运行 netplwiz 

 gpedit.mcs 本地组策略

远程管理，需要采用带加密管理的远程管理方式。本地策略编辑器 （gpedit.msc）→本地计算机策略→计算机配置→管理模版→ windows组件 →远程桌面服务→远程桌面会话主机→安全，该项中的相关项目进行配置。

lusrmgr.msc，查看“用户”中的相关项目

本地安全策略（secpol.msc）

事件查看器 eventvwr.msc

 可以通过日志查看是否关机

 （任务类别为（1）的为开机，（2）为系统关机，（10）的磁盘运转，（100）为电源更改，（101）EFI时区更改，（1014）在没有配置的 DNS 服务器响应之后，名称 wpad 的名称解析超时，（157）系统正在进入连接待机状态 ，（158）系统正在退出连接待机状态，（223）usb设备的弹出）

查看用户审计是否为administrators单独组

 sercie.msc ： 关必不必要的服务

 高危端口

cmd内，netstat -ano

 查看防火墙是否启动

 查看系统补丁

cmd内 systeminfo

 禁用账户

 设置阈值

 查看审核策略

 网络列表策略器

 防火墙

 高级审核策略配置

 授权远程关机

在本地安全设置中，从远端系统强制关机权限只分配给Administrators组。

 本地关机在本地安全设置中关闭系统权限只分配给Administrators组。

 用户权限指派

 授权帐户登录

 

授权帐户从网络访问

在本地安全设置中，只允许授权帐号从网络访问（包括网络共享等，但不包括终端服务）此计算机。

 

审核登录

设备应配置日志功能，对用户登录进行记录。记录内容包括用户登录使用的帐户、登录是否成功、登录时间、以及远程登录时、及用户使用的IP地址。

 审核对象访问

 

 审核目录服务访问

 审核特权 系统事件

 

 

IP协议安全

启用SYN攻击保护

启用SYN攻击保护。

指定触发SYN洪水攻击保护所必须超过的TCP连接请求数阈值为5。

指定处于 SYN_RCVD 状态的 TCP 连接数的阈值为500。

指定处于至少已发送一次重传的 SYN_RCVD 状态中的 TCP 连接数的阈值为400。

打开 注册表编辑器，根据推荐值修改注册表键值。

Windows Server 2012

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\SynAttackProtect

推荐值：2

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxHalfOpen

推荐值：500

Windows Server 2008

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SynAttackProtect

推荐值：2

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxPortsExhausted

推荐值：5

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpen

推荐值：500

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpenRetried

推荐值：400