WIN2012 安全加固

http://jingyan.baidu.com/article/066074d66beb5ac3c21cb0b8.html

http://www.focuznet.com/siteroad/t2933/

http://wenku.baidu.com/view/b16b5dd07f1922791688e87f.html

http://ha.cker.in/549.seo

http://soft.zdnet.com.cn/software_zone/2009/1105/1505821.shtml

https://blog.b1uew01f.net/learnnotes/ops/194.html

http://bobao.360.cn/learning/detail/416.html

http://www.searchsecurity.com.cn/showcontent_12788.htm

http://blog.sina.com.cn/s/blog_903b8f8d0101sp8w.html

　一、账号设置

有些蠕虫病毒可以通过扫描Windows系统的指定端口，然后通过共享会话猜测管理员系统口令。因此，我们需要通过在“本地安全策略”中设置禁止枚举账号，从而抵御此类入侵行为，操作步骤如下：在“本地安全策略”左侧列表的“安全设置”目录树中，逐层展开“本地策略”　“安全选项”。查看右侧的相关策略列表，在此找到“网络访问：不允许SAM账户和共享的匿名枚举”，用鼠标右键单击，在弹出菜单中选择“属性”，而后会弹出一个对话框，在此激活“已启用”选项，最后点击“应用”按钮使设置生效。

二、账户管理

为了防止入侵者利用漏洞登录机器，我们要在此设置重命名系统管理员账户名称及禁用来宾账户。设置方法为：在“本地策略”“安全选项”分支中，找到“账户：来宾账户状态”策略，点右键弹出菜单中选择“属性”，而后在弹出的属性对话框中设置其状态为“已停用”，最后“确定”退出。下面，我们再查看“账户：重命名系统管理员账户”这项策略，调出其属性对话框，在其中的文本框中可自定义账户名称。

三、IP策略设置

大多黑客入侵都是通过端口作为通道，所以我们需要关闭那些可能成为入侵通道的端口。下面我们以Telnet利用的23端口为例来加以说明。

1.首先单击“运行”在框中输入“mmc”后回车，弹出控制台的窗口.

2.依次选择“文件”“添加/删除管理单元”“在独立标签栏中点击‘添加’”“IP安全策略管理”，最后按提示完成操作。

3.把“IP安全策略，在本地计算机”，以下简称“IP安全策略”添加到“控制台根节点”下。

4.双击“IP安全策略”就可以新建一个管理规则。右击“IP安全策略”，在弹出的快捷菜单中选择“创建IP安全策略”。

5.打开IP安全策略向导，点击“下一步”　“名称默认为‘新IP安全策略’”　“下一步”　“不必选择‘激活默认响应规则’”。

6.选择“添加”，然后一直点击“下一步”，不必选择“使用添加向导”选项。在寻址栏的源地址应选择“任何IP地址”，目标地址选择“我的IP地址”（不必选择镜像）。在协议标签栏中，注意类型应为TCP，并设置IP协议端口从任意端口到此端口23，最后点击“确定”即可。

四、指派本地用户权利

如果你是Windows系统管理员身份，可以指派特定权利给组账户或单个用户账户。在“安全设置”中，定位于“本地策略”“用户权利指派”，而后在其右侧的设置视图中，可针对其下的各项策略分别进行安全设置。例如，若是希望允许某用户获得系统中任何可得到的对象的所有权：包括注册表项、进程和线程以及NTFS文件和文件夹对象等，该策略的默认设置仅为管理员。首先应找到列表中“取得文件或其他对象的所有权”策略，用鼠标右键单击，在弹出菜单中选择“属性”，在此点击“添加用户或组”按钮，在弹出对话框中输入对象名称，并确认操作即可。