最近重新安装了windows2012 R2 并对系统进行了一些设置：

1、更改远程端口号3389换成其他端口。

2、禁用了Server、Workstation、Print Spooler、Remote Registry、Routing and Remote Access、TCP/IP NetBIOS Helper、Computer Browser 这些服务，（看了看这些服务的描述知道个大概）先禁用了，只要应用没问题即可。

3、卸载危险组件

    regsvr32 /u %SystemRoot%\system32\shell32.dll

    regsvr32 /u %SystemRoot%\system32\wshom.ocx

4、系统防火墙开启，要用哪些端口就开哪些。

5、禁用administrator账号。

6、修改本地策略——>安全选项 

    在运行中输入gpedit.msc回车，打开组策略编辑器，选择计算机配置-->Windows设置-->安全设置-->本地策略-->安全选项

    交互式登陆：不显示最后的用户名     启用

    网络访问：不允许SAM 帐户和共享的匿名枚举     启用

    网络访问: 不允许存储网络身份验证的凭据或 .NET Passports     启用

    网络访问：可远程访问的注册表路径和子路径     全部删除    

    网络访问：可匿名访问的共享　　　　　　　　　内容全部删除 

    网络访问：可匿名访问的命名管道　　　　　　　内容全部删除 

    网络访问：可远程访问的注册表路径　　　　　　内容全部删除 

    网络访问：可远程访问的注册表路径和子路径　　内容全部删除

7、安全设置-->账户策略-->账户锁定策略

    在运行中输入gpedit.msc回车，打开组策略编辑器，选择计算机配置-->Windows设置-->安全设置-->账户策略-->账户锁定策略，将账户锁定阈值设为“三次登陆无效”，“锁定时间为30分钟”，“复位锁定计数设为30分钟”。

8、本地安全设置   

    选择计算机配置-->Windows设置-->安全设置-->本地策略-->用户权限分配 

    关闭系统：只有Administrators组、其它全部删除。 

    通过终端服务拒绝登陆：加入Guests组、IUSR_*****、IWAM_*****、NETWORK SERVICE、SQLDebugger   

    通过终端服务允许登陆：加入Administrators、Remote Desktop Users组，其他全部删除

9、禁用不需要的和危险的服务，以下列出服务都需要禁用。

    Distributed linktracking client   用于局域网更新连接信息 

    PrintSpooler  打印服务 

    Remote Registry  远程修改注册表 

    Server 计算机通过网络的文件、打印、和命名管道共享 

    TCP/IP NetBIOS Helper  提供 

    TCP/IP (NetBT) 服务上的 

    NetBIOS 和网络上客户端的 

    NetBIOS 名称解析的支持 

    Workstation   泄漏系统用户名列表 与Terminal Services Configuration 关联 

    Computer Browser 维护网络计算机更新 默认已经禁用 

    Net Logon   域控制器通道管理 默认已经手动 

    Remote Procedure Call (RPC) Locator   RpcNs*远程过程调用 (RPC) 默认已经手动

10、更改Administrator，guest账户，新建一无任何权限的假Administrator账户    （这个我没弄，我是选择禁用）

    管理工具→计算机管理→系统工具→本地用户和组→用户 

    新建一个Administrator帐户作为陷阱帐户，设置超长密码，并去掉所有用户组 

    更改描述：管理计算机(域)的内置帐户

11、密码策略

    选择计算机配置-->Windows设置-->安全设置-->密码策略 

    启动 密码必须符合复杂性要求 

    最短密码长度

12、禁用DCOM （"冲击波"病毒 RPC/DCOM 漏洞）

    运行Dcomcnfg.exe。控制台根节点→组件服务→计算机→右键单击“我的电脑”→属性”→默认属性”选项卡→清除“在这台计算机上启用分布式 COM”复选框。

13、程序权限

    "net.exe","net1.exe","cmd.exe","tftp.exe","netstat.exe","regedit.exe","at.exe","attrib.exe","cacls.exe","format.com","c.exe" 

    或完全禁止上述命令的执行 

    gpedit.msc-〉用户配置-〉管理模板-〉系统 

    启用 阻止访问命令提示符 同时 也停用命令提示符脚本处理 

    启用 阻止访问注册表编辑工具 

    启用 不要运行指定的windows应用程序，添加下面的 at.exe attrib.exe c.exe cacls.exe cmd.exe format.com net.exe net1.exe netstat.exe regedit.exe tftp.exe

============以上内容来源网络==================

个人还做了如下尝试：

1、启用域控制，需要自行搭建域控主机，参见：http://www.ekinfo.com/blog/19881294.html

2、使用国内NTP服务同步系统时间