第二项UDP端口：
此项可不添加，因为限制了以后，服务器则不能打开网页等操作(当然，也安全多了)


第三项IP协议：
ip协议：只允许6

10，IIS安全配置    开始-->程序-->管理工具-->Internet 服务管理器
   默认的设置是有一个叫“默认站点”的站点，删除。
   在IIS管理器中右击主机，进入属性，会出来一个叫 "*机器名属性"的窗口，在主属性下选择"WWW服务"，进入编辑
   到主目录选项卡，进入应用程序设置下的配置，在应用程序映射里，你可以看到有htw, htr, idq, ida等扩展名的映射，
   除了asp,asa,shtml,sthm,stm外，其它的统统删除，因为其余的映射几乎每个都有安全方面的漏洞。(这是在未装cgi之类服务的情况下，像cgi,安装后也会在这里自动添加映射,没有映射可就运行不了cgi程序了，同理，php或asp.net也一样)
   默认的iis发布目录为c:\Inetpub，将这个目录删除。在d盘或e盘新建一个目录(目录名随意)，然后新建一个站点，将主目录指向你新建的目录。
   这样做的目的是为了将站点和系统分开。不至于站点的安全设置出问题时危及到系统安全。

11，其它

网卡属性里的tcp/ip协议属性--->高级-->WINS-->选择 "禁用TCP/IP 上的NetBIOS"

删除C:\WINNT\Web下的两个子目录(一个是桌面图片目录，一个是打印目录，打印目录存在的话好像IIS的默认站点一直会多一个Printer的目录出来)

四、系统相关目录及文件的权限设置

C、D、E等盘全部设置为仅Administrator组有完全控制权限(必须)

C:\Program Files
这个目录，像连接数据库这些都是要读取的，是C盘下比较重要的权限设置。

设置为：
administrators组 -- 完全控制
SYSTEM  -  完全控制
CREATOR GROUP  - 全空的权限。（你可以先默认的加上，然后应用。再重新设置权限，会发现权限变成空的，而另外多出来一个none的用户，把那个none删了，测试过运行ASP+ACCESS的程序这样才会比较安全）
。。除了以上这三个以外，其它的统统删掉。

C:\Documents and Settings
这个目录设置为Administrator,SYSTEM拥有所有控制权限。


C:\WINNT
这个目录设置为Administrator,SYSTEM拥有所有控制权限。IIS来宾帐户设置为仅读取权限(如有建立了专门的IIS用户组，则这里设置为IIS的用户组)。


C:\WINNT目录内 除 TEMP,system32目录以外，所有目录均设置为Administrator,SYSTEM拥有所有控制权限



C:\Winnt\system32目录下的
xcopy.exe, wscript.exe, cscript.exe, net.exe, ftp.exe, telnet.exe,arp.exe,
edlin.exe,ping.exe,route.exe,at.exe,finger.exe,posix.exe,rsh.exe,atsvc.exe,
qbasic.exe,runonce.exe,syskey.exe
这些常用的程序也要设置为仅Administrator,SYSTEM有所有控制权限。




五、防止虚拟主机用户利用FSO及其它权限

-----------------------
我们以建立一个 123.com站点的为例吧。设置目录权限。
1，新建一个用户组。例如 WebUser
2，新建一个站点用户，如 web_123.com (密码自定)，并设置为属于WebUser组（不要再属于其它的组了）
3，新建一个该站点的目录，设置该目录权限为 administrator 组为所有权限，以及Web_123.com用户为所有权限(即完全控制)
4，设置IIS站点。正常建立新站点后，站点属性的站点安全性里面也相应做设置...(站点属性--目录安全性--身份验证和访问控制--编辑)