本地策略 > 安全选项 > 清除虚拟内存页面文件 更改为"已启用"

         > 不显示上次的用户名 更改为"已启用"

         > 不需要按CTRL+ALT+DEL 更改为"已启用"

         > 不允许 SAM 账户的匿名枚举 更改为"已启用"

         > 不允许 SAM 账户和共享的匿名枚举 更改为"已启用"

         > 重命名来宾账户 更改成一个复杂的账户名

         > 重命名系统管理员账号 更改一个自己用的账号 [同时可建立一个无用户组的Administrat账户]

组策略编辑器

运行 gpedit.msc 计算机配置 > 管理模板 > 系统 显示“关闭事件跟踪程序” 更改为已禁用

删除不安全组件

WScript.Shell 、Shell.application 这两个组件一般一些asp木马或一些恶意程序都会使用到。

方案一：

regsvr32 /u wshom.ocx 卸载WScript.Shell 组件

regsvr32 /u shell32.dll 卸载Shell.application 组件

如果按照上面讲到的设置，可不必删除这两个文件

方案二：

删除注册表 HKEY_CLASSES_ROOT\CLSID\{72C24DD5-D70A-438B-8A42-98424B88AFB8} 对应 WScript.Shell

删除注册表 HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540000} 对应 Shell.application

用户管理

建立另一个备用管理员账号，防止特殊情况发生。

安装有终端服务与SQL服务的服务器停用TsInternetUser, SQLDebugger这两个账号

用户组说明

在将来要使用到的IIS中，IIS用户一般使用Guests组，也可以再重新建立一个独立的专供IIS使用的组，但

要将这个组赋予C:\Windows 目录为读取权限[单一读取] 个人不建议使用单独目录，太小家子气。

最少的服务如果实现

黑色为自动 绿色为手动 红色为禁用

Alerter

Application Experience Lookup Service

Application Layer Gateway Service

Application Management

Automatic Updates [Windows自动更新,可选项]

Background Intelligent Transfer Service

ClipBook

COM+ Event System