为虚拟目录设置适当的 ACL虽然此步骤从某种程度上来说取决于应用程序，但一些主要规则仍然适用，如表 F-1 所示。
文件类型

 访问控制列表

 CGI (.exe, .dll, .cmd, .pl)
 Everyone (X)

Administrators（完全控制）
System（完全控制）
脚本文件 (.asp)
Everyone (X)
Administrators（完全控制）
System（完全控制）
包含文件 (.inc, .shtm, .shtml)
 Everyone (X)
Administrators（完全控制）
System（完全控制）

静态内容 (.txt, .gif, .jpg, .html)

Everyone (R)

Administrators（完全控制）

System（完全控制）

推荐使用的各文件类型的默认 ACL

与为每一个文件单独设置 ACL 相比，更好的办法是为每一种文件类型创建新的目录，在这些目录上设置 ACL，并允许 ACL 继承到文件。例如，目录结构可能如下所示：

c:\inetpub\wwwroot\myserver\static (.html)
c:\inetpub\wwwroot\myserver\include (.inc)
c:\inetpub\wwwroot\myserver\script (.asp)
c:\inetpub\wwwroot\myserver\executable (.dll)
c:\inetpub\wwwroot\myserver\images (.gif, .jpeg)
此外，有两个目录需要特别注意：

c:\inetpub\ftproot (FTP server)
c:\inetpub\mailroot (SMTP server)
这两个目录上的 ACL 都是“Everyone（完全控制）”，应当根据您的功能级别覆盖为更加严格的设置。如果要支持“Everyone（写入）”，请将该文件夹放置到与 IIS 服务器不同的卷中，或者使用 Windows 2000 磁盘空间配额来限制可以写入这些目录的数据量。

设置适当的 IIS 日志文件 ACL
请确保 IIS 生成的日志文件 (%systemroot%\system32\LogFiles) 上的 ACL 是：

Administrators（完全控制）
System（完全控制）
Everyone (RWC)
这有助于防止恶意用户删除文件以掩饰他们的踪迹。

启用日志记录
当您希望确定服务器是否正受到攻击时，日志记录是非常重要的。应当通过下列步骤使用 W3C 扩展日志记录格式：

加载 Internet Information Services 工具。
右键单击怀疑有问题的站点，然后从上下文菜单中选择“属性”。
单击“网站”选项卡。
选中“启用日志”复选框。
从“活动日志格式”下拉列表中选择“W3C 扩展日志文件格式”。
单击“属性”。
单击“扩展属性”选项卡，然后设置下列属性：
客户端 IP 地址
用户名
方法
URI 资源
HTTP 状态
Win32 状态
用户代理
服务器 IP 地址
服务器端口
仅当您将多个 Web 服务器设置在同一计算机上时，后两个属性才有用。Win32 Status 属性非常适合于调试。当您检查日志时，请注意错误 5，即被拒绝的访问。您可以通过在命令行中输入 net helpmsg err （其中 err 代表您感兴趣的错误号码）来找出其他 Win32 错误是什么含义。

设置 IP 地址/DNS 地址限制
这并非要设置的普通选项，但是如果希望限制某些用户访问您的网站，这将是一个有用的选项。请注意如果您输入域名系统 (DNS) 名称，那么 IIS 将必须执行 DNS 检查，这将很费时间。

验证可执行内容的可信度
要了解可执行内容是否可信是很难的。有一个小测试是用 DumpBin 工具来查看可执行内容是否调用了某些 API。许多 Win32 开发工具都含有 DumpBin。例如，如果您希望查看名为 MyISAPI.dll 的文件是否调用 RevertToSelf，请使用下列语法：