看到一篇很好的關(guān)于IIS服務(wù)器的安全的博客帖子，

Secure your internet-facing IIS servers! 
http://blogs.msdn.com/adamfazio/archive/2006/08/14/700105.aspx

是針對(duì)忙碌的IT專業(yè)人員的，主要內(nèi)容包括， 

1。使用安全配置向?qū)?Security Configuration Wizard)來(lái)決定web服務(wù)器所需的最小功能，然后禁止其他不需要的功能。具體地說，它能幫你 

• 禁止不需要的服務(wù) 
• 堵住不用的端口 
• 至于打開的端口，對(duì)可以訪問的地址和其他安全做進(jìn)一步的限制 
• 如果可行，禁止不需要的IIS的web擴(kuò)展 
• 減小對(duì)SMB，LAN Manager，和LDAP協(xié)議的顯露 
• 定義一個(gè)高信噪比的對(duì)策

2。把網(wǎng)站文件放在一個(gè)非系統(tǒng)分區(qū)(partition)上，防止directory traversal的缺陷，對(duì)內(nèi)容進(jìn)行NTFS權(quán)限稽查(Audit)

3。對(duì)自己的系統(tǒng)定期做安全掃描和稽查，在別人發(fā)現(xiàn)問題前盡早先發(fā)現(xiàn)自己的薄弱處

4。定期做日志分析，尋找多次失敗的登陸嘗試，反復(fù)出現(xiàn)的404，401，403錯(cuò)誤，不是針對(duì)你的網(wǎng)站的請(qǐng)求記錄等

5。如果使用IIS 6的話，使用Host Headers ，URL掃描，實(shí)現(xiàn)自動(dòng)網(wǎng)站內(nèi)容和IIS Metabase的Replication，對(duì)IUSR_servername帳號(hào)戶使用標(biāo)準(zhǔn)的名稱等

6。總的web架構(gòu)的設(shè)計(jì)思路：別把你的外網(wǎng)web服務(wù)器放在內(nèi)網(wǎng)的活動(dòng)目錄(Active Directory)里，別用活動(dòng)目錄帳號(hào)運(yùn)行IIS匿名認(rèn)證，考慮實(shí)時(shí)監(jiān)測(cè)，認(rèn)真設(shè)置應(yīng)用池設(shè)置，爭(zhēng)取對(duì)任何活動(dòng)做日志記錄，禁止在服務(wù)器上使用Internet Explorer等

同時(shí)該文還提供了很詳細(xì)的參考文獻(xiàn)連接 ,各位有空可以看一下。