1、在运行中输入gpedit.msc回车，打开组策略编辑器，选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略，将账户设为“三次登陆无效”，“锁定时渖栉?0分钟”，“复位锁定计数设为30分钟”。
2、清空远程可访问的注册表路径
开始→运行→gpedit.msc 依次展开“计算机配置→Windows 设置→安全设置→本地策略→安全选项” 在右侧窗口中找到“网络访问：可远程访问的注册表路径” 然后在打开的窗口中、将可远程访问的注册表路径和子路径内容全部设置为空即
3、取消关机原因提示
开始→运行→gpedit.msc 打开组策略编辑器、依次展开：计算机配置→管理模板→系统 双击右侧窗口出现的(显示“关闭事件跟踪程序”) 将(未配置)改为(已禁用)即可
4、在安全设置-本地策略-安全选项中将“不显示上次的用户名”设为启用
5、禁止C$、D$、ADMIN$一类的缺省共享
打开注册表，HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters，在右边的窗口中新建Dword值，名称设为AutoShareServer值设为0
6、禁用IPC连接
开始→运行→regedit找到如下组建(HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa)中的(restrictanonymous)子键将其值改为1即
7、 解除NetBios与TCP/IP协议的绑定
右击网上邻居-属性-右击本地连接-属性-双击Internet协议-高级-Wins-禁用TCP/IP上的NETBIOS
8、防止列出用户组和系统进程:
开始→程序→管理工具→服务 找到 Workstation 停止它、禁用它

9、解除FSO上传程序小于200k限制：
在服务里关闭IIS admin service服务
打开 C:\WINDOWS\system32\inetsrv\MetaBase.xml
找到ASPMaxRequestEntityAllowed
将其修改为需要的值、默认为204800、即200K、把它修改为51200000(50M)、然后重启IIS admin service服务

10、关闭不需要的服务，以下为建议选项
　　Computer Browser:维护网络计算机更新，禁用
　　Distributed File System: 局域网管理共享文件，不需要禁用
　　Distributed linktracking client：用于局域网更新连接信息，不需要禁用
　　Error reporting service：禁止发送错误报告
　　Microsoft Serch：提供快速的单词搜索，不需要可禁用
　　NTLMSecuritysupportprovide：telnet服务和Microsoft Serch用的，不需要禁用
　　PrintSpooler：如果没有打印机可禁用
　　Remote Registry：禁止远程修改注册表
　　Remote Desktop Help Session Manager：禁止远程协助
    Telnet
    TCP\IP NetBIOS Helper
    Workstation

11、卸载最不安全的组件：
△开始→运行→cmd→回车键
▲cmd里输入：
regsvr32/u C:\WINDOWS\system32\wshom.ocx
del C:\WINDOWS\system32\wshom.ocx
regsvr32/u C:\WINDOWS\system32\shell32.dll
del C:\WINDOWS\system32\shell32.dll
或将以上的内容代码保存为一个.BAT文件双击运行就行了，可能会提示无法删除文件，不用管它!
也可以设置为禁止guests用户组访问

12、磁盘权限设置:
C:\盘 administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限
△D:\盘 (如果用户网站内容放置在这个分区中)、administrators(组)和system 完全控制权限
△E:\盘 administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限
△f:\盘 administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限
△如有其他盘符类推下去.

13、目录安全访问权限
▲c:\windows\
administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限
▲c:\windows\system32\
administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限、iwam_服务器名(用户) 读取+运行权限
▲c:\windows\temp\
administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限、guests(组) 完全控制权限
▲C:\WINDOWS\system32\config\
administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限
▲c:\Program Files\
administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限
▲C:\Program Files\Common Files\
administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限、guests(组) 读取+运行权限
▲c:\Documents and Settings\
administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限
▲C:\Documents and Settings\All Users\
administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限
▲C:\Documents and Settings\All Users\Application Data\
administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限
▲C:\Documents and Settings\All Users\Application Data\Microsoft\
administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限
▲C:\Documents and Settings\All Users\Application Data\Microsoft\HTML Help\
administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限

14、禁止系统盘下的EXE文件：
net.exe、cmd.exe、ftp.exe、netstat.exe、regedit.exe、regedt32.exe、at.exe、attrib.exe、cacls.exe
设置成 administrators和system 完全控制权限

15、对FTP的设置
1、默认FTP站点 属性
安全帐户：取消“允许匿名访问”
主目录：读取 写入 记录访问 都选上
2、设置C:\Inetpub\ftproot的目录权限
只要Everyone读取权限
3、默认FTP站点 右键 新建 虚拟目录 将“虚拟主机目录访问权限”中的都选上
4、FTP用户对目录的权限设置：
FTP用户对FTP目录 拒绝 只有该文件夹 删除
FTP用户对FTP目录 特殊 只有该文件夹 除掉“完全控制”“遍历文件夹/运行文件”“删除子文件夹和文件”“取得所有权”不选外其他都选上
5、\system32\inetsrv\inetinfo.exe加入防火墙例外 让防火墙不拦截FTP的动态分配的端口连接
6、一般防火墙要开启的端口
21(FTP) 25(SMTP) 53(DNS) 80(HTTP) 110(POP3) 143(IMAP) 443(Https) 1433(MSSQL) 3306(MYSQL) 5353(MX) 3389(远程桌面) 8888(WebMail)
可以打开“Windows防火墙”的‘高级’选项卡，RCMP设置，“允许传入回显请求”打上钩，你的域就可以被ping通了
星外主机管理系统：
注意,在启动防火墙前,您需要先在例外中,设置允许以下的TCP端口:
3389 1433 3306 25 21 20 80 110 53 8888
再设置允许以下的程序使用网络(在例外中选择添加程序)
C:\windows\system32\inetsrv\inetinfo.exe
C:\windows\system32\inetsrv\w3wp.exe
C:\windows\7i24tool.exe
请设置sytem32目录的cmd.exe, at.exe, cacls.exe, ftp.exe 的文件只能有adms,system的全权权限.不能有其他的权限
注意不要安装windows update中的Windows PowerShell,如果已安装了,请删除它!因为这个组件有大量服务器管理的权限.不能安装
请将服务器中的"Distributed Transaction Coordinator"服务禁止,传IIS中存在没有补丁了漏洞，这个服务必须禁止。运行以下命令可以自动禁止：
sc stop MSDTC & sc config MSDTC start= disabled
如果以下目录存在,请删除这个目录:
c:\windows\ServicePackFiles,否则里面有文件有可能被黑客利用
C:\RECYCLER只保留administrators和system完全控制权限
PHP的一个安全设置:在php.ini里设其值为Off
allow_url_fopen = Off
并且:
;extension=php_sockets.dll
前面的;号一定要有,意思就是限制用sockets.dll
然后重启IIS

16、SQL2000危险扩展存储删除和恢复
将有安全问题的SQL过程删除.比较全面.一切为了安全!
删除了调用shell，注册表，COM组件的破坏权限
使用系统帐户登陆查询分析器
运行以下脚本
use master
exec sp_dropextendedproc 'xp_enumgroups'
exec sp_dropextendedproc 'xp_loginconfig'
exec sp_dropextendedproc 'xp_enumerrorlogs'
exec sp_dropextendedproc 'xp_getfiledetails'
exec sp_dropextendedproc 'xp_cmdshell'
exec sp_dropextendedproc 'xp_dirtree'
exec sp_dropextendedproc 'Sp_OACreate'
exec sp_dropextendedproc 'Sp_OADestroy'
exec sp_dropextendedproc 'Sp_OAGetErrorInfo'
exec sp_dropextendedproc 'Sp_OAGetProperty'
exec sp_dropextendedproc 'Sp_OAMethod'
exec sp_dropextendedproc 'Sp_OASetProperty'
exec sp_dropextendedproc 'Sp_OAStop'
exec sp_dropextendedproc 'xp_regaddmultistring'
exec sp_dropextendedproc 'xp_regdeletekey'
exec sp_dropextendedproc 'xp_regdeletevalue'
exec sp_dropextendedproc 'xp_regenumvalues'
exec sp_dropextendedproc 'Xp_regread'
exec sp_dropextendedproc 'xp_regremovemultistring'
exec sp_dropextendedproc 'xp_regwrite'
drop procedure sp_makewebtask
go

几个说明:
exec sp_dropextendedproc 'xp_cmdshell' [删除此项扩展后,将无法远程连接数据库]
还有以下3个存储过程会在SQL SERVER恢复备份时被使用,非必要请勿删除
exec sp_dropextendedproc 'xp_dirtree' [删除此项扩展后,将无法新建或附加数据库]
exec sp_dropextendedproc 'Xp_regread' [删除此项扩展后, 还原数据库辅助]
exec sp_dropextendedproc 'xp_fixeddrives' [删除此项扩展后,将无法还原数据库]

星外虚拟主机管理系统用户执行代码:
use master
exec sp_dropextendedproc 'xp_cmdshell'
exec sp_dropextendedproc 'xp_dirtree'
exec sp_dropextendedproc 'Sp_OACreate'
exec sp_dropextendedproc 'Sp_OADestroy'
exec sp_dropextendedproc 'Sp_OAGetErrorInfo'
exec sp_dropextendedproc 'Sp_OAGetProperty'
exec sp_dropextendedproc 'Sp_OAMethod'
exec sp_dropextendedproc 'Sp_OASetProperty'
exec sp_dropextendedproc 'Sp_OAStop'
exec sp_dropextendedproc 'xp_regaddmultistring'
exec sp_dropextendedproc 'xp_regdeletekey'
exec sp_dropextendedproc 'xp_regdeletevalue'
exec sp_dropextendedproc 'xp_regenumvalues'
exec sp_dropextendedproc 'Xp_regread'
exec sp_dropextendedproc 'xp_regremovemultistring'
exec sp_dropextendedproc 'xp_regwrite'
drop procedure sp_makewebtask
go

恢复脚本
use master
EXEC sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
EXEC sp_addextendedproc xp_enumgroups ,@dllname ='xplog70.dll'
EXEC sp_addextendedproc xp_loginconfig ,@dllname ='xplog70.dll'
EXEC sp_addextendedproc xp_enumerrorlogs ,@dllname ='xpstar.dll'
EXEC sp_addextendedproc xp_getfiledetails ,@dllname ='xpstar.dll'
EXEC sp_addextendedproc Sp_OACreate ,@dllname ='odsole70.dll'
EXEC sp_addextendedproc Sp_OADestroy ,@dllname ='odsole70.dll'
EXEC sp_addextendedproc Sp_OAGetErrorInfo ,@dllname ='odsole70.dll'
EXEC sp_addextendedproc Sp_OAGetProperty ,@dllname ='odsole70.dll'
EXEC sp_addextendedproc Sp_OAMethod ,@dllname ='odsole70.dll'
EXEC sp_addextendedproc Sp_OASetProperty ,@dllname ='odsole70.dll'
EXEC sp_addextendedproc Sp_OAStop ,@dllname ='odsole70.dll'
EXEC sp_addextendedproc xp_regaddmultistring ,@dllname ='xpstar.dll'
EXEC sp_addextendedproc xp_regdeletekey ,@dllname ='xpstar.dll'
EXEC sp_addextendedproc xp_regdeletevalue ,@dllname ='xpstar.dll'
EXEC sp_addextendedproc xp_regenumvalues ,@dllname ='xpstar.dll'
EXEC sp_addextendedproc xp_regremovemultistring ,@dllname ='xpstar.dll'
EXEC sp_addextendedproc xp_regwrite ,@dllname ='xpstar.dll'
EXEC sp_addextendedproc xp_dirtree ,@dllname ='xpstar.dll'
EXEC sp_addextendedproc xp_regread ,@dllname ='xpstar.dll'
EXEC sp_addextendedproc xp_fixeddrives ,@dllname ='xpstar.dll'
go
全部复制到"SQL查询分析器"
点击菜单上的--"查询"--"执行"，就会将有安全问题的SQL过程删除

另：其他的一些设置：
改远程桌面端口：
Windows 2003系统中的远程终端服务是一项功能非常强大的服务，同时也成了入侵者长驻主机的通道，入侵者可以利用一些手段得到管理员账号和密码并入侵主机。下面，我们来看看如何通过修改默认端口，防范黑客入侵。
众所周知，远程终端服务基于端口3389。入侵者一般先扫描主机开放端口，一旦发现其开放了3389端口，就会进行下一步的入侵，所以我们只需要修改该务默认端口就可以避开大多数入侵者的耳目。
步骤：
1、打开“开始→运行”，输入“regedit”，打开注册表，进入以下路径：[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]，看见PortNamber值了吗？其默认值是3389，修改成所希望的端口即可，例如5188。
2、再打开[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Tenninal Server\WinStations\RDP\Tcp]，将PortNumber的值（默认是3389）修改成端口5188。
3、修改完毕，重新启动电脑，以后远程登录的时候使用端口5188就可以了。

关闭驱动搜索：
   运行“gpedit.msc"打开组策略
    “计算机配置\管理模板\系统”
    启用“关闭 Windows Update 设备驱动程序搜索”
    “管理模板/系统/Internet 通信管理/Internet 通信设置”
    启用“关闭 Windows Update 设备驱动程序搜索”
    “用户配置\管理模板\系统”
    启用“配置驱动程序搜索位置” （不搜索软盘，光驱，Windows Update）
    “用户配置\管理模板\系统”
    忽略“设备驱动程序的代码签名”
    检查系统属性中的驱动签名是否为忽略，update是否为从不搜索。

关闭系统休眠：桌面右键选择“属性”——“屏幕保护”（将屏幕保护程序选择无）——“电源”——“休眠”将“启用休眠”前的勾去掉。
关闭远程连接：右键“我的电脑”选择“属性”——“远程”
关闭自动更新：右键“我的电脑”选择“属性”——“更新”
加快启动时间：右键“我的电脑”选择“属性”——“高级”--“启动和故障恢复”里——“设置”-显示的时间修改为3秒。并将下面的“发送管理警报”和“自动重新启动”前的勾去掉。

转移虚拟内存页面文件：
右键“我的电脑”选择“属性”——“高级”——“性能”里面的“设置”——“高级”——“高级”——选中当前系统分区，再选“自定义大小”，将“初始化大小”和“最大值”设为“0”，点击“设置”，然后选择需存放页面文件的分区（如D：等）然后将“初始化大小”和“最大值”设为“原先C：的参数”，点击 “设置”，再点击“确定”退出。

解决w3wp.exe占用CPU和内存问题:
1、在任务管理器中增加显示pid字段。就可以看到占用内存或者cpu最高的进程pid
2、在命令提示符下运行iisapp -a。注意，第一次运行，会提示没有js支持，点击确定。然后再次运行就可以了。这样就可以看到pid对应的应用程序池
3、到iis中察看该应用程序池对应的网站，就ok了。

关闭光盘U盘自动播放：
1.策略组关闭法
在前段时间熊猫烧香流行的时候，网上就流传着使用策略组关闭移动硬盘或者U盘自动关闭功能的方法。具体如：单击“开始-运行”，在“打开”框中，键入“gpedit.msc”，单击“确定”按钮，打开“组策略”窗口。在左窗格的“本地计算机策略”下，展开“计算机配置-管理模板-系统”，然后在右窗格的“设置”标题下，双击“关闭自动播放”。单击“设置”选项卡，选中“已启用”复选钮，然后在“关闭自动播放”框中单击“所有驱动器”，单击“确定”按钮，最后关闭组策略窗口。
2、关闭服务法
在“我的电脑”点击鼠标右键，选择“管理”，在打开的“计算机管理”中找到“服务和应用程序-服务”，然后在右窗格找到“Shell Hardware Detection”服务，这个服务的功能就是为自动播放硬件事件提供通知，双击它，在“状态”中点击“停止”按钮，然后将“启动类型”修改为“已禁用”或者“手动”就可以了。

本地安全策略的设置：
“开始”-“管理工具”-“本地安全策略”-“本地策略”-“安全选项”
找到“交互式登录：不显示上次的用户名”双击改为“已启用”
找到“交互式登录：不需要按CTRL+ALT+DEL”双击改为“已启用”
找到“交互式登录：可被缓存的前次登陆次数”双击修改为“0”
找到“帐户：重新命名系统管理员帐户”双击修改为你想要的，我们这里修改为“laoyang”等

不缓存缩略图图标：
打开“我的电脑”-“工具”-“文件夹选项”-“查看”勾上“不缓存缩略图”，去掉“自动搜索网络文件夹和打印机”前的勾。

用鼠标点任务栏中显示的时间(桌面右下方),点Internet时间,把自动与Internet时间保持同步前面的勾去掉

删除多余的启动项：
hkey_local_machine＼software＼microsoft＼windows＼currentversion＼run
我是用优化大师绿色版，在非C盘运行讲日文输入法、繁体输入法、韩文输入法启动项删除的！

修改注册表永久删除共享：
在运行对话框中输入“regedit”并回车，打开注册表编辑器，在左侧面板中定位到“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\ Parameters”,在该位置下新建一个名为“AutoShareWks”的DWORD值，并将其数值设置为“0”重启系统后所有的默认共享都将被自动删除，并且不会继续创建。

清除3389连接后留下的日志，清除3389远程桌面连接记录,清空远程桌面连接中的记录：
@echo off
@reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /f
@del "%USERPROFILE%\My Documents\Default.rdp" /a
@exit
保存为批处理"*.bat"。运行即可
/va 删除项下面所有键值
/f不提示
/a 删除隐藏文件