1、除了服务器需要用的一些正规软件，其它都不要安装。

2、在用户中把administrator改名,这样做的目的是即使对方暴破了我们的密码用户名也不容易猜住，相当于又加了一道关卡。

设置一个复杂的密码，这个不多说。

然后空白处右击新建一个administrator普通的账户，并设置一个复杂的密码。

新建一个没有什么权限的账户让对方破吧，破了用这个账户登陆也没有什么权限。让对方想方设法提权相当又增添了一道关卡。

3、禁用guest及其它无用的账户

4、能不用3389远程尽量不用,把下面的勾去掉。

如果要用，请修改默认端口。

5、路由中不要映射关于服务器的端口，意思就是不要把服务器的端口公布到外网，小心被端口扫描。每个端口都相当于系统的一道小门。

6、关闭文件共享，在网卡属性中把"网络的文件和打印机共享"前面的勾去掉。实际是把445端口给封了。

7、禁用NetBIOS，实际就是把139端口给封了。这个是黑客常常光临的端口。

8、把以下保存为.bat在服务器上执行一次，可以屏蔽一些常见的危险端口。第6和7可以省略。本批处理源于网络，在此感谢写此批处理的作者。

@echo off sc config BFE start= auto sc config PolicyAgent start= auto sc start BFE sc start PolicyAgent title 创建IP安全策略，屏蔽135、139 . . . 等端口 netsh ipsec static add policy name=qianye netsh ipsec static add filterlist name=Filter1 netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=135 protocol=TCP netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=139 protocol=TCP netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=445 protocol=TCP netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=1443 protocol=TCP netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=700 protocol=TCP netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=720 protocol=TCP netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=722 protocol=TCP netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=8083 protocol=TCP netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=23246 protocol=TCP netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=1045 protocol=TCP netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=135 protocol=UDP netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=139 protocol=UDP netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=445 protocol=UDP netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=1443 protocol=UDP netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=1045 protocol=UDP netsh ipsec static add filteraction name=FilteraAtion1 action=block netsh ipsec static add rule name=Rule1 policy=qianye filterlist=Filter1 filteraction=FilteraAtion1 netsh ipsec static set policy name=qianye assign=y exit

9、NtLmSsp登录爆破防御(下面的操作会影响远程桌面，远程非常重要的不要设置)

运行——gpedit.msc——计算机管理——windows设置——安全设置——本地策略——安全选项——设置看下图。

10、运行——gpedit.msc——计算机管理——windows设置——安全设置——帐户策略——帐户锁定策略——设置如下图

账户锁定阈值：设置成3到5次或更多，比如设置的是3次无效登陆，意思是3次输入错误系统会锁定。而锁定多长时间可以再次输入密码登陆，就需要设置“账户锁定时间”一般设置个30分钟到1个小时，这个看个人了。

11、定期更新重要安全补丁。方法1去微软官方下载更新「链接」方法2:通过安全软件更新补丁。

以上方法不能保证100%，最少可以保证98%，仅供参考。