其中：

　　(1)Remote Registry Service允许远程注册表操作，如果没有特殊的管理平台（例如SMS）需要远程修改计算机注册表的话，该服务也可以禁用。

　　(2)DHCP Client服务是用于DHCP客户端接收服务器分发的IP地址，还可实现客户机DNS动态注册。在本案例中，所有计算机均是固定IP地址，并无DHCP服务。所以该服务也可以关闭，这样可防止未经授权或恶意用户配置或操作该服务。

　　(3)Task scheduler服务允许程序在指定时间运行，如果没有设置计划任务的话，该服务也没有启动的必要。

　　(4)Print Spooler服务将文件加载到内存中以便以后打印。该服务非常容易遭到攻击，所以除打印服务器和其他需要打印功能的计算机外，计算机上的这个服务都必须禁用。

　　(5)Telephony服务为电话应用程序编程接口 (TAPI) 提供支持。 TAPI主要是用来支持传统和 IP 电话服务，以提供声音、数据和视频通信。对于 Windows 2000 Server 和 Windows Server 2003 以及 Windows 2000 Professional 和 Windows XP 系统，如果尚未配置电话服务功能，Telephony服务将是一个本地特权提升漏洞。

　　(6)Messenger 服务负责传输客户端和服务器之间的 NET SEND 和 警报器服务消息，通常该服务可以关闭。

　　在很多文章中还提到Computer Browser、TCP/IP NetBIOS Helper等服务也需要禁用，但事实这些服务只是在单机情况不起作用，在局域网环境中是十分重要的。例如如果TCP/IP NetBIOS Helper服务禁用的话，基于域的组策略将不再起作用，同时域用户也将无法登陆。

　　2.关闭不必要的端口。

　　默认情况下，Windows有很多端口是开放的，这些开放的端口会带来很大的安全隐患，端口主要包括：TCP 135、139、445、593、1025 端口和 UDP 135、137、138、445 端口，以及一些流行病毒的后门端口（TCP 2745、3127、6129 端口等）。我们可以利用IP安全策略中的IP筛选器来关闭这些网络端口，具体方法如下：

　　(1)打开“默认域策略”，依次展开“计算机配置” 、“Windows设置” 、“安全设置”，然后选中“IP 安全策略，在Acive Directory” 。在右边窗格的空白位置右击鼠标，弹出快捷菜单，选择“创建 IP 安全策略”。在向导中点击“下一步”按钮，为新的安全策略命名（端口屏蔽）；再按“下一步”，则显示“安全通信请求”窗口，取消对“激活默认相应规则”的选择，点击“完成”按钮就创建了一个新的IP 安全策略。

　　(2)右击该IP安全策略，在“属性”对话框中，把“使用添加向导”选项去掉，然后单击“添加”按钮添加新的规则，随后弹出“新规则属性”对话框，点击“添加”按钮，弹出IP筛选器列表窗口；在列表中，首先把“使用添加向导”选项去掉，然后再点击右边的“添加”按钮添加新的筛选器（TCP）。

　　(3)进入“筛选器属性”对话框，首先看到的是寻址，源地址选“任何 IP 地址”，目标地址选“我的 IP 地址”；点击“协议”选项卡，在“选择协议类型”的下拉列表中选择“TCP”，然后在“到此端口”下的文本框中输入“135”，点击“确定”按钮，这样就添加了一个屏蔽 TCP 135（RPC）端口的筛选器。

　　(4)点击“确定”后回到筛选器列表的对话框，可以看到已经添加了一条策略，重复以上步骤继续添加 TCP 137、139、445、593 端口和 UDP 135、139、445 端口，为它们建立相应的筛选器示。

　　(5)再重复以上步骤添加TCP 1025、2745、3127、6129端口的屏蔽策略，建立好上述端口的筛选器，最后点击“确定”按钮。

　　(6)如6图所示，在“新规则属性”对话框中，选择“TCP筛选器列表”，激活它，最后点击“筛选器操作”选项卡。在“筛选器操作”选项卡中，把“使用添加向导”选项去掉，点击“添加”按钮，在“新筛选器操作属性”的“安全措施”选项卡中，选择“阻止”，然后点击“确定”按钮。

　　(7)进入“新规则属性”对话框，激活“新筛选器操作”，关闭对话框；最后回到“新IP安全策略属性”对话框，按“确定”按钮关闭对话框。在“本地安全策略”窗口，用鼠标右击新添加的 IP 安全策略（端口屏蔽），然后选择“指派”。

　　（二）重命名默认帐户Administrator

　　1.打开“默认域策略”，依次展开“计算机配置”、“Windows 设置”、“安全设置”、“本地策略”，然后单击“安全选项”。

　　2.在右窗格中，双击“帐户：重命名系统管理员帐户”。

　　3.单击以选中“定义这个策略设置”复选框，然后键入要用于管理员帐户的新名称。

　　4.单击“确定”。

　　（三）屏蔽之前登录的用户信息

　　1.打开“默认域策略”，依次展开“计算机配置”、“Windows 设置”、“安全设置”、“本地策略”，然后单击“安全选项”。

　　2.在右窗格中，双击“交互式登陆：不显示上次的用户名”。

　　3.单击以选中“定义这个策略设置”复选框，然后选择“启用”。