1、所有磁盘格式转换为NTFS格式

　　2、微软最新补丁

　　3、所有盘符根目录只给system和Administrator的权限，其他的删除

　　4、关闭光盘和磁盘的自动播放功能

　　控制面板，自动播放，取消勾选，保存。

　　点击“开始”—“运行”，输入“Gpedit.msc”，打开组策略编辑器，依次展开“计算机配置”—“管理模板”—“Windows组件”，在右侧窗口找到“自动播放策略”选项并打开，双击右侧关闭自动播放，在打开的对话框上部选择“已启用”，在对话框下部选择“所有驱动器”，点击“确定”完成设置。

　　5、删除系统默认共享。

　　可以使用 net share 命令查看，并全部删除默认共享

　　net share c$ /del net share d$ /del net share e$ /del net share f$ /del net share ipc$ /del net share admin$ /del

　　也可以在“服务”中直接禁用“server”服务。

　　直修改注册表的方法

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanserver\parameters下面新建AutoShareServer ，值为0，重启电脑

　　6、重命名帐户Administrator和Guest。禁用Guest账号，并加一个超级复杂的密码，密码可以是复制一段文本进去。

　　禁用SQLDebugger帐号。

　　重命名管理员用户组Administrators

　　7、禁用不必要的服务。

　　控制面板―――管理工具―――服务：把下面的服务全部停止并禁用。

　　TCP/IP NetBIOS Helper Server

　　Distributed Link Tracking Client

　　Microsoft Search

　　Print Spooler

　　Remote Registry

　　Workstation

　　Server

　　8、只开启需要用的端口，关闭不必要的，以减少攻击面。 80：IIS7 21：FTP 3389：远程 3306：MySQL 1433：Mssql 用不到的端口一律不要开启

　　9、下列系统程序都只给管理员权限，别的全部删除。

　　arp.exe

　　attrib.exe

　　cmd.exe

　　format.com

　　ftp.exe

　　tftp.exe

　　net.exe

　　net1.exe

　　netstat.exe

　　ping.exe

　　regedit.exe

　　regsvr32.exe

　　telnet.exe

　　xcopy.exe

　　at.exe

　　所有的*.cpl和*.msc文件也只给管理员权限。

　　10、本地策略——>审核策略

　　审核策略更改 成功 失败

　　审核登录事件 成功 失败

　　审核对象访问 失败

　　审核过程跟踪 无审核

　　审核目录服务访问 失败

　　审核特权使用 失败

　　审核系统事件 成功 失败

　　审核账户登录事件 成功 失败

　　审核账户管理 成功 失败

　　11、本地策略——>用户权限分配

　　关闭系统：只有Administrators 组、其它的全部删除。

　　通过终端服务允许登陆：只加入Administrators,Remote Desktop Users组，其他全部删除 在组策略中，计算机配置 > 管理模板 > 系统 显示“关闭事件跟踪程序” 更改为已禁用

　　12、本地策略——>安全选项

　　交互式登陆：不显示最后的用户名 启用

　　网络访问：不允许SAM 帐户和共享的匿名枚举 启用

　　网络访问: 不允许存储网络身份验证的凭据或 .NET Passports 启用

　　网络访问：可远程访问的注册表路径 全部删除

　　网络访问：可远程访问的注册表路径和子路径 全部删除

　　13、站点方件夹安全属性设置

　　一般给站点目录权限为：

　　System 完全控制

　　Administrator 完全控制

　　Users 读

　　IIS_Iusrs 读、写

　　在IIS7 中删除不常用的映射

　　14、打开Windows 高级防火墙