雖說IIS的安全性不如apache，但是它的操作要比apache簡單的多，而且安全性是可以通過科學(xué)合理的設(shè)置來提高的。IIS6.0的權(quán)限主要有兩個地方，一是IIS安裝的根目錄訪問權(quán)限；二是默認網(wǎng)站的主目錄的權(quán)限。

IIS6.0根目錄訪問權(quán)限設(shè)置

首先主目錄不能允許everyone可以訪問，另外對于匿名用戶所對應(yīng)的Internet來賓賬號（IUSR_xxxxxxx）不能給予過高的權(quán)限。

IIS面板—右鍵默認網(wǎng)站—權(quán)限

IIS根目錄權(quán)限，注意看是不要有everyone的權(quán)限，其他的用戶除了Administrators和system也不要給太高的權(quán)限，如來賓賬戶，IIS WPG；

IIS6.0主目錄設(shè)置

IIS面板—默認網(wǎng)站—右鍵屬性—主目錄

主目錄設(shè)置平時都見得多，下面主要分析下這些權(quán)限的功能及作用

（1）腳本資源訪問

具有該權(quán)限，客戶端就可以瀏覽網(wǎng)頁的源代碼，所以這項權(quán)限一般不啟用。

（2）讀取

這是一項基本權(quán)限，具有該權(quán)限，客戶端才可以瀏覽網(wǎng)頁。

（3）寫入

具有該權(quán)限，客戶端就可以上傳或修改網(wǎng)頁，一般不啟用。

（4）目錄瀏覽

具有該權(quán)限，客戶端就可以瀏覽某個目錄中的網(wǎng)頁文件，一般不啟用。

（5）記錄訪問、索引資源

這兩項權(quán)限跟安全性關(guān)系不大，一般都是默認打勾的。

（6）“無”權(quán)限

目錄沒有任何執(zhí)行權(quán)限，客戶端就無法在目錄中執(zhí)行腳本文件，而只能瀏覽靜態(tài)網(wǎng)頁或圖片。

對于網(wǎng)站中的上傳目錄，一定要將其執(zhí)行權(quán)限設(shè)為“無”，這樣黑客即使上傳了ASP等腳本程序或者exe 程序，也不會在用戶瀏覽器里觸發(fā)執(zhí)行。

（7）“純腳本”權(quán)限

客戶端可以在目錄中執(zhí)行腳本文件，但是不能執(zhí)行exe 可執(zhí)行程序。

對于ASP或PHP腳本文件所在目錄應(yīng)給予“純腳本”的執(zhí)行權(quán)限。

（8）純腳本和可執(zhí)行程序

客戶端可以執(zhí)行任意程序，包括 exe 可執(zhí)行程序，如果目錄同時有“寫入”權(quán)限的話，那么就很容易被人上傳并執(zhí)行木馬程序了。所以這項執(zhí)行權(quán)限一般很少設(shè)置。