很简单，大体来说就几步（设置前记得先把系统备份）

第一，先创建一个用户组，以后所有的站点的用户都建在这个組里，然后设置这个组在各个分区没有权限或者完全拒绝（直接在根磁盘设置就可以了，不要替换所有子目录的权限）。然后再设置各个IIS用户在各在的文件夹里的权限。（阿江文章里面写的，也是我推荐的）
第二，改名或卸载不安全组件 （也是阿江文章里有的）
第三，把system32下面的一些常用网络命令设置成只有 system administrators 可以访问 其他用户全部删除，如net.exe ftp.exe tftp.exe at.exe ....网上应该有很多相关介绍了
第四，使用一般用户启动mssql或mysql数据库
第五，运行scw.exe 安全配置向导 这个在sp1的添加删除windows组建里可以加入
。。。。。应该还有几步，不过我记性不好，到用的时候才知道
如果出现asp数据库连不上的问题，应该是c:\windows\temp c:\WINDOWS\IIS Temporary Compressed Files 文件夹没有给虚拟用户组权限，给它可读可写

现在想起自己原来写的文章与阿江的相比，呵呵，简直是班门弄斧洋相百出

没有详细的写，各个步骤网上相关的介绍应该有很多，懒得写那么多了

这样设置出来，不支持asp.net 要支持的话 c:\WINDOWS\Microsoft.NET\Framework\v1.1.4322
这个目录也要给虚拟用户组可运行权限，web文件夹要加上iis_wpg可读可写，但开启asp.net会带来新的安全问题，如果不需要的话不建议开启

照这样设置如果有问题的话，欢迎回帖提问，但我不会对各个步骤做详细解释了

现在的虚拟主机程序原理都应该和这差不多，不信的话可以传个木马 C盘下面至少有c:\WINDOWS\Temp
c:\WINDOWS\IIS Temporary Compressed Files 这两个目录可以浏览并且可写 你可以猛往里面传东西 呵呵 聪明的人应该还会想到其他更好玩的方法