2.做绑定本机的IP与MAC及绑定网关IP的与网关MAC批处理并且设置开机启动，为了去掉黑框，可用VBS执行批处理。

绑定网关的批处理

@echooff

arp-d&arp-s你的网关网关的MAC

exit

绑定本机的批处理

@echooff

ifexistipconfig.txtdelipconfig.txt

ipconfig/all>ipconfig.txt

ifexistphyaddr.txtdelphyaddr.txt

find"PhysicalAddress"ipconfig.txt>phyaddr.txt

for/f"skip=2tokens=12"%%Min(phyaddr.txt)dosetMac=%%M

ifexistIPAddr.txtdelIPaddr.txt

find"IPAddress"ipconfig.txt>IPAddr.txt

for/f"skip=2tokens=15"%%Iin(IPAddr.txt)dosetIP=%%I

arp-s%IP%%Mac%

delipaddr.txt

delipconfig.txt

delphyaddr.txt

exit

去黑框的VBS(如跟批处理同目录，则只需修改批处理的名称)

DimWsh

SetWsh=WScript.CreateObject("WScript.Shell")

WScript.Sleep(0000)

Wsh.Run"批处理的名称.bat",0,True

SetWsh=NoThing

WScript.quit

至于修改注册表的阕值等，没有去修改了，客户机做到这些，路由器再进行绑定实现双绑，应该可以防御一般的ARP攻击了，如果不是恶意的攻击(一些已知的恶意攻击软件可以通过注册表或者组策略屏蔽掉,比如OK.EXE等)

②已知病毒的免疫以及有些危害性极大的病毒的免疫

通过注册表或者组策略免疫常见的病毒以及一些BT类/破坏类软件，网上有朋友做出来这个注册表补丁了的，可以免疫1000多种病毒

重点免疫威金/熊猫/SXS等病毒，建立相关的假病毒文件，加属性去权限。

也可以建立假的一些恶意的流氓软件文件，加属性去权限。

通过IP安全策略关闭一些病毒木马的端口以及一些危险的端口，比如445/139等

用禁止窗口标题的程序自己添加需要禁止的窗口标题并且设置开机启动。

相关的程序我已经随贴发了上来。