snad to shrnu všechno:

- běží POUZE nezbytně nutné služby a aplikace
- pravidlo Least Privilege aplikované úplně všude, včetně servisních účtů.
- práva na NTFS co nejvíce restriktivní (použítí šablon)
- pravidelně aktualizace, zejména IIS
- na IIS běží a je povoleno, pouze co by mělo
- IPSEC filtrování i na straně vnitřní sítě (tedy i z vnitřní sítě se dostane klient jen a pouze, k tomu k čemu potřebuje) - tím se mírní možnost nákazy z vnitřní sítě. Toto samozřejmě není možné pokud je to takový ten klasický "server pro všechno", což samizřejmě nemůže být onen "dobře zabezpečneý server". Takový server nevystavovat vůbec, jen za VPN