看到一篇很好的關于IIS服務器的安全的博客帖子，

Secure your internet-facing IIS servers! 
http://blogs.msdn.com/adamfazio/archive/2006/08/14/700105.aspx

是針對忙碌的IT專業人員的，主要內容包括， 

1。使用安全配置向導(Security Configuration Wizard)來決定web服務器所需的最小功能，然后禁止其他不需要的功能。具體地說，它能幫你 

• 禁止不需要的服務 
• 堵住不用的端口 
• 至于打開的端口，對可以訪問的地址和其他安全做進一步的限制 
• 如果可行，禁止不需要的IIS的web擴展 
• 減小對SMB，LAN Manager，和LDAP協議的顯露 
• 定義一個高信噪比的對策

2。把網站文件放在一個非系統分區(partition)上，防止directory traversal的缺陷，對內容進行NTFS權限稽查(Audit)

3。對自己的系統定期做安全掃描和稽查，在別人發現問題前盡早先發現自己的薄弱處

4。定期做日志分析，尋找多次失敗的登陸嘗試，反復出現的404，401，403錯誤，不是針對你的網站的請求記錄等

5。如果使用IIS 6的話，使用Host Headers ，URL掃描，實現自動網站內容和IIS Metabase的Replication，對IUSR_servername帳號戶使用標準的名稱等

6。總的web架構的設計思路：別把你的外網web服務器放在內網的活動目錄(Active Directory)里，別用活動目錄帳號運行IIS匿名認證，考慮實時監測，認真設置應用池設置，爭取對任何活動做日志記錄，禁止在服務器上使用Internet Explorer等

同時該文還提供了很詳細的參考文獻連接 ,各位有空可以看一下。