第六步：要求SMB signing
　　关键点：SMB signing可以帮助防御人在中间（man-in-the-middle）攻击。
　　第七步：加强网络策略
　　关键点：应该激活 “不要允许SAM的anon. enum” 等设置，而“允许匿名SID/Name翻译”等设置不应该激活。这些可能会被认为是低等级的安全，但是这是加强Windows系统安全向的重要组成部分。
　　第八步：使用Software Update Services (SUS)
　　关键点：应该总是使用SUS或者其他补丁管理系统来接收、分配并跟进最新的补丁。
　　第九步：划定范围、隔离和清除
　　关键点：这是最重要的一步。使用网络访问隔离控制（Network Access Quarantine Control，NAQC），应该限制或者不接受资源流向特定的客户端，把非隔离的客户端放入固定的部分，来检查系统属性，最后在被允许连接之前提供资源来修复所发现的问题。
　　第十步：做最坏的打算
　　关键点：为灾难做些计划，可以使用脚本建立80% 的架构，并预留更多的时间手动重建剩余的20% 。
第十一步：使用Group Policy Management Console
　　关键点：现在比之前更容易实用群组策略（Group Policy）来平均地设置安全策略——应该利用这一点。
　　第十二步：使用微软基准安全分析器（Microsoft Baseline Security Analyzer，MBSA）
　　关键点：这是一种很便利的工具可以用于扫描Windows更新中的电脑。他由微软不断的更新，并且可以支持一些产品。
　　第十三步：自己要熟悉IPsec
　　关键点：IP是公开的没有加密。应该使用IPsec来保护在服务器、客户通道和任何点对点交换（两边都知道如何读取IPsec）之间的传输，
　　第十四步：使用IIS（Internet Information Services）6.0
　　关键点：因为有很多最新的安全进步，IIS最终已经可以用于黄金时段了。
　　第十五步：安装Windows Server 2003 SP 1
　　关键点：SP 1是在2005年中期的时候发布的，改善之处包括安全配置向导和远程客户端隔离。

【 顶部 】 【 关闭 】