1、设置带密码的屏幕保护,并将时间设定为5分钟。
桌面>右键属性>屏幕保护程序
2、对于远程登陆的帐号,设置不活动断连时间15分钟
控制面板>管理工具>本地安全策略>安全选项
3、关闭默认共享
①运行>键入regedit >
②使得 HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters下,确保存在REG_DWORD类型的AutoShareServer键,
值为0 >
③重新启动系统服务
抑或使用 net stop server 命令关闭server服务,可以彻底关闭共享,但是会使得一些系统功能,如打印机服务受到影响!
4、启用系统自带DEP功能(数据执行保护),防止在受保护内存位置运行有害代码。
我的电脑右键>属性>高级>性能选项下的“设置”>数据执行保护选项卡>设置为仅为基本
Windows 操作系统程序和服务启用DEP
5、修改SNMP服务设置。
默认团体名称Public,需要修改。
如果不需要SNMP服务的话,则可以关闭此项服务!
6、关闭不需要的启动项
运行->MSconfig>关闭不需要的启动项目
7、关闭自动播放
运行>gpedit.msc > 管理模板>系统
8、开启防火墙&TCP/IP筛选
右键网上邻居>右键本地连接>TCP/IP 属性>高级>选型>TCP/IP 筛选属性>启用TCP/IP筛选器
本地连接>高级>windows防火墙设置>启用防火墙
9、开启SYN攻击保护
①、启用SYN攻击保护;指定触发SYN洪水攻击保护所必须超过的TCP连接请求数阀值为5
键入regedit>于
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\parameters目录下新建
SynAttackProtect、键值为1,TcpMaxPortsExhausted 键值为5
②、指定处于SYN_RCVD 状态的TCP 连接数的阈值为500
新建TcpMaxHalfOpen ,键值为500
③、指定处于至少已发送一次重传的SYN_RCVD 状态中的TCP 连接数的阈值为400。
新建TcpMaxHalfOpenRetried,键值为400
10、审核策略
键入gpedit.msc>本地用户和组>安全设置>审核策略
不论成功失败,都要审核
11、windows账户安全设置
①修改administrator的名称,禁用Guest用户。
我的电脑右键管理>本地用户组>用户
②设置密码复杂度,最小长度以及账户锁定策略
键入gpedit.msc>本地用户和组>安全设置>账户策略>密码策略以及账户锁定策略
12、用户权利控制
①限制仅administrators组能够远程关闭计算机
键入gpedit.msc>本地用户和组>安全设置>用户权利指派
②取得文件或其它对象的所有权设置为只指派给Administrators组;
方法一致
③从本地登陆此计算机设置为指定授权用户;
方法一致,只给予授权用户登录权限
④从网络访问此计算机设置为指定授权用户;
方法一致,只给予授权用户登录权限
13、关闭不需要的服务,增强系统安全性
键入services.msc>调整服务设置
①设置以下服务为启动时自动加载
DNSClient (DNS客户端)
EventLog (事件日志)
LogicalDisk Manager (逻辑磁盘管理器)
NetworkConnections (网络连接)
Plugand Play (即插即用)
ProtectedStorage (受保护存储)
RemoteProcedure Call (RPC) (远程过程调用)
RunAsService (RunAs 服务)
SecurityAccounts Manager (安全账号管理器)
TaskScheduler (任务调度程序)
WindowsManagement Instrumentation (Windows 管理规范)
WindowsManagement Instrumentation Driver Extensions (Windows管理规范驱动程序扩展)
LogicalDisk Manager Administrative services (逻辑磁盘管理器管理服务)
注意:如果有使用DHCP则需要启动DHCP服务^ ^
暂时就找到这些,以后再补充