Windows Server 2003に含まれるIIS 6.0は、以前のIIS 4.0/IIS 5.0と比べると、セキュリティを重視しており、デフォルトではさまざまな機能が無効状態に設定されている。IIS 4.0/5.0では、IISをインストールすると、単純なHTTPサービスが起動するだけでなく、CGI(Common Gateway Interface)やASP(Active Server Pages)、WebDAV、SSI(サーバ・サイド・インクルード。HTMLページ中からほかのHTMLページをインクルードする機能)などの機能も自動的に有効になっていた。ユーザーがこれらの機能を使うかどうかにかかわらず、知らないうちに機能が有効になり、場合によってはこれらの機能がウイルスやワームなどに狙われることもあった。
なおこれらのWeb拡張機能は、Webサーバ(Windows Server 2003をインストールしたサーバ・コンピュータ)ごとに有効/無効を設定する。IISの「Webサイト」ごとに設定することはできないので注意する必要がある。例えばCGI機能を有効にした後、CGIを使う予定がないWebサイト上に間違ってテスト用のCGIファイルなどを置いたりすると、そこから不正にCGIが実行される可能性がある。安全性を高めるためには、有効にする機能は最小限にし、かつ、不要なファイルを置いたり、必要以上のアクセス権を付与したりしないように注意する。
