Keamanan

Kritik yang dialamatkan untuk IIS edisi awal adalah banyaknya kerentanan (vulnerability) yang ada di dalamnya, khususnya untuk masalah CA-2001-19 yang kemudian dieksploitasi oleh worm Code Red. Akan tetapi, versi 6.0 dan 7.0 kini tidak memiliki masalah dengan kerentanan seperti ini. Dalam IIS 6.0, Microsoft memilih untuk mengubah kelakukan ISAPI handler yang terinstalasi sebelumnya, yang ditengarai menjadi sumber masalah keamanan dalam versi 4.0 dan 5.0, sehingga dapat mengurangi potensi serangan terhadap IIS. Selain itu, IIS 6.0 menambahkan sebuah fitur yang disebut sebagai "Web Service Extensions" yang mencegah IIS untuk menjalankan program apapun tanpa izin yang eksplisit dari administrator.

Dalam versi terbaru, versi 7.0, komponen dalam IIS pun kini telah dimodularkan sehingga hanya komponen yang dibutuhkan saja yang akan diinstalasikan oleh Windows, sehingga dapat mengurangi potensi serangan. Selain itu, IIS 7.0 juga menawarkan fitur keamanan seperti URLFiltering yang dapat menolak URL-URL tertentu berdasarkan peraturan yang didefinisikan oleh pengguna.

Normalnya, IIS 5.1 dan versi sebelumnya menjalankan situs Web di bawah akun SYSTEM, sebuah akun default yang ada di dalam Windows yang memiliki hak akses super user. Hal ini berubah pada versi 6.0, di mana semua proses penanganan permintaan dilakukan oleh akun NETWORK SERVICES yang memiliki hak yang jauh lebih sedikit ketimbang SYSTEM sehingga bila ada kerentanan dalam sebuah fitur atau kode yang dibuat sendiri, maka hal tersebut tidak akan membuat sistem crash. IIS 6.0 juga menawarkan stack HTTP modus kernel baru yang memiliki parser HTTP yang lebih ketat serta menawarkan fungsi response cache untuk konten statis dan dinamis.