六、配置 IIS 效能：

1、不运用默许的Web站点，假定运用也要将 将IIS目录与零碎磁盘分开。
2、删除IIS默许创建的Inetpub目录（在安装零碎的盘上）。
3、删除零碎盘下的虚拟目录，如：_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。
4、删除不必要的IIS扩展名映射。
右键单击“默许Web站点→属性→主目录→配置”，翻开运用顺序窗口，去掉不必要的运用顺序映射。次要为.shtml, .shtm, .stm
5、更改IIS日志的途径
右键单击“默许Web站点→属性-网站-在启用日志记载下点击属性
6、假定运用的是2000可以运用iislockdown来维护IIS，在2003运转的IE6.0的版本不需求。
7、运用UrlScan
UrlScan是一个ISAPI挑选器，它对传入的HTTP数据包中止分析并可以回绝任何可疑的通讯量。目前最新的版本是2.5，假定是2000Server需求先安装1.0或2.0的版本。下载地址见页未的链接
假定没有特殊的要求采用UrlScan默许配置就可以了。
但假定你在效能器运转ASP.NET顺序，并要中止调试你需翻开要%WINDIR%\System32\Inetsrv\URLscan
文件夹中的URLScan.ini 文件，然后在UserAllowVerbs节添加debug谓词，留意此节是区分大小写的。
假定你的网页是.asp网页你需求在DenyExtensions删除.asp相关的内容。
假定你的网页运用了非ASCII代码，你需求在Option节中将AllowHighBitCharacters的值设为1
在对URLScan.ini 文件做了更改后，你需求重启IIS效能才干生效，疾速办法运转中输出iisreset
假定你在配置后呈现什么成果，你可以经过添加/删除顺序删除UrlScan。
8、运用WIS (Web Injection Scanner)工具对整个网站中止SQL Injection 脆弱性扫描.