windows安全配置

比较重要的

1. 更改默认administrator用户名，密码复杂些

2. 开启防火墙（设置入站规则，入站出站默认所有阻止）

3. 杀毒软件

4. 删除默认共享（net share C$ /del）

5. 本地安全策略

安全选项：

交互式登陆：不显示最后的用户名  启用

网络访问：不容许SAM账户和共享的匿名枚举  启用

网络访问: 不容许存储网络身份验证的凭据   启用

网络访问：可匿名访问的命名管道   所有删除

网络访问：可远程访问的注册表路径   所有删除

网络访问：可远程访问的注册表路径和子路径   所有删除

账户： 重命名来宾账户      更改

账户： 重命名系统管理员账户   更改

用户权限分配：

关闭系统： 留下administrators组，其它所有删除

经过远程桌面服务拒绝登陆： 加入Guests组，IUSR_***, IWAM_***, NETWORK SERVICE, SQLDebuger

经过远程桌面服务容许登陆：加入administrators，Remote Desktop Users组，其它所有删除

6. 密码策略

密码必须符合复杂性要求  启用

设置最短密码长度

账户锁定策略：

锁定失败次数，锁定时间等

7. 审核策略

审核策略更改  成功  失败

审核登陆事件   成功   失败

审核对象访问   失败

审核过程跟踪  无审核

审核目录服务访问   失败

审核特权使用   失败

审核系统事件   成功 失败

审核账户登陆事件   成功  失败

审核账户管理     成功   失败

8.  禁用没必要要的服务

Distributed linktracking client   更新局域网链接信息

PrintSpooler   打印服务

Remote Registry   远程修改注册表

Server    计算机经过网络的文件 ，打印，共享

Tcp/IP NetBIOS Helper  

Computer Brower

9. 组策略

用户配置—>管理模板—>系统

启用阻止访问命令提示符，同时选择下面的 也中止命令提示符脚本处理

启用 阻止访问注册表编辑工具

启用不要运行指定的windows程序，添加下面的

at.exe  attrib.exe  cacls.exe  cmd.exe  format.exe  net.exe  net1.exe netstat.exe regedit.exe  tftp.exe

10. 文件权限

各分区权限保留 administrator和system彻底控制权限，其它删除，子目录各自详细设置。