比较重要的
1. 更改默认administrator用户名,密码复杂些
2. 开启防火墙(设置入站规则,入站出站默认全部阻止)
3. 杀毒软件
4. 删除默认共享(net share C$ /del)
5. 本地安全策略
安全选项:
交互式登录:不显示最后的用户名 启用
网络访问:不允许SAM帐户和共享的匿名枚举 启用
网络访问: 不允许存储网络身份验证的凭据 启用
网络访问:可匿名访问的命名管道 全部删除
网络访问:可远程访问的注册表路径 全部删除
网络访问:可远程访问的注册表路径和子路径 全部删除
帐户: 重命名来宾帐户 更改
帐户: 重命名系统管理员帐户 更改
用户权限分配:
关闭系统: 留下administrators组,其它全部删除
通过远程桌面服务拒绝登录: 加入Guests组,IUSR_***, IWAM_***, NETWORK SERVICE, SQLDebuger
通过远程桌面服务允许登录:加入administrators,Remote Desktop Users组,其它全部删除
6. 密码策略
密码必须符合复杂性要求 启用
设置最短密码长度
帐户锁定策略:
锁定失败次数,锁定时间等
7. 审核策略
审核策略更改 成功 失败
审核登录事件 成功 失败
审核对象访问 失败
审核过程跟踪 无审核
审核目录服务访问 失败
审核特权使用 失败
审核系统事件 成功 失败
审核帐户登录事件 成功 失败
审核帐户管理 成功 失败
8. 禁用不必要的服务
Distributed linktracking client 更新局域网连接信息
PrintSpooler 打印服务
Remote Registry 远程修改注册表
Server 计算机通过网络的文件 ,打印,共享
Tcp/IP NetBIOS Helper
Computer Brower
9. 组策略
用户配置—>管理模板—>系统
启用阻止访问命令提示符,同时选择下面的 也停止命令提示符脚本处理
启用 阻止访问注册表编辑工具
启用不要运行指定的windows程序,添加下面的
at.exe attrib.exe cacls.exe cmd.exe format.exe net.exe net1.exe netstat.exe regedit.exe tftp.exe
10. 文件权限
各分区权限保留 administrator和system完全控制权限,其它删除,子目录各自详细设置。