B、本地策略——>用戶權限分配

關閉系統：只有Administrators組、其它全部刪除。

通過終端服務拒絕登陸：加入Guests、User組

通過終端服務允許登陸：只加入Administrators組，其他全部刪除

C、本地策略——>安全選項

交互式登陸：不顯示上次的用戶名　啟用

網絡訪問：不允許SAM帳戶和共享的匿名枚舉啟用

網絡訪問：不允許為網絡身份驗證儲存憑證　啟用

網絡訪問：可匿名訪問的共享　全部刪除

網絡訪問：可匿名訪問的命全部刪除

網絡訪問：可遠程訪問的注冊表路徑全部刪除

網絡訪問：可遠程訪問的注冊表路徑和子路徑全部刪除

帳戶：重命名來賓帳戶重命名一個帳戶

帳戶：重命名系統管理員帳戶　重命名一個帳戶

4.本地賬戶策略：

在賬戶策略->密碼策略中設定：

密碼復雜性要求啟用

密碼長度最小值 6位

強制密碼歷史 5次

最長存留期 30天

在賬戶策略->賬戶鎖定策略中設定：

賬戶鎖定 3次錯誤登錄

鎖定時間 20分鐘

復位鎖定計數 20分鐘

5. 修改注冊表配置：

5.1 通過更改注冊表

local_machinesystemcurrentcontrolsetcontrollsa-restrictanonymous = 1來禁止139空連接

5.2 修改數據包的生存時間(ttl)值

hkey_local_machinesystemcurrentcontrolsetservicestcpipparameters

defaultttl reg_dword 0-0xff(0-255 十進制,默認值128)

5.3 防止syn洪水攻擊

hkey_local_machinesystemcurrentcontrolsetservicestcpipparameters

synattackprotect reg_dword 0x2(默認值為0x0)

5.4禁止響應icmp路由通告報文

hkey_local_machinesystemcurrentcontrolset

servicestcpipparametersinterfacesinterface

performrouterdiscovery reg_dword 0x0(默認值為0x2)

5.5防止icmp重定向報文的攻擊

hkey_local_machinesystemcurrentcontrolsetservicestcpipparameters

enableicmpredirects reg_dword 0x0(默認值為0x1)

5.6不支持igmp協議

hkey_local_machinesystemcurrentcontrolsetservicestcpipparameters

5.7修改3389默認端口:

運行 Regedt32 并轉到此項：

HKEY_LOCAL_MACHINESystemCurrentControlSetControl

Terminal ServerWinStationsRDP-Tcp, 找到“PortNumber子項，您會看到值 00000D3D，它是 3389 的十六進制表示形式。使用十六進制數值修改此端口號，并保存新值。

禁用不必要的服務不但可以降低服務器的資源占用減輕負擔，而且可以增強安全性。下面列出了

igmplevel reg_dword 0x0(默認值為0x2)

5.8 設置arp緩存老化時間設置

hkey_local_machinesystemcurrentcontrolsetservices:tcpipparameters

arpcachelife reg_dword 0-0xffffffff(秒數,默認值為120秒)

arpcacheminreferencedlife reg_dword 0-0xffffffff(秒數,默認值為600)

5.9禁止死網關監測技術

hkey_local_machinesystemcurrentcontrolsetservices:tcpipparameters

enabledeadgwdetect reg_dword 0x0(默認值為ox1)

5.10 不支持路由功能

hkey_local_machinesystemcurrentcontrolsetservices:tcpipparameters

ipenablerouter reg_dword 0x0(默認值為0x0)