保障IIS安全的主要方式有以下几种：
（1）利用NTFS与IIS相结合的权限管理方式限制“匿名”Web访问者的权限。
由于IIS与Windows系统完全集成在一起，因此，可以利用NTFS文件系统取得权限管理，同时，IIS本身还有一类组权限，可以与NTFS权限协同工作。
（2）禁用所有不必要的服务（Web开放服务以外），并关闭相应端口。
针对IIS的安全特性，只需要根据所需要开放的Web服务，开放一定数目的端口，关闭不必要的服务。
（3）保护Web站点主目录wwwroot。
在默认设置下，IIS将其wwwroot目录放在操作系统目录下的＼Inetpub目录中。如果Web站点不在Inetpub中，一些简单的病毒软件可能无法发现。因此，移动文档目录的根目录能够提供少量的保护。
（4）删除IIS安装中的额外目录。
IIS自带了一系列示例文件和额外目录，很多是有用的，但也带来了安全漏洞。例如，打开控制面板—添加/删除程序—“Windows组件”—Internet信息服务（IIS）—详细信息，其中的FrontPage2000服务器扩展，如果不使用基于FrontPage的Web开放，建议删除此扩展。另外可以删除的IIS文件还有：IIS管理单元中名为Printers和IISSample的文件夹。假如不需要连接数据库连接器，还可以删除MSADC文件夹。
如果用户不需要提供Web服务，建议干脆删除涉及IIS的服务（如IIS，InternetInformationService等）。