為了對付日益增多的cgi漏洞掃描器，還有一個小技巧可以參考，在IIS中將HTTP404 Object Not Found出錯頁面通過URL重定向到一個定制HTM文件，可以讓目前絕大多數CGI漏洞掃描器失靈。其實原因很簡單，大多數CGI掃描器在編寫時為了方便，都是通過查看返回頁面的HTTP代碼來判斷漏洞是否存在的，例如，著名的IDQ漏洞一般都是通過取1.idq來檢驗，如果返回HTTP200，就認為是有這個漏洞，反之如果返回HTTP404就認為沒有，如果你通過URL將HTTP404出錯信息重定向到HTTP404.htm文件，那么所有的掃描無論存不存在漏洞都會返回HTTP200，90%的CGI掃描器會認為你什么漏洞都有，結果反而掩蓋了你真正的漏洞，讓入侵者茫然無處下手,不過從個人角度來說，我還是認為扎扎實實做好安全設置比這樣的小技巧重要的多。

最后，為了保險起見，你可以使用IIS的備份功能，將剛剛的設定全部備份下來，這樣就可以隨時恢復IIS的安全配置。還有，如果你怕IIS負荷過高導致服務器滿負荷死機，也可以在性能中打開CPU限制，例如將IIS的最大CPU使用率限制在70%。
3.帳號策略：
（1）帳號盡可能少，且盡可能少用來登錄；
說明：網站帳號一般只用來做系統維護，多余的帳號一個也不要，因為多一個帳號就會多一份被攻破的危險。
（2）除過Administrator外，有必要再增加一個屬于管理員組的帳號；
說明：兩個管理員組的帳號，一方面防止管理員一旦忘記一個帳號的口令還
有一個備用帳號；另方面，一旦黑客攻破一個帳號并更改口令，我們還有
有機會重新在短期內取得控制權。
（3）所有帳號權限需嚴格控制，輕易不要給帳號以特殊權限；
（4）將Administrator重命名，改為一個不易猜的名字。其他一般帳號也應尊循這一原則。
說明：這樣可以為黑客攻擊增加一層障礙。
（5）將Guest帳號禁用，同時重命名為一個復雜的名字，增加口令，并將它從
Guest組刪掉；
說明：有的黑客工具正是利用了guest 的弱點，可以將帳號從一般用戶提
升到管理員組。
（6）給所有用戶帳號一個復雜的口令（系統帳號出外），長度最少在8位以上， 且必須同時包含字母、數字、特殊字符。同時不要使用大家熟悉的單詞（如microsoft）、熟悉的鍵盤順序（如qwert）、熟悉的數字（如2000）等。
說明：口令是黑客攻擊的重點，口令一旦被突破也就無任何系統安全可言了，而這往往是不少網管所忽視的地方，據我們的測試，僅字母加數字的5位口令在幾分鐘內就會被攻破，而所推薦的方案則要安全的多。
（7）口令必須定期更改（建議至少兩周該一次），且最好記在心里，除此以外不要在任何地方做記錄；另外，如果在日志審核中發現某個帳號被連續嘗試，則必須立刻更改此帳號（包括用戶名和口令）；