1、用戶安全

(1) 運行 lusrmgr.msc,重命名原 Administrator 用戶為自定義一定長度的名字， 并新建同名Administrator 普通用戶，設置超長密碼去除所有隸屬用戶組。

(2) 運行 gpedit.msc ——計算機配置—安全設置—賬戶策略—密碼策略 啟動密碼復雜性要求，設置密碼最小長度、密碼最長使用期限，定期修改密碼保證 服務器賬戶的密碼安全。

(3) 運行 gpedit.msc ——計算機配置—安全設置—賬戶策略—賬戶鎖定策略 啟動賬戶鎖定，設置單用戶多次登錄錯誤鎖定策略，具體設置參照要求設置。

(4) 運行 gpedit.msc ——計算機配置—安全設置—本地策略—安全選項 交互式登錄 :不顯示上次的用戶名；——啟動 交互式登錄：回話鎖定時顯示用戶信息；——不顯示用戶信息

(5) 運行 gpedit.msc ——計算機配置—安全設置—本地策略—安全選項

網絡訪問：可匿名訪問的共享；——清空

網絡訪問：可匿名訪問的命名管道；——清空

網絡訪問：可遠程訪問的注冊表路徑；——清空

網絡訪問：可遠程訪問的注冊表路徑和子路徑；——清空

(6) 運行

gpedit.msc

——計算機配置—安全設置—本地策略 通過終端服務拒絕登陸——加入一下用戶

 

ASPNET

Guest IUSR_***** IWAM_*****

NETWORK SERVICE

SQLDebugger

注：用戶添加查找如下圖：

(7) 運行 gpedit.msc ——計算機配置—安全設置—本地策略—策略審核 即系統日志記錄的審核消息，方便我們檢查服務器的賬戶安全，推薦設置如下：

2、共享安全

(1) 運行 Regedit——刪除系統默認的共享 [HKEY_LOCAL_macHINESYSTEMCurrentControlSetServicesLanmanServerParameter

s]增加一個鍵：名稱 : AutoShareServer ; 類型 : REG_Dword值; : 0

(2) 運行 Regedit——禁止 IPC 空連接 [Local_Machine/System/CurrentControlSet/Control/LSA] 把 RestrictAnonymous 的鍵值改成 ”1”。

3. 服務端口安全

(1) 運行 Regedit——修改 3389 遠程端口

打開 [HKEY_LOCAL_MACHINESYSTEM CurrentControlSetControlTerminal

ServerWdsrdpwdTdstcp]，將 PortNamber 的鍵值（默認是3389 ）修改成自定義端 口:14720

打開 [HKEY_LOCAL_MACHINESYSTEMCurrentContro1SetControlTenninal ServerWinStationsRDP-Tcp] ，將 PortNumber 的鍵值（默認是3389）修改成自定義 端口 :14720

(2) 運行 services.msc——禁用不需要的和危險的服務 以下列出建議禁止的服務，具體情況根據需求分析執行：

Alerter 發送管理警報和通知

Automatic Updates windows 自動更新服務

Computer Browser 維護網絡計算機更新（網上鄰居列表）

Distributed File System 局域網管理共享文件

Distributed linktracking client 用于局域網更新連接信息

Error reporting service 發送錯誤報告

Remote Procedure Call (RPC) Locator RpcNs*遠程過程調用(RPC)

 

Remote Registry 遠程修改注冊表

Removable storage 管理可移動媒體、驅動程序和庫

Remote Desktop Help Session Manager 遠程協助

Routing and Remote Access 在局域網以及廣域網環境中為企業提供路由服務

Shell Hardware Detection 為自動播放硬件事件提供通知。

Messenger 消息文件傳輸服務

Net Logon 域控制器通道管理

NTLMSecuritysupportprovide telnet 服務和 Microsoft Serch 用的

PrintSpooler 打印服務

telnet telnet 服務

Workstation 泄漏系統用戶名列表（注：如使用局域網請勿關閉）

 

(3) 運行 gpedit.msc —— IPSec安全加密端口，內部使用加密訪問。

原理：利用組策略中的“ IP 安全策略”功能中，安全服務器（需要安全）功能。

將 所有訪問遠程如13013 端口的請求篩選到該ip安全策略中來， 使得該請求需要通過 雙方的預共享密鑰進行身份認證后才能進行連接，其中如果一方沒有啟用“需要安全”時，則無法進行連接，同時如果客戶端的預共享密鑰錯誤則無法與服務器進行 連接。在此條件下，不影響其他服務的正常運行。

操作步驟：

1) 打開

GPEDIT.MSC

，在計算機策略中有“ IP 安全策略” ,選擇“安全服務器（需要 安全）”項目屬性，然后在IP 安全規則中選擇“所有IP 通信”打開編輯，在“編 輯規則屬性”中，雙擊“所有IP通信”，在 IP 篩選器中，添加或編輯一個篩選

 

2) 退回到 “編輯規則屬性” 中，在此再選擇“身份驗證方法” 。刪除“ Kerberos 5”,

點擊添加，在“新身份驗證方法”中，選擇“使用此字符串（預共享密鑰） ，然后填寫服務器所填的預共享密鑰 （服務器的預共享密鑰為 ”123abc,.”）。然后確 定。

3) 選擇“安全服務器（需要安全）”右鍵指派即可。 附截圖：

以上是我的回答，希望可以幫助到您！