1.  首先取消各磁盘中不必要的权限。C盘建议只保留administrators组、system组的完全控制权限和IIS_WPG组的读取执行权限。（建议使用“安全”选项卡中的“高级”进行权限分配工作）

D盘如果是用于存放网站程序文件，建议保留administrators组、system组的完全控制权和设置users组“读取属性”的权限（用于ASP.NET创建目录）。

其余盘尽可能只保留administrators组、system组的完全控制权，其余权限都去除掉。  
 
2.把  WScript，Shell这些组件反注册掉。
在开始菜单—运行—输入“CMD”后按确认—输入下面指令：
regsvr32/u wshom.ocx
regsvr32/u shell32.dll

 3.  C:windowssystem32下的cacls.exe、net.exe、net1.exe、cmd.exe、wshom.ocx、shell32.dll、文件，按鼠标右键“属性”->“安全”->“高级”，去掉“允许父项的继承权限...”这个选项(接着点“复制”)，然后将除了administrators及system之外的权限都去掉

4.  增加账号安全管理。在开始菜单--“运行”中输入：gpedit.msc。然后“计算机配置”—“windows设置”—“安全设置”鼠标右键—“导入策略”

预先定义的安全模板有：

（1）默认安全（setup security.inf）

（2）域控制器默认安全（DC security.inf）

（3）兼容（compatws.inf）

（4）安全（secure*.inf）

（5）高度安全（hisec*.inf）

（6）系统根目录安全（rootsec.inf）

（7）IE浏览器安全（iesacls.inf）

可根据服务器的实际业务情况自行选择合适的模板

 

 5.  取消不必要的系统服务。开始菜单—运行-- services.msc。
将不必要服务的启动类型设置为“禁用”

以下为Win 2003系统中不必要开放的服务列表：

·Computer Browser 维护网络上计算机的最新列表以及提供这个列表

·Task scheduler 允许程序在指定时间运行

·Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务

·Removable storage 管理可移动媒体、驱动程序和库

·Remote Registry Service 允许远程注册表操作

·Print Spooler 将文件加载到内存中以便以后打印。要用打印机的朋友不能禁用这项

·IPSEC Policy Agent 管理IP安全策略以及启动ISAKMP/OakleyIKE)和IP安全驱动程序

·Distributed Link Tracking Client 当文件在网络域的NTFS卷中移动时发送通知

·Com+ Event System 提供事件的自动发布到订阅COM组件

·Alerter 通知选定的用户和计算机管理警报

·Error Reporting Service 收集、存储和向 Microsoft 报告异常应用程序

·Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息

·Telnet 允许远程用户登录到此计算机并运行程序