Реестр WinXP
Клиентские машины у меня практически все на WinXP (пока что), часто приходится ковыряться, особенно в реестре. Так что кое что на заметку:

1. Отключение автозапуска с дисков1. Отключение автозапуска с дисков (autorun.inf)

Реестр*:
reg add "HKLM\SYSTEM\CurrentControlSet\Services\Cdrom" /v AutoRun /t REG_DWORD /d 0 /f
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files" /v "*.*" /t REG_SZ /d "" /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 0xFF /f

Групповые политики:
Пуск -> Выполнить... -> gpedit.msc -> Конфигурация пользователя -> Административные шаблоны -> Система -> Отключить автозапуск -> Включён, на всех дисководах.

2. Отключение тем оформления2. Отключение тем оформления (в т.ч. и на экране приветствия). Оставляем только классическую тему.

Пуск -> Настройка -> Панель управления -> Администрирование -> Службы -> Темы -> Тип запуска: отключено, Стоп.

3. Язык по умолчанию и изменение раскладок в окне приветствия3. Язык по умолчанию и изменение раскладок в окне приветствия.

Поставить английскую раскладку по умолчанию (для русской поменять значения местами):

reg add "HKU\.DEFAULT\Keyboard Layout\Preload" /v 1 /t REG_SZ /d 00000409 /f
reg add "HKU\.DEFAULT\Keyboard Layout\Preload" /v 2 /t REG_SZ /d 00000419 /f

Установить переключение раскладок по Ctrl-Shift (для Alt-Shift "/d 1"):

reg add "HKU\.DEFAULT\Keyboard Layout\Toggle" /v Hotkey /t REG_SZ /d 2 /f

Включать NumLock при загрузке (активация доп. цифровой клавиатуры):

reg add "HKU\.DEFAULT\Control Panel\Keyboard" /v InitialKeyboardIndicators /t REG_SZ /d 2 /f

4. Автоматический вход определённого пользователя в систему4. Автоматический вход определённого пользователя в систему.

Если компьютер в домене:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v DefaultUserName /t REG_SZ /d myusername /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v DefaultPassword /t REG_SZ /d mypassword /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v DefaultDomainName /t REG_SZ /d mydomainname /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v ForceAutoLogon /t REG_SZ /d 1 /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v AutoAdminLogon /t REG_SZ /d 1 /f

Если компьютер в воркгруппе:

Пуск -> Выполнить... -> control userpasswords2 -> снять галочку "Требовать ввод имени пользователя и пароля", ввести то, что просят.

5. Отключение планировщика задач5. Отключение планировщика задач (ибо это дыра безопасности).

reg add "HKLM\SYSTEM\CurrentControlSet\Services\Schedule" /v Start /t REG_DWORD /d 4 /f

6. Закрытие локальных дисков для доступа из сети6. Закрытие локальных дисков для доступа из сети. На самом деле все ваши диски видны в локальной сети. Не верите? Найдите параметр через контекстное меню "Мой компьютер" -> Свойства -> Имя компьютера -> Полное имя. Пусть это будет mycomp. Откройте любую папку и в строке адреса введите \\mycomp\c$ Вобщем, если вам, как администратору, это не надо, закрываем эту дыру.

Для серверов:
reg add "HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" /v AutoShareServer /t REG_DWORD /d 0 /f

Для рабочих станций:
reg add "HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" /v AutoShareWks /t REG_DWORD /d 0 /f


7. Закрываем порты-дыры в безопасности7. Закрываем порты-дыры в безопасности.
7.1. Закрываем порт 135 (Disabling Distributed COM (DCOM)).
reg add "HKLM\SOFTWARE\Microsoft\Ole" /v EnableDCOM /t REG_SZ /d N /f

или
Меню Пуск -> Выполнить... -> dcomcnfg.exe -> Свойства по умолчанию -> убираем галочку "Разрешить использовать DCOM на этом компьютере"

7.2. Закрываем порт 445 TCP/UDP (NetBT).
reg delete "HKLM\SYSTEM\CurrentControlSet\Services\NetBT\Parameters" /v TransportBindName /f

или
Меню Пуск -> Настройки -> Панель управления -> Система -> Оборудование -> Диспетчер устройств (в меню "Вид" выбираем "Показывать скрытые устройства" ) -> Драйверы устройств не Plug and Play -> NetBios через TCP/IP -> Драйвер -> Автозагрузка -> Тип: "Отключено".

7.3. Как закрыть остальные порты через реестр, я не нашёл. Закрывать с помощью фаервола советуют (по степени увеличения параноидальности):

- 135, 445 (см. выше);
- 137-139, 5000;
- 555;
- 12345, 12346, 20034, 27374, 31337, 31338, 54320, 54321
- 2000, 2001, 30100, 30102, 31785, 31789, 31791, 65000;
- 2773, 7215.


8. Отключение доступа по нулевой сессии и гоcтевого аккаунта (необходимость авторизации)8. Отключение доступа по нулевой сессии и готевого логина (необходимость авторизации, в т.ч. и для админов).

reg add "HKLM\SYSTEM\CurrentControlSet\Control\Lsa" /v RestrictAnonymous /t REG_DWORD /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer" /v RestrictNullSessionAccess /t REG_DWORD /d 1 /f

*прим.: операции с реестром (reg add ...) вводить в терминале, т.е. Пуск -> Выполнить... -> cmd
При желании можете изменить эти же ключи в редакторе реестра, Пуск -> Выполнить... -> regedit

ЗЫ: если уж в итоге подвёл речь под безопасность, то порекомендую бесплатные, но эффективные утилиты. Это Dr.Web CureIt! и AVZ. Оба не предназначены для сканирования по доступу (т.е. для постоянного слежения за вирусами), но неплохо проверяют по запросу.

Если есть идеи/замечания или собственные наблюдения по этим вопросам, прошу в комменты )