1. 將<systemroot>/System32/cmd.exe轉移到其他目錄或更名；

    2. 系統帳號盡量少，更改默認帳戶名（如Administrator）和描述，密碼盡量復雜；

    3. 拒絕通過網絡訪問該計算機（匿名登錄；內置管理員帳戶；Support_388945a0；Guest；所有非操作系統服務帳戶）

    4. 建議對一般用戶只給予讀取權限，而只給管理員和System以完全控制權限，但這樣做有可能使某些正常的腳本程序不能執行，或者某些需要寫的操作不能完成，這時需要對這些文件所在的文件夾權限進行更改，建議在做更改前先在測試機器上作測試，然后慎重更改。

    5. NTFS文件權限設定（注意文件的權限優先級別比文件夾的權限高）：

    文件類型

    CGI 文件（.exe、.dll、.cmd、.pl）

    腳本文件 (.asp)

    包含文件（.inc、.shtm、.shtml）

    靜態內容（.txt、.gif、.jpg、.htm、.html）

    建議的 NTFS 權限

    Everyone（執行）

    Administrators（完全控制）

    System（完全控制）

    6. 禁止C$、D$一類的缺省共享

    HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/lanmanserver/parameters

    AutoShareServer、REG_DWORD、0x0

    7. 禁止ADMIN$缺省共享

    HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/lanmanserver/parameters

    AutoShareWks、REG_DWORD、0x0

    8. 限制IPC$缺省共享

    HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Lsa

    restrictanonymous REG_DWORD 0x0 缺省

    0x1 匿名用戶無法列舉本機用戶列表

    0x2 匿名用戶無法連接本機IPC$共享

    說明:不建議使用2，否則可能會造成你的一些服務無法啟動，如SQL Server

    9. 僅給用戶真正需要的權限，權限的最小化原則是安全的重要保障

    10. 在本地安全策略->審核策略中打開相應的審核，推薦的審核是：

    賬戶管理 成功 失敗

    登錄事件 成功 失敗

    對象訪問 失敗

    策略更改 成功 失敗

    特權使用 失敗

    系統事件 成功 失敗

    目錄服務訪問 失敗

    賬戶登錄事件 成功 失敗

    審核項目少的缺點是萬一你想看發現沒有記錄那就一點都沒轍；審核項目太多不僅會占用系統資源而且會導致你根本沒空去看，這樣就失去了審核的意義。 與之相關的是：

    在賬戶策略->密碼策略中設定：

    密碼復雜性要求 啟用

    密碼長度最小值 6位

    強制密碼歷史 5次

    最長存留期 30天

    在賬戶策略->賬戶鎖定策略中設定：

    賬戶鎖定 3次錯誤登錄

    鎖定時間 20分鐘