（注：ntfs文件系统下讨论下面的问题）

把internet用户权限设置了。
iis带的虚拟目录不用的删 查阅了几个 是IISHelp、IISAdmin、IISSamples、MSADC 可以尝试看下。
没用的服务 ，也不用加了 全都禁用。把不用的iis主件都去掉。
留个asp映射 ，这个常用，不常用的映射不要。
为Web 站点上不同类型的文件都建立目录，然后给它们分配适当权限。
例如：静态文件文件夹允许读、拒绝写，ASP脚本文件夹允许执行、拒绝写和读取，EXE等可执行程序允许执行、拒绝读写

把数据库设置为非web目录,名称无所谓,如果进行上面的操作
把日志访问权限设置为管理员。把路径也改了。
所有的盘都Administrators组和system完全控制，别的帐号不给权限。
C:\Program Files\Common Files让internet帐号可以读取，读取和运行，列出文件和目录就可以了。
cmd也改下名。
数据不要修改ASP的,这样不但防不了下载,还可以被插入木马.

数据库设为站点上级目录,这样在HTTP路径就访问不到了.另外再加一个MDB的映射.这样数据库就基本安全了,与其说基本,是没有绝对安全的缘故.技术在发展,偶们在努力!


总体思路: 最小的服务=最大的安全.不用的映射删, 不用的服务禁止,不用的端口封.

          用的东西 设置权限和修改路径.

微软的产品升级快，多看管方站点吧。
在装个iis插件SecureIIS，屏蔽一些参数（post和get这样的，避免流行的sql注入漏洞。）
在弄个微软出的IIS Lockdown Tool工具。
\\技术很菜 希望交流 联系方式  擦身魅力魅力@126.com