雖說IIS的安全性不如apache，但是它的操作要比apache簡單的多，而且安全性是可以通過科學合理的設置來提高的。IIS6.0的權限主要有兩個地方，一是IIS安裝的根目錄訪問權限；二是默認網站的主目錄的權限。

IIS6.0根目錄訪問權限設置

首先主目錄不能允許everyone可以訪問，另外對于匿名用戶所對應的Internet來賓賬號（IUSR_xxxxxxx）不能給予過高的權限。

IIS面板—右鍵默認網站—權限

IIS根目錄權限，注意看是不要有everyone的權限，其他的用戶除了Administrators和system也不要給太高的權限，如來賓賬戶，IIS WPG；

IIS6.0主目錄設置

IIS面板—默認網站—右鍵屬性—主目錄

主目錄設置平時都見得多，下面主要分析下這些權限的功能及作用

（1）腳本資源訪問

具有該權限，客戶端就可以瀏覽網頁的源代碼，所以這項權限一般不啟用。

（2）讀取

這是一項基本權限，具有該權限，客戶端才可以瀏覽網頁。

（3）寫入

具有該權限，客戶端就可以上傳或修改網頁，一般不啟用。

（4）目錄瀏覽

具有該權限，客戶端就可以瀏覽某個目錄中的網頁文件，一般不啟用。

（5）記錄訪問、索引資源

這兩項權限跟安全性關系不大，一般都是默認打勾的。

（6）“無”權限

目錄沒有任何執行權限，客戶端就無法在目錄中執行腳本文件，而只能瀏覽靜態網頁或圖片。

對于網站中的上傳目錄，一定要將其執行權限設為“無”，這樣黑客即使上傳了ASP等腳本程序或者exe 程序，也不會在用戶瀏覽器里觸發執行。

（7）“純腳本”權限

客戶端可以在目錄中執行腳本文件，但是不能執行exe 可執行程序。

對于ASP或PHP腳本文件所在目錄應給予“純腳本”的執行權限。

（8）純腳本和可執行程序

客戶端可以執行任意程序，包括 exe 可執行程序，如果目錄同時有“寫入”權限的話，那么就很容易被人上傳并執行木馬程序了。所以這項執行權限一般很少設置。