１、磁盘权限
　　系统盘及所有磁盘只给 Administrators 组和 SYSTEM 的完全控制权限
　　系统盘\Documents and Settings 目录只给 Administrators 组和 SYSTEM 的完全控制权限
　　系统盘\Documents and Settings\All Users 目录只给 Administrators 组和 SYSTEM 的完全控制权限
　　系统盘\Inetpub 目录及下面所有目录、文件只给 Administrators 组和 SYSTEM 的完全控制权限
　　系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe 文件只给 Administrators 组和 SYSTEM 的完全控制权限

2．不使用默认的Web站点，如果使用也要将IIS目录与系统磁盘分开
IIS默认创建的Inetpub目录被删除（在安装系统的盘上）

3．每个独立的要保护的个体（比如一个网站或者一个虚拟目录）创建一个系统用户，让这个站点在系统中具有惟一的可以设置权限的身份（所以我们就不能很好的进行旁注了）

总结：在典型的WEBSEHLL下，对于本站具有，读，写，修改，权限，目录下拥有相对的执行权限.

简单的整理了一下。