Una de las caracteristicas del sistema NTFS de Windows NT es la posibilidad de crear directivas de seguridad para directorios y/o usuarios de servicios como web o ftp en tu IIS:

http://www.microsoft.com/latam/technet/articulos/199909/art02/

Podrás establecer permisos y derechos de usuarios para esos servicios, password, etc, etc.

Como dicen los compañeros, tendrás que estar siempre a la última del los serice packs y parches de seguridad. También navega por las pestaññas de configuración de la consola IIS porque no es nada bueno dejar las opciones por defecto. En estas pestañas tendrás muchas opciones de configuración para darle a tu servicio web bastante seguridad. Toda la que te permita la inseguridad de Windows.

En general la seguridad de un Web a través de la consola viene restringida a poder decirle al web “este web lo pueden ver todos los usuarios, o este web solo lo utilizan los administradores, o sólo lo ven determinadas IP”, esto es asi porque la seguridad del Internet Information Server va asociada a la seguridad de Windows NT, por lo tanto para permitir y denegar accesos a determinadas partes del web como poder acceder a directorios virtuales o poder enviar ficheros al web se ha de utilizar la seguridad de Windows a través del los grupos y usuarios.

No sería justo terminar aquí sin decirte que IIS 4.0 bajo NT no se la mejor opción para un servidor web. Es quizás una de las peores. y tendrás que instalar service Pack 6.0 y los tropecientosmil parches de seguridad para cubrir todas y cada una de las vulnerabiliddades aparecidas y por aparecer. Si quieres seguir bajo Windows mejor hazlo en un win2000 con IIS 5.0 que está un poco mejor en cuentiones de seguridad y para el sistema "solo" tendrás que instalar wl service pack 2 y wel último acomulativo (hasta hoy) de seguridad.

Un buena opción sería Apache.

Un saludo,