1. 更改所有server默认的远程桌面端口号 2. 重命名Administrator和guest系统帐户,不记住上次登录所使用的用户名 3. 密码策略 4. 用户远程登录权限,远程桌面会话空闲时间限制设为5五分钟,远程桌面连接的并发数为1个 5. 除管理员外禁止其它用户从本地登录 6. 开启大部分本地策略当中的审核策略(例如审核登录事件,审核共享文件访问事件等) 7. 强烈建议熟练使用微软官方推荐的Sysinternals所有的工具(http://technet.microsoft.com/zh-cn/sysinternals/default) 8. Windows防火墙必须全部开启,做详细的进入站规则 9. 关闭自动播放,给服务器事件日志查看器加密码访问 10. 网络访问:不允许SAM账户的匿名枚举,关闭remote registry service 允许远程注册表
11.审核策略必须开启,推荐的审核是:
账户管理 成功 失败
登录事件 成功 失败
对象访问 失败
策略更改 成功 失败
特权使用 失败
系统事件 成功 失败
目录服务访问 失败
账户登录事件 成功 失败
审核项目少的缺点是万一你想看发现没有记录那就一点都没辙;审核项目太多不仅会占用系统资源而且会导致你根本没空去看,这样就失去了审核的意义