1 站點的Web匿名訪問用戶的權限設置，遵循“最小權限滿足最大安全”的準則。

　　●只讀的目錄只給read權限

　　●需要上傳圖片的目錄和Access數據庫文件存放的目錄，以及任何需要寫入文件的地方，給read和write權限

　　●嚴禁給Execute權限

　　●一般情況下不給list權限

　　2、IIS裏面刪除所有不需要的擴展名映射（例如.idq、.ida等等）

　　3、每個站點自定義Web匿名訪問用戶，該用戶從屬於guest組，且除了相應的NTFS權限以外，無任何額外的登陸、執行權限。

　　4、對SQL Server數據庫，嚴禁在Web程序中使用sa以及其他系統管理員組中的用戶登錄；

　　5、SQL Server數據庫中該刪除的危險的擴展存儲過程一定要刪除；

　　6、日誌、Web根目錄、數據庫文件夾所在位置自定義；

　　7、對於只需要Web匿名訪問用戶讀寫但不需要進行http訪問的文件、文件夾，放置到web目錄以外。

　　8、修改站點文件的時候，禁止將.bak文件傳到文件夾中。

　　9、對於管理目錄或者企業機密目錄，放置robot.txt文件與搜索引擎直接對話，禁止搜索引擎搜索。

　　10、根據需要設置IIS允許的帶寬、最大連接數、最大CPU佔用等等。

　　11、可以考慮採用 ISAPI_Rewrite 實現傳參過程的隱蔽。再結合Web反相代理（例如：Squid、ISA Server）設置緩存策略。可以在響應效率、安全性上有很大的提升。

　　12、對於上傳目錄，將IIS中執行許可中的腳本執行改為無。

　　13、視情況設置允許、拒絕訪問的IP地址或IP段。

　　先粗淺地談這麼點了，想起別的了再補充。歡迎有管理虛擬主機經驗的人補充意見 IIS服務器應用技巧 。