一、禁用Guest账户
Guest账户为黑客入侵打开了方便之门，黑客使用Guest账户可以进行提权。禁用Guest账户是很好的选择。
打开“开始——管理工具——计算机管理——本地用户和组——用户——Guest，右键打开属性，打勾“账户已禁用”，最后点击应用和确定即可禁用Guest账户

二、密码策略
操作系统和数据库系统管理，用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换密码。
进入“开始——管理工具——本地安全策略”，在“帐户策略——密码策略”;
“密码必须符合复杂度要求” 设置为“启用”
“密码长度最小值”设置为“8-12个字符”
“密码最长使用期限”设置为“90天”
“强制密码历史”设置为“记住5个密码”
“用可以还原的加密来存储密码”设置为“禁用”

三、连续登录失败账户锁定策略
应启用登录失败锁定功能，可采取结束会话、限制非法登录次数和自动退出等措施。对于采用静态口令认证技术的服务器，应设置当用户连续登录失败次数超过5 次(不含5 次)，锁定该用户使用的账号**分钟。
比如连续登录失败超过5次，锁定该用户账号15分钟
进入“开始——管理工具——本地安全策略”，在“帐户策略——帐户锁定策略”：
“账户锁定时间”设置为15分钟
“账户额锁定阀值”设置为5 次
“复位账户锁定计数器”设置为15分钟

四、日志审核策略
审核内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件。在主机的审核策略上设置日志审核策略，进入“开始 ——管理工具——本地安全策略”，在“本地策略——审核策略”在主机的审核策略上设置日志审核策略：
审计帐户登录事件： 成功，失败
审计帐户管理： 成功，失败
审计目录服务访问： 成功，失败
审计登录事件： 成功，失败
审计对象访问： 成功，失败
审计策略更改： 成功，失败
审计特权使用： 成功，失败
审计系统事件： 成功，失败
审计过程追踪： 成功，失败

五、强制启用SSL
当为服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听。
打开“运行-输入命令 【gpedit.msc】-本地组策略编辑器—计算机配置—管理模板—windows 组件—远程桌面服务—远程桌面会话主机—安全
启用“设置客户端连接加密级别”，将加密等级设置为高级。
启用“远程（RDP）连接要求使用指定的安全层”安全层选择SSL。

六、策略配置
组策略配置:gpedit—>计算机配置—>windows设置—>安全设置—>本地策略。
1、在用户权利分配下，从通过网络访问此计算机中删除PowerUsers和BackupOperators;
2、启用不允许匿名访问SAM帐号和共享;
3、启用不允许为网络验证存储凭据或Passport;
4、从文件共享中删除允许匿名登录的DFS$和COMCFG;
5、启用交互登录：不显示上次的用户名;
6、启用在下一次密码变更时不存储LANMAN哈希值;

七、禁止IPC空连接
按下Win + R键，输入regedit，然后按回车键打开注册表编辑器。
找到Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous把这个值改成”1”即可。

八、删除默认共享
按下Win + R键，输入regedit，然后按回车键打开注册表编辑器。
找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters，新建AutoShareServer类型是REG_DWORD把值改为0。

九、修改远程端口
按下Win + R键，输入regedit，然后按回车键打开注册表编辑器。
导航到以下路径：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp，在右侧窗格中找到PortNumber项，双击它。在“数值数据”框中输入新的端口号（例如，3390），然后点击“确定”。