很多公司使用以下這兩個(gè)步驟為它們基于 Windows 2000 的網(wǎng)絡(luò)服務(wù)器來做組態(tài)：（1）安裝 IIS 5.0、（2）不再理它。如果僅只于此的話，何不來個(gè)第三步驟：祈禱。

對于 IIS 5.0，Microsoft 針對安全性和可存取性/可用性（accessibility/usability）兩方面做了很好的折衷，一般認(rèn)為更傾向于后者。Data Return Corporation 的高級(jí)信息安全工程師 Alexandra Nosratinia 說，與諸如Apache 等服務(wù)器相比，IIS 的圖形使用者接口（GUI）使管理和解決問題變得容易了，網(wǎng)站架設(shè)也非�？焖�。有了 IIS 的圖形使用者接口，甚至可以不再需要專家的幫助。但要了解的是，容易用的系統(tǒng)并不代表是安全的系統(tǒng)。

如果選擇 IIS 的預(yù)設(shè)組態(tài)（default configuration），你就是在自找麻煩。加強(qiáng)安全性雖然是你的責(zé)任，不過Microsoft 為此提供了充足的信息來幫助你。

從 Microsoft 的IIS 5.0 安全性檢查清單開始吧！它收錄了許多簡單易懂的步驟，幫助保護(hù) Windows 2000 系列的網(wǎng)站服務(wù)器免受絕大多數(shù)的攻擊。在這個(gè)清單中能夠找到的信息包括以下實(shí)用的主題：

在入侵者突破了防火墻的情況下配置 IPSec 策略。
通過限制來隔絕那些可以存取 Telnet 服務(wù)器的用戶以達(dá)到保護(hù)服務(wù)器的目的。
為服務(wù)器的虛擬目錄設(shè)置適當(dāng)?shù)拇嫒】刂啤?br>進(jìn)行日志記錄，并在日志文件（log files）中設(shè)置適當(dāng)?shù)臋?quán)限。
如果合適的話，為 IP 地址和 DNS 地址做權(quán)限。
更新網(wǎng)絡(luò)服務(wù)器上的 Root CA 證書。
移除 IIS 中所有的示范應(yīng)用程序。
移除所有不必要的 COM 組件，例如 File System Object。
從 IIS 4.0 升級(jí)以后，移除 IISADMPWD 虛擬目錄。
移除無用的應(yīng)用程序?qū)��?yīng)（script mappings），例如 IDC 或 HTR。
在 ASP 程序代碼中檢查窗體輸入，以防止惡意輸入。
在 IIS 5.0 中禁用 Parent Paths 選項(xiàng)。
禁用 Content-Location 文件的表頭信息，以免泄露地址。
如果你熟悉為 IIS 4.0 提供的類似檢查清單，你會(huì)注意到 IIS 5.0 的版本簡短了許多。這是因?yàn)?Microsoft 把很多 IIS 4.0 清單中的配置（setting）移到了為 Windows 2000 準(zhǔn)備的新的Hisecweb.inf 安全模板中。下載該模板并用在你的服務(wù)器上。另外，也有很多在IIS 4.0 清單中屬于建議的配置，現(xiàn)在已成了 IIS 5.0 中預(yù)設(shè)的配置。