帳戶，默認的匿名 Internet 用戶帳戶 IUSR_ComputerName 是在 IIS 安裝期間創建的。ComputerName 的值是安裝 IIS 時服務器的 NetBIOS 名稱。
4、在 IIS 元數據庫中更改 IUSR 帳戶的值：單擊“開始”，單擊“控制面板”，再單擊“管理工具”，然后雙擊“Internet 信息服務 (IIS) 管理器”， 右鍵單擊“本地計算機”，然后單擊“屬性”。 選中“允許直接編輯配置數據庫”復選框，然后單擊“確定”。 瀏覽至 MetaBase.xml 文件的位置，默認情況下為 C:\Windows\system32\inetsrv。右鍵單擊 MetaBase.xml 文件，然后單擊“編輯”。 搜索“AnonymousUserName”屬性，然后鍵入 IUSR 帳戶的新名稱。在“文件”菜單上，單擊“退出”，然后單擊“是”。

三、使用應用程序池來隔離應用程序，使用 IIS 6.0，可以將應用程序隔離到應用程序池。應用程序池是包含一個或多個 URL 的一個組，一個工作進程或者一組工作進程對應用程序池提供服務。因為每個應用程序都獨立于其他應用程序運行，因此，使用應用程序池可以提高 Web 服務器的可靠性和安全性。在 Windows 操作系統上運行進程的每個應用程序都有一個進程標識，以確定此進程如何訪問系統資源。每個應用程序池也有一個進程標識，此標識是一個以應用程序需要的最低權限運行的帳戶。可以使用此進程標識來允許匿名訪問您的網站或應用程序。
1、創建應用程序池：單擊“開始”，單擊“控制面板”，再單擊“管理工具”，然后雙擊“Internet 信息服務 (IIS) 管理器”。 雙擊本地計算機，右鍵單擊“應用程序池”，單擊“新建”，然后單擊“應用程序池”。 在“應用程序池 ID”框中，為應用程序池鍵入一個新 ID（例如，ContosoAppPool）。在“應用程序池設置”下，單擊“Use default settings for the new application pool”（使用新應用程序池的默認設置），然后單擊“確定”。
2、將網站或應用程序分配到應用程序池：單擊“開始”，單擊“控制面板”，再單擊“管理工具”，然后雙擊“Internet 信息服務 (IIS) 管理器”。 右鍵單擊您想要分配到應用程序池的網站或應用程序，然后單擊“屬性”。 根據您選擇的應用程序類型，單擊“主目錄”、“虛擬目錄”或“目錄”選項卡。如果您將目錄或虛擬目錄分配到應用程序池，則驗證“應用程序名”框是否包含正確的網站或應用程序名稱或者如果在“應用程序名”框中沒有名稱，則單擊“創建”，然后鍵入網站或應用程序的名稱在“應用程序池”列表框中，單擊您想要分配網站或應用程序的應用程序池的名稱，然后單擊“確定”。

四、配置文件和目錄的安全使用強訪問控制來幫助保護敏感的文件和目錄。在多數情況下，允許對特定帳戶的訪問比拒絕對特定帳戶的訪問更加有效。如有可能，請將訪問設置在目錄級。當文件添加到文件夾時，它們繼承文件夾的權限，因此您不需要采取進一步的措施。
1、重新定位和設置 IIS 日志文件的權限，為了增強 IIS 日志文件的安全，您應該將文件重新定位到非系統驅動器，此驅動器格式化為使用 NTFS 文件系統。此位置應該與網站內容的位置不同。單擊“開始”，右鍵單擊“我的電腦”，然后單擊“資源管理器”。 瀏覽至您想要重新定位 IIS 日志文件的位置。右鍵單擊您想要重新定位 IIS 日志文件的上一級目錄，單擊“新建”，然后單擊“文件夾”。 鍵入文件夾的名稱，例如 ContosoIISLogs，然后按 Enter 鍵。單擊“開始”，單擊“控制面板”，再單擊“管理工具”，然后雙擊“Internet 信息服務 (IIS) 管理器”。 右鍵單擊網站，然后單擊“屬性”。 單擊“網站”選項卡，然后單擊“啟用日志記錄”框架中的“屬性”。 在“常規屬性”選項卡中，單擊“瀏覽”，然后導航到您剛才創建的文件夾以存儲 IIS 日志文件，再確定。（注意：如果您在原來的位置 Windows\System32\Logfiles 上有 IIS 日志文件，則必須將這些文件手動移動到新位置。IIS 不為您移動這些文件。）
2、設置 IIS 日志文件的 ACL，單擊“開始”，右鍵單擊“我的電腦”，然后單擊“資源管理器”。 瀏覽至日志文件所在的文件夾。右鍵單擊此文件夾，單擊“屬性”，然后單擊“安全”選項卡。在頂部窗格中，單擊“Administrators”（管理員），確保底部窗格中的權限設置為“完全控制”。 在頂部窗格中，單擊“System”（系統），確保底部窗格中的權限設置為“完全控制”，然后單擊“確定”。
3、配置 IIS 元數據庫權限，單擊“開始”，右鍵單擊“我的電腦”，然后單擊“資源管理器”。 瀏覽至 Windows\System32\Inetsrv\MetaBase.xml 文件，右鍵單擊此文件，然后單擊“屬性”。 單擊“安全”選項卡，確認只有 Administrators 組的成員和 LocalSystem 帳戶擁有對元數據庫的完全控制訪問權，刪除所有其他文件權限，然后單擊“確定”。
4、禁用 FileSystemObject 組件，ASP、Windows 腳本主機和其他編寫腳本的應用程序使用 FileSystemObject (FSO) 組件來創建、刪除、獲取信息以及操縱驅動器、文件夾和文件。可考慮禁用 FSO 組件，但要注意，這也將刪除字典對象。另外，驗證是否沒有其他程序需要這個組件：單擊“開始”，單擊“運行”，在“打開”框中鍵入 cmd，然后單擊“確定”。 切換到 C:\Windows\system32 目錄。在命令提示符處，鍵入 regsvr32 scrrun.dll /u ，然后按 Enter 鍵。出現：DllUnregisterServer in scrrun.dll succeeded，再確定。

五、保護網站和虛擬目錄，將 Web 根目錄和虛擬目錄重新定位到非系統分區，以幫助防御目錄遍歷攻擊。這些攻擊允許攻擊者執行操作系統程序和工具。由于這種攻擊不能遍歷所有驅動器，因此，將網站內容重新定位到另一個驅動器可以增強對這些攻擊的防護。
1、將網站內容移動到非系統驅動器，不要使用默認的 \Inetpub\Wwwroot 目錄作為網站內容的位置。例如，如果系統安裝在 C: 驅動器，則將內容目錄移動到 D: 驅動器，以減輕目錄遍歷攻擊（這種攻擊試圖瀏覽 Web 服務器的目錄結構）帶來的危險。一定要驗證是否所有的虛擬目錄都指向新驅動器。
2、刪除系統驅動器上的網站內容

六、配置網站權限 可以為您的 Web 服務器配置特定站點、目錄和文件的訪問權。這些權限可以應用于所有用戶，無論用戶有何特定的訪問權。

七、配置文件系統目錄的權限 ，IIS 6.0 依靠 NTFS 權限來幫助保護單個文件和目錄不會受到未經授權的訪問。網站權限應用于試圖訪問網站的任何人，與此不同的是，您可以使用 NTFS 權限來定義哪些用戶可以訪問您的內容，以及如何允許這些用戶操作這些內容。為了增強安全性，同時使用網站權限和 NTFS 權限。
1、訪問控制列表 (ACL) 指示哪些用戶或組有訪問或修改特定文件的權限。不是在每個文件上設置 ACL，而是為每種文件類型創建新目錄，在每個目錄上設置 ACL，然后允許文件從它們所在的目錄中繼承這些權限。單擊“開始”，右鍵單擊“我的電腦”，然后單擊“資源管理器”。 瀏覽至包含網站內容的文件，然后單擊網站內容的最上層的文件夾。在“文件”菜單中，單擊“新建”，然后單擊“文件夾”，以便在網站的內容目錄中創建一個新文件夾。為文件夾命名，然后按 Enter 鍵。按 Ctrl 鍵，然后選擇您想要保護的每個網頁。右鍵單擊這些網頁，然后單擊“復制”。 右鍵單擊新文件夾，然后單擊“粘貼”。（ 注意： 如果您已經創建了到這些網頁的鏈接，則必須更新這些鏈接以便反映站點內容的新位置。）
2、設置 Web 內容的權限，單擊“開始”，單擊“控制面板”，再單擊“管理工具”，然后雙擊“Internet 信息服務 (IIS) 管理器”。 右鍵單擊您想要配置的網站的文件夾、網站、目錄、虛擬目錄或文件，然后單擊“屬性”。 根據您想要授權或拒絕訪問的類型，選擇或清除下列任何復選框（如果可用）：
腳本源文件訪問。用戶可以訪問源文件。如果選擇“讀”，則可以讀源文件；如果選擇“寫”，則可以寫源文件。腳本源訪問包括腳本的源代碼。如果“讀”或“寫”均未選擇，則此選項不可用。
讀（默認情況下選擇）。用戶可以查看目錄或文件的內容和屬性。
寫。用戶可以更改目錄或文件的內容和屬性。
目錄瀏覽。用戶可以查看文件列表和集合。
日志訪問。對網站的每次訪問創建日志項。
檢索資源。允許檢索服務檢索此資源。這允許用戶搜索資源。
在“執行權限”列表框中，選擇腳本執行的相應級別：
無。不在服務器上運行腳本和可執行文件（例如，文件類型為 .exe 的文件）。
僅腳本。只在服務器上運行腳本。
腳本和可執行文件。在服務器運行腳本和可執行文件。
單擊“確定”。如果目錄的子節點配置了不同的網站權限，則出現“繼承覆蓋”框。如果出現“繼承覆蓋”框，在“子節點”列表中選擇您想要應用目錄的 Web 權限的子節點或者單擊“全選”來設置屬性，以便將 Web 權限應用到所有子節點。如果您不只看到一個“繼承覆蓋”對話框，則從“子節點”列表中選擇子節點，或者單擊“全選”，然后單擊“確定”，以便將此屬性的 Web 權限應用到子節點。如果一個子節點屬于您已經更改了網站權限的目錄，此節點還為特定選項設置了網站權限，則子節點的權限將覆蓋您為目錄設置的權限。如果您想要將目錄級的 Web 權限應用到子節點，則必須在“繼承覆蓋”框中選擇這些子節點。

八、在 Web 服務器上配置安全套接字層 (SSL) 安全功能，以便驗證內容的完整性，驗證用戶身份并對網絡傳輸加密。SSL 安全依靠服務器證書，此證書允許用戶在傳輸個人信息（例如信用卡帳號）之前驗證 Web 網站的身份。每個網站只能有一個服務器證書。
1、獲取并安裝服務器證書，證書由稱作證書頒發機構 (CA) 的非 Microsoft 組織頒發。服務器證書通常與 Web 服務器有關，尤其與配置了 SSL 的網站有關。您必須生成證書請求，將此請求發送到 CA，然后在接收到 CA 的證書之后安裝此證書。證書依靠一對加密密鑰（一個公鑰和一個私鑰）來確保安全。當您生成服務器證書請求時，您實際上正在生成私鑰。從 CA 接收到的服務器證書包含公鑰。單擊“開始”，右鍵單擊“我的電腦”，然后單擊“管理”。 雙擊“服務和應用程序”部分， 然后雙擊“Internet 信息服務”。 右鍵單擊您想要安裝服務器證書的網站，然后單擊“屬性”。 單擊“目錄安全”選項卡。在“安全通信”部分中，單擊“服務器證書”，以啟動“Web 服務器證書向導”，然后單擊“下一步”。 單擊“創建一個新證書”，然后單擊“下一步”。 單擊“立即準備請求，但稍后發送”，然后單擊“下一步”。 在“名稱”框中，鍵入容易記住的名稱。（默認的名稱是您正在生成證書請求的網站名，例如 [url]http://www.abc.com[/url]）指定位長度，然后單擊“下一步”。 加密密鑰的位長度確定了加密的強度。大多數非 Microsoft CA 都希望您最少選擇 1024 位。在“組織”部分，鍵入您的組織和組織單位信息。確保此信息的準確性，并且“組織”字段中不包含逗號，然后單擊“下一步”。 在“站點的公用名稱”部分，鍵入含域名的宿主計算機的名稱，然后單擊“下一步”。 鍵入您的地理信息，然后單擊“下一步”。 將此文件保存為 .txt 文件。（默認的文件名和位置是 C:\certreq.txt。）以下示例顯示證書請求文件的特征:
-----BEGIN NEW CERTIFICATE REQUEST-----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-----END NEW CERTIFICATE REQUEST-----
確認請求的詳細信息，單擊“下一步”，然后單擊“完成”。
2、        提交服務器證書請求，聯系 CA，查找提交請求的要求。將上述過程中創建的 .txt 文件的內容復制成 CA 要求的請求格式。將請求發送給您的 CA。接收到 CA 的證書后，準備在您的 Web 服務器上安裝此證書。
3、        安裝服務器證書，將證書 (.cer) 文件復制到 C:\Windows\System32\CertLog 文件夾。單擊“開始”，單擊“控制面板”，再單擊“管理工具”，然后雙擊“Internet 信息服務 (IIS) 管理器”。 右鍵單擊您想要安裝服務器證書的網站，然后單擊“屬性”。 單擊“目錄安全”選項卡。在“安全通信”部分中，單擊“服務器證書”，以啟動“Web 服務器證書向導”，然后單擊“下一步”。 單擊“處理掛起的請求并安裝證書”，然后單擊“下一步”。 瀏覽至您接收到的 CA 證書。單擊“下一步”兩次，然后單擊“完成”。
4、        在 Web 服務器上強制和啟用 SSL 連接，
A 、強制SSL連接：安裝服務器證書之后，必須在 Web 服務器上強制 SSL 連接。然后，必須啟用 SSL 連接。單擊“開始”，單擊“控制面板”，再單擊“管理工具”，然后雙擊“Internet 信息服務 (IIS) 管理器”。 右鍵單擊您想要強制 SSL 連接的網站，然后單擊“屬性”。 單擊“目錄安全”選項卡。在“安全通信”部分，單擊“編輯”。 單擊“要求安全通道 (SSL)”，選擇加密長度，然后單擊“確定”。 注意：如果您指定 128 位加密，使用 40 位或 56 位長度瀏覽的客戶端計算機不能與您的站點通信，除非將其瀏覽器升級到支持 128 位加密的版本。
B 、啟用 SSL 連接：單擊“開始”，單擊“控制面板”，再單擊“管理工具”，然后雙擊“Internet 信息服務 (IIS) 管理器”。 鍵單擊您想要啟用 SSL 連接的網站，然后單擊“屬性”。 單擊“網站”選項卡。在“網站標識”部分，驗證“SSL 端口”是否填充了數值 443。然后單擊“高級”。通常出現兩個對話框，在“此網站的多個標識”框中列出此網站 IP 地址和端口。在“此網站的多個 SSL 標識”字段下，如果還沒有列出端口 443，則單擊“添加”。選擇服務器的 IP 地址，在“SSL 端口”框中鍵入數值“443”，然后單擊“確定”。
現在IIS已經安全很多了，但是，黑客會不斷尋找新漏洞來攻破你的系統，所以這種安全性設置只是與黑客進行的第一場戰役。