如果你希望所有用戶按照特定的用戶帳戶和口令得到驗證，你僅僅清除Anonymous Logon（匿名登錄）選項即可。那將要求各用戶在訪問服務器的資源前輸入有效的用戶ID和口令。如果你能啟動啟示功能，你就能查看到誰正訪問WEB服務器以及他們所進行的操作。

　　另一項決定你網站安全性的重要設置是你想使用的口令驗證類型，這里我們不再深入探討。為了實現最大的安全性，你可以激活Windows NT Challenge/Response選項，它在傳輸信息前對你的用戶ID和口令進行加密，從而保證帳戶信息在網絡安全傳輸。（遺憾的是只有Microsoft Internet Explorer 2.0及2.0以上版本才支持這種功能。）

　　2、虛擬目錄為確保你網站的安全性，配置WEB服務器可以看到的目錄以及相應的訪問層次也是很重要的。當你第一次安裝IIS時，按照缺省設置，它會自行創建一個叫做InetPub的目錄（安裝老版本的IIS則創建InetPub），接著為其提供的INTERNET服務生成根目錄。Web服務器的根目錄缺省為wwwroot，它應當是你主頁所在位置。接著你可以使用Directories標簽來增加存儲額外內容的新目錄。

　　3、Web服務器安全提示如果你正運行WEB服務器，盡管你已根據以前所討論過的內容采取了預防措施，也許仍有些安全漏洞有待于你填補。以下列出當提供WEB服務時，你應當采取的一般措施：

　　*停用.bat和.cmd文件的映射功能。如果黑客們拿到這些Web服務器上的可執行文件的話，他們就可運行這些Web文件。你通過取消對腳本程序的所有目錄的閱讀許可權，就可以停用某些文件夾映射功能。

　　*總是將你的腳本程序和數據存儲在不同的目錄，務必使包含腳本程序的目錄只擁有執行許可權。

　　*禁止使用Directory Browsing Allowed（允許目錄瀏覽）。這一功能啟動后會給出一個瀏覽器，該瀏覽器含有某個目錄中的超文本文件列表，從而使黑客能篡改目錄中的文件。

　　*避免使用Remote Virtual Directories（遠程虛擬目錄）。務必將IIS所有的可執行文件以及數據安裝在同一臺機器上，并利用NTFS來保護。當用戶試圖從遠程目錄訪問文檔時，總是使用輸入到屬性頁上的用戶名和口令，這就有可能繞過訪問控制列表。*當編寫和使用CGI腳本程序時，一定要小心。有經驗的黑客也許會利用編寫拙劣的CGI腳本程序來對你的系統進行訪問。

　　*牢記特權最小的原則，如果你計劃只運行Web服務器，那么請只激活Web服務器主機的端口80。

　　*全面測試你的Web服務器——設法發現并彌補任何漏洞。最好的方法是，讓可靠而且內行的同事設法破壞你網絡的安全性。

　　*想了解額外的情況，請上網www.ncsa.com/webcert/sgl_site.html去查看NCSA Web Site Certification Program文檔，尋求使你的Web服務器安全的靈丹妙藥。

　　四、安全性與FTP服務器FTP服務器是唯一一項允許用戶通過INTERNET將文件傳輸至你服務器的IIS服務程序。設置FTP安全性能、用戶和口令驗證與WEB服務器大致相似。但是有一點值得你**注意**：用戶名和口令將以明文（非加密）形式傳輸至FTP服務器服務程序，這意味著如果使用網絡嗅探器就可以捕捉到這一信息，從而破壞網絡的安全！

　　在你允許大眾進行訪問時，一定要熟悉FTP Service Properties頁的Current Session鈕。它告訴你哪個用戶與FTP服務器相連，他們何時連接，以及他們已連接多長時間。

　　虛擬目錄設置FTP服務器的目錄與設置Web服務器服務程序十分類似，一定要保證用戶不能訪問FTPRoot目錄之外的目錄，并要正確設置FTP目錄的訪問許可。

　　FTP服務器安全提示運行FTP服務器時，為保證安全你應當了解的以下事項：

　　1、謹記用戶可以修改FTP服務器的目錄。一定要確保他們無法進入FTPRoot目錄以外的目錄，同時要使用NTFS來保證你服務器的安全。

　　2、避免使用遠程虛擬目錄。當用戶度圖從遠程目錄訪問文檔時，總是要求其提供輸入到屬性頁的用戶名和口令，這就有可能繞過訪問控制表表。

　　3、一定要啟動記錄功能，查找可疑活動，如在日志和事件查看器中查找沒有成功的登錄4、如果你只計劃運行FTP服務器，只啟動FTP主機的端口20和端口21。

　　5、全面測試你的FTP服務器，并設法找到任何漏洞。你還可以讓一個可靠的內行的同事設法打入系統。

　　五、安全性和Gopher服務器保護Gopher服務器與保護FTP服務程序和Web服務程序很類似，差別在于Gopher只允許匿名登錄。