打开服务器本地计算机策略（gpedit.msc），参考以下选择和修改对服务器进行加固：

1．  设置帐号锁定阀值为5次无效登录，锁定时间为30分钟；

2．   从通过网络访问此计算机中删除Everyone组；

3．  在用户权利指派下，从通过网络访问此计算机中删除Power Users和Backup Operators；

4．  为交互登录启动消息文本。

5．  启用 不允许匿名访问SAM帐号和共享；

6．  启用 不允许为网络验证存储凭据或Passport；

7．  启用 在下一次密码变更时不存储LANMAN哈希值；

8．  启用 清除虚拟内存页面文件；

9．  禁止IIS匿名用户在本地登录；

10．              启用 交互登录：不显示上次的用户名；

11．              从文件共享中删除允许匿名登录的DFS$和COMCFG；

12．              禁用活动桌面。

强化TCP协议栈：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters]

"SynAttackProtect"=dword:00000001

"EnablePMTUDiscovery"=dword:00000000

"NoNameReleaseOnDemand"=dword:00000001

"EnableDeadGWDetect"=dword:00000000

"KeepAliveTime"=dword:00300000

"PerformRouterDiscovery"=dword:00000000

"TcpMaxConnectResponseRetransmissions"=dword:00000003

"TcpMaxHalfOpen"=dword:00000100

"TcpMaxHalfOpenRetried"=dword:00000080

"TcpMaxPortsExhausted"=dword:00000005

·安装和配置IIS

进入Windows组件安装，找到应用程序服务器，进入详细信息，勾选ASP.NET后，IIS必须的组件就会被自动选择，如果你的服务器需要运行ASP脚本，那么还需要进入Internet信息服务（IIS）-万维网服务下勾选Active Server Pages。完成安装后，应当在其他逻辑分区上单独建立一个目录用来存储WEB网站程序及数据。

一台WEB服务器上都运行着多个网站，他们之间可能互不相干，所以为了起到隔离和提高安全性，需要建立一个匿名WEB用户组，为每一个站点创建一个匿名访问账号，将这些匿名账号添加到之前建立的匿名WEB用户组中，并在本地计算机策略中禁止此组有本地登录权限。