1.审核策略:
本地策略——>审核策略
审核策略更改 成功 失败
审核登录事件 成功 失败
审核对象访问 失败
审核过程跟踪 无审核
审核目录服务访问 失败
审核特权使用 失败
审核系统事件 成功 失败
审核账户登录事件 成功 失败
审核账户管理 成功 失败
2.安全选项:
本地策略-->安全选项
在运行中输入gpedit.msc回车,选择计算机配置-->Windows设置-->安全设置-->本地策略-->安全选项
交互式登陆:不显示最后的用户名 启用
网络访问:不允许SAM帐户的匿名枚举 启用 已经启用
网络访问:不允许SAM帐户和共享的匿名枚举 启用
网络访问:不允许储存网络身份验证的凭据 启用
网络访问:可匿名访问的共享 内容全部删除
网络访问:可匿名访问的命名管道 内容全部删除
网络访问:可远程访问的注册表路径 内容全部删除
网络访问:可远程访问的注册表路径和子路径 内容全部删除
3.密码策略:
选择计算机配置-->Windows设置-->安全设置-->密码策略
启动 密码必须符合复杂性要求
最短密码长度
4.账户锁定策略
在运行中输入gpedit.msc选择计算机配置-->Windows设置-->安全设置-->账户策略-->账户锁定策略
将账户锁定阈值设为三次登陆无效
锁定时间为30分钟
复位锁定计数设为30分钟
5.禁用不需要的和危险的服务:
Distributed linktracking client 用于局域网更新连接信息
PrintSpooler 打印服务
Remote Registry 远程修改注册表
Server 计算机通过网络的文件、打印、和命名管道共享
TCP/IP NetBIOS Helper 提供
TCP/IP (NetBT) 服务上的
NetBIOS 和网络上客户端的
NetBIOS 名称解析的支持
Workstation 泄漏系统用户名列表 与Terminal Services Configuration 关联
Computer Browser 维护网络计算机更新 默认已经禁用
Net Logon 域控制器通道管理 默认已经手动
Remote Procedure Call (RPC) Locator RpcNs*远程过程调用 (RPC) 默认已经手动
6.共享:
禁止默认共享:Regedit
打开注册表编辑器,打开注册表项“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters”,在右边的窗口中新建Dword值,名称设为AutoShareServer,值设为“0”。
关闭
445端口:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters,新建
Dword(32位)名称设为SMBDeviceEnabled 值设为“0”
关闭 139端口:网络连接->本地连接->属性->Internet协议版本 4->属性->高级->WINS->禁用TCP/IP上的NetBIOS
7.添加防火墙策略:
禁止入站:
TCP:135 137 138 139 445
UDP:135 137 138 139 445
8.开启自动更新windows update更新最新的安全补丁,开启windows dendfer
9.重启系统
热门工具 换一换