如默认Guest用户、安装软件时自动建立的用户、隐藏用户。

注意，隐藏账号我们用命令是查询不到的，只能去注册表中查看是否有隐藏账号。注册表位置在DOS命令行输regedit,找到以下位置即可：HKEYLOCALMACHINE\SAM\SAM\Domains\Account\Users\Names

如果在SAM下看不到内容，是因为当前用户无权限查看，需要手动添加权限。

Windows系统中的默认的管理员：Administrator用户。重命名需要在组策略中修改，在“计算机管理->本地用户和组”中重命名，实际为为用户添加别名。

弱口令如123456，passwOrd，admin等存在极高的被破解风险。

在“开始”》“运行”中输入gpedit.msc打开组策略

最短密码长度8个字符，至少包含以下四种类别的字符中的三种：

◆ 英语大写字母 A, B, C, … Z

◆ 英语小写字母 a, b, c, … z

◆ 西方阿拉伯数字 0, 1, 2, … 9

◆ 非字母数字字符，如标点符号，@, #, $, %, &, *等

对于采用静态口令认证技术的设备，账户口令的生存期不长于90天。

对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近3次(含3次)内已使用的口令。

此项设置可有效预防系统口令被使用口令字典暴力破解。

用户权限的细化可以在组策略“计算机配置→Windows设置→安全设置→本地策略→用户权限指派”分支详细设置，双击需要改变的用户权限，单击“添加用户或组”按钮，然后双击想指派给权限的用户账号，最后单击“确定”按钮退出。

非业务需要尽可能避免使用共享文件方式传输文件。

在cmd下输入#net share查看共享情况。

　　对系统运行的服务应该进行严格控制，一些不应该开启的服务或是会带来安全性问题的服务原则上都应该关闭。

　　Windows下停止如下不需要的服务：

　　◆ DHCP server services

　　◆ WINS Service

　　◆ Fax Service

　　◆ Bluetooth Support Service

　　◆ Indexing Services

　　◆ Messenger Service

　　◆ Print Spooler

　　◆ Remote Registry Service(AD域环境除外)

　　◆ Server(AD域环境除外)

　　◆ Simple TCP/IP Services

　　◆ Wireless Zero Configuration

　　◆ SMTP/FTP/IIS Admin/WWW Publish

　　◆ SNMP Community String (如果需要IIS服务，可关闭由IIS提供的SMTP、FTP服务)

　　若开启SNMP服务，是否使用默认community strings(团体名称)

在“本地用户和组->用户”，查看是否存在IIS_Anonymous_USER用户，如果存在，是否禁用;

如果使用其他类型的FTP软件，如SERV-U，在配置文件中查看是否禁用匿名登录权限。

开启账户审核功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。

启用组策略中对Windows系统的审核系统事件、审核特权使用、审核账户管理、审核策略更改、审核目录服务访问(域环境)、审核过程追踪、审核对象访问。

工业控制系统上位机建议安装基于白名单的主机安全防护系统，若安装杀毒软件，应禁用自动处理功能并定期更新病毒库。

在组策略，管理模板，windows组件中，自动播放策略，开启关闭自动播放