1、所有磁盘格式转换为NTFS格式
　　2、微软最新补丁
　　3、所有盘符根目录只给system和Administrator的权限，其他的删除
　　4、关闭光盘和磁盘的自动播放功能
　　控制面板，自动播放，取消勾选，保存。
　　点击“开始”—“运行”，输入“Gpedit.msc”，打开组策略编辑器，依次展开“计算机配置”—“管理模板”—“Windows组件”，在右侧窗口找到“自动播放策略”选项并打开，双击右侧关闭自动播放，在打开的对话框上部选择“已启用”，在对话框下部选择“所有驱动器”，点击“确定”完成设置。
　　5、删除系统默认共享。
　　可以使用 net share 命令查看，并全部删除默认共享
　　net share c$ /del net share d$ /del net share e$ /del net share f$ /del net share ipc$ /del net share admin$ /del
　　也可以在“服务”中直接禁用“server”服务。
　　直修改注册表的方法
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanserver\parameters下面新建AutoShareServer ，值为0，重启电脑
　　6、重命名帐户Administrator和Guest。禁用Guest账号，并加一个超级复杂的密码，密码可以是复制一段文本进去。
　　禁用SQLDebugger帐号。
　　重命名管理员用户组Administrators

   
　　7、禁用不必要的服务。
　　控制面板―――管理工具―――服务：把下面的服务全部停止并禁用。
　　TCP/IP NetBIOS Helper Server
　　Distributed Link Tracking Client
　　Microsoft Search
　　Print Spooler
　　Remote Registry
　　Workstation
　　Server
　　8、只开启需要用的端口，关闭不必要的，以减少攻击面。 80：IIS7 21：FTP 3389：远程 3306：MySQL 1433：Mssql 用不到的端口一律不要开启
　　9、下列系统程序都只给管理员权限，别的全部删除。
　　arp.exe
　　attrib.exe
　　cmd.exe
　　format.com
　　ftp.exe
　　tftp.exe
　　net.exe
　　net1.exe
　　netstat.exe
　　ping.exe
　　regedit.exe
　　regsvr32.exe
　　telnet.exe
　　xcopy.exe
　　at.exe
　　所有的*.cpl和*.msc文件也只给管理员权限。
　　10、本地策略——>审核策略
　　审核策略更改 成功 失败
　　审核登录事件 成功 失败
　　审核对象访问 失败
　　审核过程跟踪 无审核
　　审核目录服务访问 失败
　　审核特权使用 失败
　　审核系统事件 成功 失败
　　审核账户登录事件 成功 失败
　　审核账户管理 成功 失败
　　11、本地策略——>用户权限分配
　　关闭系统：只有Administrators 组、其它的全部删除。
　　通过终端服务允许登陆：只加入Administrators,Remote Desktop Users组，其他全部删除 在组策略中，计算机配置 > 管理模板 > 系统 显示“关闭事件跟踪程序” 更改为已禁用
　　12、本地策略——>安全选项
　　交互式登陆：不显示最后的用户名 启用
　　网络访问：不允许SAM 帐户和共享的匿名枚举 启用
　　网络访问: 不允许存储网络身份验证的凭据或 .NET Passports 启用
　　网络访问：可远程访问的注册表路径 全部删除
　　网络访问：可远程访问的注册表路径和子路径 全部删除
　　13、站点方件夹安全属性设置
　　一般给站点目录权限为：
　　System 完全控制
　　Administrator 完全控制
　　Users 读
　　IIS_Iusrs 读、写
　　在IIS7 中删除不常用的映射
　　14、打开Windows 高级防火墙
　　15、安装一款杀毒软件，配合Windows 防火墙，它们俩应该是一个不错的组合。