windows安装优化

注意
本文最后更新于 2022-06-24,文中内容可能已过时。

1. 系统安全

显示电脑图标到桌面: rundll32.exe shell32.dll,Control_RunDLL desk.cpl,,0 开始文件夹: shell:startup 本地安全策略: secpol.msc
计算机管理: compmgmt.msc

  • 右键点击我的电脑-高级-计算机名-更改。英文: my computer - proterties - Advanced system settings - Computer Name - Change
  • 右键点击我的电脑-高级-性能中,选中“设置为最佳性能”英文: my computer - proterties-Advanced - Performance-setting -Visual Effects (Adjust for best performance)
  • 数据执行保护设置为“只为关键的windows程序保护”。
  • 右键点击我的电脑-高级-启动和故障恢复-写入调试信息 设置成“最小化记录模式”。英文版操作:右击 My Computer-Advanced-Startup and recovery-write debugging infomation设置成“small…”

网络连接属性-tcpip 属性-高级-wins-NetBios 设置 “禁用 Tcp/ip 上的 NetBios”选项

  • 运行gpedit.msc- 用户配置-管理模板-网络-网络连接下的"启用/禁用 LAN 链接的能力(Ability to Enable/Disable a LAN connection)“设置为Disabled
  • 设置"为管理员启用windows2000网路连接设置(Enable Windows2000 Network Connections settings for Administrators)” 选项为Enabled

2. 用户安全

netplwiz用户名修改,安全策略里面也有设置方法

  • 禁用Guest账号(设置复杂密码)
  • 限制不必要的用户(如aspnet,sqldebugger等)
  • 把系统Administrator账号改名
  • 创建名称为Administrator陷阱用户  (正确设置描述信息,不给任何权限)
  • 建立一个备用管理员帐户。
  • 不让系统显示上次登录的用户名(后面本地策略中有)
  • 通过reg脚本设置开机前 5 分钟自动登录

3. 本地安全策略设置

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
gpedit.msc-计算机配置-windows设置-安全设置
本地策略-审核策略

推荐的要审核的项目是:
策略更改     成功 失败
登录事件     成功 失败
对象访问     失败
过程追踪     无
目录服务访问 失败
特权使用     失败
系统事件     成功 失败
账户登录事件 成功 失败
账户管理     无

英文版:
Audit account logon events       Success,Failure
Audit account management         No auditing
Audit directory service access   Failure
Audit logon event                Success,Failure
Audit object access              Failure
Audit polic change		   Success,Failure
Audit privilege use              Failure
Audit process tracking           No auditing
Audit system events              Success,Failure

本地策略—>用户权限分配
关闭系统(shut down the system):
只有Administrators组、其它全部删除。 
通过终端服务允许登陆(Allow log on through Terminal services):
只加入Administrators,Remote Desktop Users组,其他全部删除。

C、本地策略——>安全选项
交互式登陆:不显示上次的用户名       启用
网络访问:不允许SAM帐户和共享的匿名枚举  	启用
网络访问:不允许为网络身份验证储存凭证   启用
网络访问:可匿名访问的共享         全部删除
网络访问:可匿名访问的命名管道       全部删除
网络访问:可远程访问的注册表路径      全部删除 
网络访问:可远程访问的注册表路径和子路径  全部删除 
帐户:重命名系统管理员帐户        重命名一个帐户(比如administrator改成lefux,不一定是lefux问清楚再改,改后最好重启一下服务器)

英文版本:
Interactive logon:Do not display last user name    Enabled
Network access:Do not allow anonymous enumeration of SAM accounts and share  Enabled
Network access:Do not allow

4. 禁用以下的服务

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
Computer Browser;Portable Media Serial Number Service
Distributed File System; Windows Audio; Alert
Distributed linktracking client:
Error reporting service:
FTP Publishing Service
Messenger
Indexing Service
Microsoft Serch:
NT LM Security support provide:
server
PrintSpooler:
Remote Desktop Help Session Manager:
Remote Registry; Routing and Remote Access
Workstation (美国服务器不要关)

经测试可以关闭的其他服务也可以关