运行 netplwiz
gpedit.mcs 本地组策略
远程管理,需要采用带加密管理的远程管理方式。本地策略编辑器 (gpedit.msc)→本地计算机策略→计算机配置→管理模版→ windows组件 →远程桌面服务→远程桌面会话主机→安全,该项中的相关项目进行配置。
lusrmgr.msc,查看“用户”中的相关项目
本地安全策略(secpol.msc)
事件查看器 eventvwr.msc
可以通过日志查看是否关机
(任务类别为(1)的为开机,(2)为系统关机,(10)的磁盘运转,(100)为电源更改,(101)EFI时区更改,(1014)在没有配置的 DNS 服务器响应之后,名称 wpad 的名称解析超时,(157)系统正在进入连接待机状态 ,(158)系统正在退出连接待机状态,(223)usb设备的弹出)
查看用户审计是否为administrators单独组
sercie.msc : 关必不必要的服务
高危端口
cmd内,netstat -ano
查看防火墙是否启动
查看系统补丁
cmd内 systeminfo
禁用账户
设置阈值
查看审核策略
网络列表策略器
防火墙
高级审核策略配置
授权远程关机
在本地安全设置中,从远端系统强制关机权限只分配给Administrators组。
本地关机在本地安全设置中关闭系统权限只分配给Administrators组。
用户权限指派
授权帐户登录
授权帐户从网络访问
在本地安全设置中,只允许授权帐号从网络访问(包括网络共享等,但不包括终端服务)此计算机。
审核登录
设备应配置日志功能,对用户登录进行记录。记录内容包括用户登录使用的帐户、登录是否成功、登录时间、以及远程登录时、及用户使用的IP地址。
审核对象访问
审核目录服务访问
审核特权 系统事件
IP协议安全
启用SYN攻击保护
启用SYN攻击保护。
指定触发SYN洪水攻击保护所必须超过的TCP连接请求数阈值为5。
指定处于 SYN_RCVD 状态的 TCP 连接数的阈值为500。
指定处于至少已发送一次重传的 SYN_RCVD 状态中的 TCP 连接数的阈值为400。
打开 注册表编辑器,根据推荐值修改注册表键值。
Windows Server 2012
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\SynAttackProtect
推荐值:2
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxHalfOpen
推荐值:500
Windows Server 2008
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SynAttackProtect
推荐值:2
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxPortsExhausted
推荐值:5
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpen
推荐值:500
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpenRetried
推荐值:400
779
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
