雖說(shuō)IIS的安全性不如apache，但是它的操作要比apache簡(jiǎn)單的多，而且安全性是可以通過科學(xué)合理的設(shè)置來(lái)提高的。IIS6.0的權(quán)限主要有兩個(gè)地方，一是IIS安裝的根目錄訪問權(quán)限；二是默認(rèn)網(wǎng)站的主目錄的權(quán)限。

IIS6.0根目錄訪問權(quán)限設(shè)置

首先主目錄不能允許everyone可以訪問，另外對(duì)于匿名用戶所對(duì)應(yīng)的Internet來(lái)賓賬號(hào)（IUSR_xxxxxxx）不能給予過高的權(quán)限。

IIS面板—右鍵默認(rèn)網(wǎng)站—權(quán)限

IIS根目錄權(quán)限，注意看是不要有everyone的權(quán)限，其他的用戶除了Administrators和system也不要給太高的權(quán)限，如來(lái)賓賬戶，IIS WPG；

IIS6.0主目錄設(shè)置

IIS面板—默認(rèn)網(wǎng)站—右鍵屬性—主目錄

主目錄設(shè)置平時(shí)都見得多，下面主要分析下這些權(quán)限的功能及作用

（1）腳本資源訪問

具有該權(quán)限，客戶端就可以瀏覽網(wǎng)頁(yè)的源代碼，所以這項(xiàng)權(quán)限一般不啟用。

（2）讀取

這是一項(xiàng)基本權(quán)限，具有該權(quán)限，客戶端才可以瀏覽網(wǎng)頁(yè)。

（3）寫入

具有該權(quán)限，客戶端就可以上傳或修改網(wǎng)頁(yè)，一般不啟用。

（4）目錄瀏覽

具有該權(quán)限，客戶端就可以瀏覽某個(gè)目錄中的網(wǎng)頁(yè)文件，一般不啟用。

（5）記錄訪問、索引資源

這兩項(xiàng)權(quán)限跟安全性關(guān)系不大，一般都是默認(rèn)打勾的。

（6）“無(wú)”權(quán)限

目錄沒有任何執(zhí)行權(quán)限，客戶端就無(wú)法在目錄中執(zhí)行腳本文件，而只能瀏覽靜態(tài)網(wǎng)頁(yè)或圖片。

對(duì)于網(wǎng)站中的上傳目錄，一定要將其執(zhí)行權(quán)限設(shè)為“無(wú)”，這樣黑客即使上傳了ASP等腳本程序或者exe 程序，也不會(huì)在用戶瀏覽器里觸發(fā)執(zhí)行。

（7）“純腳本”權(quán)限

客戶端可以在目錄中執(zhí)行腳本文件，但是不能執(zhí)行exe 可執(zhí)行程序。

對(duì)于ASP或PHP腳本文件所在目錄應(yīng)給予“純腳本”的執(zhí)行權(quán)限。

（8）純腳本和可執(zhí)行程序

客戶端可以執(zhí)行任意程序，包括 exe 可執(zhí)行程序，如果目錄同時(shí)有“寫入”權(quán)限的話，那么就很容易被人上傳并執(zhí)行木馬程序了。所以這項(xiàng)執(zhí)行權(quán)限一般很少設(shè)置。