第一、安装防火墙，并更新系统漏洞，定期运行Windows Update更新补丁，并开启Windows默认的防火墙。【注意：在启动防火墙前，需先在例外中设置允许以下TCP端口：3389、1433、3306、25、21、20、80、110、53；同时设置允许以下程序使用网络：C:\windows\system32\inetsrv\inetinfo.exe、C:\windows\system32\inetsrv\w3wp.exe】

第二、安装防护软件，推荐：火绒安全软件。

第三、更改远程端口。

第四、使用我司提供的安全策略。

第五、设置系统策略，配置复杂密码及账户锁定策略。

第六、开启操作日志。

第七、服务器所有磁盘分区的根目录，禁止赋予Everyone、Users组读与运行权限。

第八、设置数据库以普通用户权限运行。

第九、禁止安装非必要的第三方软件及插件。

第十、避免在服务器上使用浏览器，以防感染网页木马。

第十一、禁止安装远程控制软件，使用系统自带工具更安全。

第十二、禁止运行未知来源程序；仅运行可信、必要的业务程序，运行前需先查杀病毒。

第十三、禁止在服务器上使用IE打开用户硬盘中的网页和图片，该行为极易导致木马入侵，严重破坏服务器安全。

第十四、设置system32目录下的cmd.exe、at.exe、cacls.exe、ftp.exe文件，仅赋予ADMS、System组全权权限，禁止其他任何权限。

第十五、服务器上所有ASP、PHP、ASP.NET程序，严禁使用SQL的sa用户或MySQL的root用户连接数据库，否则易导致服务器被入侵。

第十六、由于旧版本WinRAR存在安全漏洞，若需使用WinRAR，务必安装其新版本。

第十七、禁止运行私服、挖矿等非法程序；合法服务可使用固定端口，但需做好端口防护及访问限制。

第十八、为C:\Documents and Settings\All Users\Documents目录的Users用户组设置拒绝写入权限。

第十九、禁止服务器中的“Distributed Transaction Coordinator”服务（因IIS存在未修复漏洞，该服务建议禁用）。运行以下命令可自动禁用：

sc stop MSDTC & sc config MSDTC start= disabled

第二十、若存在以下目录，请予以删除：c:\windows\ServicePackFiles，该目录下文件可能被黑客利用。

第二十一、以下目录的权限禁止修改：

　　c:\windows

　　c:\windows\system32

　　C:\Program Files

　　C:\Documents and Settings

（例外：C:\Documents and Settings\All Users\Documents目录的Users用户组需设置拒绝写入权限。）

第二十二、c:\winnt\system32\inetsrv\Data目录默认赋予Everyone写入权限，易被黑客植入木马，需及时调整权限。

第二十三、禁用不必要的CGI映射，仅保留业务必需的CGI功能，并严格配置执行权限与请求过滤。

第二十四、针对c:\windows\system32\msdtc目录的权限，需删除NETWORK SERVICE组的写入权限。