Механизм защиты от несанкционированного доступа в сетевых службах IIS включает несколько функций, которые обеспечивают контроль над доступом к содержимому сайта: 14

• Авторизация URL-адресов. 14 IIS сохраняет правила авторизации в файле web.config приложения. 14 Эти правила защищают от несанкционированного доступа и остаются вместе с содержимым, даже если оно перемещается на другой сервер или в новый домен. 1
• Встроенная фильтрация запросов. 14 Фильтрация защищает сервер, обеспечивая обработку только допустимых запросов. 1 Например, с её помощью администратор может задать правило, запрещающее отображение файлов с указанными расширениями, например .ini. 1
• Проверка URL-адресов. 14 Средство безопасности проверяет все входящие запросы к серверу путём фильтрации запросов на основе правил, которые задаёт администратор. 14
• Перезапись URL-адресов. 14 Эта функция позволяет динамически изменять URL-адреса на основе правил, определённых администратором сайта. 14 Например, можно создать правила, которые запрещают другим сайтам горячие ссылки на изображения или видеоматериалы веб-сайта. 1
• HTTP Strict Transport Security (HSTS). 14 Службы IIS добавляют поддержку строгой безопасности транспорта HTTP, которая сообщает браузерам, что доступ к указанному веб-сайту должен осуществляться только по протоколу HTTPS (HTTP не допускается). 1
• Общий доступ к ресурсам независимо от источника (CORS). 14 Модуль IIS CORS предоставляет веб-администраторам и авторам веб-сайтов способ поддержки протокола CORS, делегируя ему всю обработку протокола CORS. 1

Кроме того, для выявления злоумышленников, пытающихся проникнуть на сайт, в IIS используются сетевые экраны и узловые системы обнаружения вторжений (IDS). 2