windows安全配置

比較重要的

1. 更改默認administrator用戶名，密碼複雜些

2. 開啓防火牆（設置入站規則，入站出站默認所有阻止）

3. 殺毒軟件

4. 刪除默認共享（net share C$ /del）

5. 本地安全策略

安全選項：

交互式登陸：不顯示最後的用戶名  啓用

網絡訪問：不容許SAM賬戶和共享的匿名枚舉  啓用

網絡訪問: 不容許存儲網絡身份驗證的憑據   啓用

網絡訪問：可匿名訪問的命名管道   所有刪除

網絡訪問：可遠程訪問的註冊表路徑   所有刪除

網絡訪問：可遠程訪問的註冊表路徑和子路徑   所有刪除

賬戶： 重命名來賓賬戶      更改

賬戶： 重命名系統管理員賬戶   更改

用戶權限分配：

關閉系統： 留下administrators組，其它所有刪除

經過遠程桌面服務拒絕登陸： 加入Guests組，IUSR_***, IWAM_***, NETWORK SERVICE, SQLDebuger

經過遠程桌面服務容許登陸：加入administrators，Remote Desktop Users組，其它所有刪除

6. 密碼策略

密碼必須符合複雜性要求  啓用

設置最短密碼長度

賬戶鎖定策略：

鎖定失敗次數，鎖定時間等

7. 審覈策略

審覈策略更改  成功  失敗

審覈登陸事件   成功   失敗

審覈對象訪問   失敗

審覈過程跟蹤  無審覈

審覈目錄服務訪問   失敗

審覈特權使用   失敗

審覈系統事件   成功 失敗

審覈賬戶登陸事件   成功  失敗

審覈賬戶管理     成功   失敗

8.  禁用沒必要要的服務

Distributed linktracking client   更新局域網鏈接信息

PrintSpooler   打印服務

Remote Registry   遠程修改註冊表

Server    計算機經過網絡的文件 ，打印，共享

Tcp/IP NetBIOS Helper  

Computer Brower

9. 組策略

用戶配置—>管理模板—>系統

啓用阻止訪問命令提示符，同時選擇下面的 也中止命令提示符腳本處理

啓用 阻止訪問註冊表編輯工具

啓用不要運行指定的windows程序，添加下面的

at.exe  attrib.exe  cacls.exe  cmd.exe  format.exe  net.exe  net1.exe netstat.exe regedit.exe  tftp.exe

10. 文件權限

各分區權限保留 administrator和system徹底控制權限，其它刪除，子目錄各自詳細設置。