1、新做系统一定要先打上已知补丁，以后也要及时关注微软的漏洞报告。

2、所有盘符根目录只给system和Administrator的权限，其他的删除。

3、将所有磁盘格式转换为NTFS格式。

命令：convert c:/fs:ntfs c:代表C盘，其他盘类推。WIN08 r2 C盘一定是ntfs格式的，不然不能安装系统。

4、开 启 Windows Web Server 2008 R2自带的高级防火墙。默认情况下已经开启。

5、安装必要的杀毒软件如mcafee，安装一款 ARP防火墙，安天ARP好像不错。

6、设置屏幕屏保护。

7、关闭光盘和磁盘的自动播放功能。

8、删除系统默认共享。

命令：net share c$/del这种方式下次启动后还是会出现，不彻底。也可以做成一个批处理文件，然后设置开机自动执动这个批处理。但是还是推荐下面的方法，直修改注册表的方法。

HKEY_LOCAL_MACHINESYS TEM Current Control SetSer

vicesLanmanserverparameters下面新建AutoShareServer,值为 0。重启一下，测试。已经永久生效了。

9、重命 Administrator和 Guest帐户,密码必须复杂。GUEST用户我们可以复制一段文本作为密码，你说这个密码谁能破...也只有自己了...

重命名管理员用户组Administrators。

10、创建一个陷阱用户Administrator，权限最低。

上面二步重命名最好放在安装IIS和SQL之前做好。

11、本地策略->审核策略

审核策略更改 成功 失败

审核登录事件 成功 失败

审核对象访问 失败

审核过程跟踪 无审核

审核目录服务访问 失败

审核特权使用 失败

审核系统事件 成功 失败

审核账户登录事件 成功 失败

审核账户管理 成功 失败

12、本地策略->用户权限分配

关闭系统：只有Administrators组、其它的全部删除。

管理模板->系统 显示“关闭事件跟踪程序”更改为已禁用。这个看大家喜欢。

13、本地策略->安全选项

交互式登陆：不显示最后的用户名 启用

网络访问：不允许SAM帐户和共享的匿名枚举 启用

网络访问:不允许存储网络身份验证的凭据或 .NET Passports启用

网络访问：可远程访问的注册表路径 全部删除

网络访问：可远程访问的注册表路径和子路径 全部删除

14、禁止 dump file的产生。

系统属性-高级-启动和故障恢复把写入调试信息改成“无”。

15、禁用不必要的服务。

TCP/IP NetBIOS Helper

Server

Distributed Link Tracking Client Print Spooler

Remote Registry

Workstation

16、站点方件夹安全属性设置

删除C:inetpub目录。删不了，不研究了。把权限最低...禁用或删除默认站点。我这里不删除了。停止即可。一般给站点目录权限为：

System完全控制

Administrator完全控制

Users读

IIS_Iusrs读、写

在IIS7中删除不常用的映射建立站点试一下。一定要选到程序所在的目录，假如这里是www.aaaa.com目录，如果只选择到wwwroot目录的话，站点就变成子目录或虚拟目录安装了，比较麻烦。所以一定要选择站点文件所在的目录，填上主机头。因为我们是在虚拟机上测试，所以对hosts文件修改一下，模拟用域名访问。真实环境中，不需要修改hosts文件，直接解释域名到主机就行。目录权限不够，这个下个教程继续说明。至少，我们的页面已经正常了。

17、禁用 IPV6。看操作。

OVER!重启下服务器吧。