1、所有磁盤格式轉(zhuǎn)換為NTFS格式

2、微軟最新補丁

3、所有盤符根目錄只給system和Administrator的權(quán)限，其他的刪除

4、關(guān)閉光盤和磁盤的自動播放功能

控制面板，自動播放，取消勾選，保存。
點擊“開始”—“運行”，輸入“Gpedit.msc”，打開組策略編輯器，依次展開“計算機配置”—“管理模板”—“Windows組件”，在右側(cè)窗口找到“自動播放策略”選項并打開，雙擊右側(cè)關(guān)閉自動播放，在打開的對話框上部選擇“已啟用”，在對話框下部選擇“所有驅(qū)動器”，點擊“確定”完成設(shè)置。
5、刪除系統(tǒng)默認共享。
可以使用 net share 命令查看，并全部刪除默認共享
net share c$ /del net share d$ /del net share e$ /del net share f$ /del net share ipc$ /del net share admin$ /del
也可以在“服務(wù)”中直接禁用“server”服務(wù)。

直修改注冊表的方法

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Lanmanserver/parameters下面新建AutoShareServer ，值為0，重啟電腦

6、重命名帳戶Administrator和Guest。禁用Guest賬號，并加一個超級復(fù)雜的密碼，密碼可以是復(fù)制一段文本進去。
禁用SQLDebugger帳號。
重命名管理員用戶組Administrators

7、禁用不必要的服務(wù)。
控制面板―――管理工具―――服務(wù)：把下面的服務(wù)全部停止并禁用。

TCP/IP NetBIOS Helper Server

Distributed Link Tracking Client

Microsoft Search

Print Spooler

Remote Registry

Workstation

Server

8、只開啟需要用的端口，關(guān)閉不必要的，以減少攻擊面。 80：IIS7 21：FTP 3389：遠程 3306：MySQL 1433：Mssql 用不到的端口一律不要開啟

9、下列系統(tǒng)程序都只給管理員權(quán)限，別的全部刪除。

arp.exe

attrib.exe

cmd.exe

format.com

ftp.exe

tftp.exe

net.exe

net1.exe

netstat.exe

ping.exe

regedit.exe

regsvr32.exe

telnet.exe

xcopy.exe

at.exe

所有的*.cpl和*.msc文件也只給管理員權(quán)限。

10、本地策略——>審核策略
審核策略更改 成功 失敗
審核登錄事件 成功 失敗
審核對象訪問 失敗
審核過程跟蹤 無審核
審核目錄服務(wù)訪問 失敗
審核特權(quán)使用 失敗
審核系統(tǒng)事件 成功 失敗
審核賬戶登錄事件 成功 失敗
審核賬戶管理 成功 失敗

11、本地策略——>用戶權(quán)限分配
關(guān)閉系統(tǒng)：只有Administrators 組、其它的全部刪除。
通過終端服務(wù)允許登陸：只加入Administrators,Remote Desktop Users組，其他全部刪除 在組策略中，計算機配置 > 管理模板 > 系統(tǒng) 顯示“關(guān)閉事件跟蹤程序” 更改為已禁用
12、本地策略——>安全選項
交互式登陸：不顯示最后的用戶名 啟用
網(wǎng)絡(luò)訪問：不允許SAM 帳戶和共享的匿名枚舉 啟用
網(wǎng)絡(luò)訪問: 不允許存儲網(wǎng)絡(luò)身份驗證的憑據(jù)或 .NET Passports 啟用
網(wǎng)絡(luò)訪問：可遠程訪問的注冊表路徑 全部刪除
網(wǎng)絡(luò)訪問：可遠程訪問的注冊表路徑和子路徑 全部刪除

13、站點方件夾安全屬性設(shè)置
一般給站點目錄權(quán)限為：
System 完全控制
Administrator 完全控制
Users 讀
IIS_Iusrs 讀、寫
在IIS7 中刪除不常用的映射

14、打開Windows 高級防火墻

15、安裝一款殺毒軟件，推薦Mcafee，再配合Windows 防火墻，它們倆應(yīng)該是一個不錯的組合