Revi alguns dos erros que a Belarc identifica. Como exemplo:
Windows Firewall Inbound Rules Section Score: 0.00 of 0.63
1. Core Networking - Dynamic Host Configuration Protocol (DHCP-In) (CCE-14986)
2. Core Networking - Dynamic Host Configuration Protocol (DHCPV6-In) (CCE-14854)
Se você não estiver fazendo o IPv6 na sua rede e desativado no Win7, se preocupar com o IPv6 será uma perda de tempo. Outros, como:
35. Network access: Do not allow anonymous enumeration of SAM accounts (CCE-9249)
36. Network access: Do not allow anonymous enumeration of SAM accounts and shares (CCE-9156)
Se você fizer um, você faz o outro. No entanto, há uma razão pela qual eles são separados. Você precisa saber quando é uma boa ideia aplicar isso a contas e compartilhamentos SAM. Ainda outros exemplos:
26. Microsoft network client: Digitally sign communications (always) (CCE-9327)
27. Microsoft network client: Digitally sign communications (if server agrees) (CCE-9344)
Se você fizer um, você não pode estar fazendo o outro (Se você está sempre assinando algo, você não está fazendo isso apenas se o servidor concordar).
Não deixe que isso lhe sacre. Se você clicar em cada item, um de cada vez, eles explicam o que são e o que você precisa fazer com eles.
Lembre-se de que, se você estiver usando o IE9 no Windows:
US Government OMB-mandated security configuration for Windows 7 and Internet Explorer 8.
Por último, você perguntou sobre um guia, realmente não há um (que eu encontrei ou ouvi falar), cada item tem links para uma explicação sobre isso.