策略一：關閉windows2003不必要的服務

　　·Computer Browser 維護網絡上計算機的最新列表以及提供這個列表

　　·Task scheduler 允許程序在指定時間運行

　　·Routing and Remote Access 在局域網以及廣域網環境中為企業提供路由服務

　　·Removable storage 管理可移動媒體、驅動程序和庫

　　·Remote Registry Service 允許遠程注冊表操作

　　·Print Spooler 將文件加載到內存中以便以后打印。

　　·IPSEC Policy Agent 管理IP安全策略及啟動ISAKMP/OakleyIKE)和IP安全驅動程序

　　·Distributed Link Tracking Client 當文件在網絡域的NTFS卷中移動時發送通知

　　·Com+ Event System 提供事件的自動發布到訂閱COM組件

　　·Alerter 通知選定的用戶和計算機管理警報

　　·Error Reporting Service 收集、存儲和向 Microsoft 報告異常應用程序

　　·Messenger 傳輸客戶端和服務器之間的 NET SEND 和 警報器服務消息

　　·Telnet 允許遠程用戶登錄到此計算機并運行程序

　　策略二：磁盤權限設置

　　C盤只給administrators和system權限，其他的權限不給，其他的盤也可以這樣設置，這里給的system權限也不一定需要給，只是由于某些第三方應用程序是以服務形式啟動的，需要加上這個用戶，否則造成啟動不了。

　　Windows目錄要加上給users的默認權限，否則ASP和ASPX等應用程序就無法運行。

　　策略三：禁止 Windows 系統進行空連接

　　在注冊表中找到相應的鍵值HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/LSA，將DWORD值RestrictAnonymous的鍵值改為1

　　策略四：關閉不需要的端口

　　本地連接--屬性--Internet協議(TCP/IP)--高級--選項--TCP/IP篩選--屬性--把勾打上，然后添加你需要的端口即可。(如:3389、21、1433、3306、80)

　　更改遠程連接端口方法

　　開始-->運行-->輸入regedit

　　查找3389：

　　請按以下步驟查找:

　　1、HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp下的PortNumber=3389改為自寶義的端口號

　　2、HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp下的PortNumber=3389改為自寶義的端口號

　　修改3389為你想要的數字(在十進制下)----再點16進制(系統會自動轉換)----最后確定!這樣就ok了。

　　這樣3389端口已經修改了，但還要重新啟動主機，這樣3389端口才算修改成功!如果不重新啟動3389還

　　是修改不了的!重起后下次就可以用新端口進入了!

　　禁用TCP/IP上的NETBIOS

　　本地連接--屬性--Internet協議(TCP/IP)--高級—WINS--禁用TCP/IP上的NETBIOS

　　策略五：關閉默認共享的空連接

　　首先編寫如下內容的批處理文件：

　　@echo off

　　net share C$ /delete

　　net share D$ /delete

　　net share E$ /delete

　　net share F$ /delete

　　net share admin$ /delete

　　以上文件的內容用戶可以根據自己需要進行修改。保存為delshare.bat，存放到系統所在文件夾下的system32\GroupPolicy\User\scripts\Logon目錄下。然后在開始菜單→運行中輸入gpedit.msc，

　　回車即可打開組策略編輯器。點擊用戶配置→Windows設置→腳本(登錄/注銷)→登錄.

　　在出現的“登錄 屬性”窗口中單擊“添加”，會出現“添加腳本”對話框，在該窗口的“腳本名”欄中輸入delshare.bat，然后單擊“確定”按鈕即可。

　　重新啟動計算機系統，就可以自動將系統所有的隱藏共享文件夾全部取消了，這樣就能將系統安全隱患降低到最低限度。

　　策略五：IIS安全設置

　　1、不使用默認的Web站點，如果使用也要將IIS目錄與系統磁盤分開。

　　2、刪除IIS默認創建的Inetpub目錄(在安裝系統的盤上)。

　　3、刪除系統盤下的虛擬目錄，如：_vti_bin、IISSamples、scripts、IIShelp、IISAdmin、IIShelp、MSADC。

　　4、刪除不必要的IIS擴展名映射。

　　右鍵單擊“默認Web站點→屬性→主目錄→配置”，打開應用程序窗口，去掉不必要的應用程序映射。主要為.shtml、shtm、stm。

　　5、更改IIS日志的路徑

　　右鍵單擊“默認Web站點→屬性-網站-在啟用日志記錄下點擊屬性

　　策略六：注冊表相關安全設置

　　1、隱藏重要文件/目錄

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current-Version\Explorer\Advanced\Folder\Hidden\SHOWALL”

　　鼠標右擊 “CheckedValue”，選<