Windows安全加固

概述：Windows 核心组件 (Overview: Core Windows Components)

服务 (Services)

Windows 服务是在后台自动运行的关键程序，负责管理网络连接、存储、用户凭证等核心功能。它们由服务控制管理器 (services.msc) 进行管理。

Windows 注册表 (Windows Registry)

注册表 (regedit) 是一个统一的数据库，用于存储 Windows 操作系统和第三方应用程序的配置设置。恶意程序常常通过修改注册表（特别是 Run 和 RunOnce 键）来实现持久化。

事件查看器 (Event Viewer)

事件查看器 (eventvwr.msc) 是一个集中记录计算机上所有事件日志的应用程序，包括驱动更新、硬件故障、登录尝试和应用崩溃等。

• 事件类别:

  • 应用 (Application): 记录已安装程序的事件。

  • 系统 (System): 记录操作系统组件的事件。

  • 安全 (Security): 记录与安全和身份验证相关的审计事件。

遥测 (Telemetry)

遥测功能通过通用遥测客户端 (UTC) 服务 (diagtrack.dll) 收集系统诊断数据。数据加密后存储在本地的 %ProgramData%\Microsoft\Diagnosis 目录，并定期发送给微软。

1. 身份与访问管理 (Identity & Access Management)

标准账户 vs. 管理员账户

• 管理员账户: 应仅用于执行需要提升权限的任务，如软件安装、修改系统配置等。

• 标准账户: 应用于所有日常操作，如浏览网页、使用 Office 套件等。

用户账户控制 (UAC - User Account Control)

UAC 是一项核心安全功能，旨在通过强制要求管理员批准来防止未经授权的系统更改，从而最小化恶意软件的影响和权限提升的风险。

最小权限原则 (Principle of Least Privilege) (根据 CISA): “一个主体应该只被赋予完成其任务所必需的权限。如果主体不需要访问权限，就不应该拥有该权限”。

• 配置: 前往 控制面板 -> 用户账户 -> 更改用户账户控制设置，建议将通知级别保持在最高（“始终通知”）。

本地与组策略 (Local and Group Policies)

组策略编辑器 (gpedit.msc) 允许对系统进行精细的安全配置（此功能在 Windows 家庭版中不可用）。

• 密码策略:

  • 路径: 安全设置 > 账户策略 > 密码策略

  • 建议: 设置复杂的密码要求，如最小长度、复杂性要求（大小写、数字、符号）。

• 账户锁定策略:

  • 路径: 安全设置 > 账户策略 > 账户锁定策略

  • 建议: 配置在一定次数的无效登录尝试后（例如 3 次）自动锁定账户，以防止暴力破解攻击。

2. 网络管理 (Network Management)

Windows Defender 防火墙

防火墙 (WF.msc) 通过入站和出站规则来保护计算机免受未经授权的流量和恶意攻击。

• 配置文件: 它有三个主要配置文件（域、私有、公共）。对于家庭或公共网络，应确保阻止所有传入连接的选项被激活。

禁用未使用的网络设备

未使用的网络接口（如以太网卡、Wi-Fi 适配器）应在设备管理器中禁用，以减少攻击面。

• 路径: 控制面板 > 系统和安全 > 系统 > 设备管理器

禁用 SMBv1 协议

SMBv1 是一个已被弃用且存在严重漏洞的文件共享协议。如果你的计算机不用于网络文件共享，必须禁用它。

• 命令 (PowerShell):

  PowerShell

  Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol
  

保护 DNS (hosts 文件)

hosts 文件 (C:\Windows\System32\Drivers\etc\hosts) 充当本地 DNS 解析器。攻击者可能会修改此文件，将合法域名（如 google.com）重定向到恶意服务器。应监控此文件的任何未经授权的更改。

缓解 ARP 攻击

地址解析协议 (ARP) 用于将 IP 地址解析为 MAC 地址。攻击者可以通过 ARP 欺骗（中毒）将自己置于网络通信的中间位置。

• 检查 ARP 表: arp -a (如果一个 MAC 地址映射到两个不同的 IP 地址，则可能存在攻击)。

• 清除 ARP 缓存: arp -d

禁用远程访问

远程桌面协议 (RDP) 是攻击者常用的入口点。如果不需要远程访问，必须禁用它。

• 路径: 设置 > 远程桌面

3. 应用管理 (Application Management)

可信应用商店与安全安装

• 微软商店: 从官方的微软商店 (ms-windows-store:) 下载应用程序可以最大限度地降低下载到捆绑了恶意软件的程序的风险。

• 限制安装源:

  • 路径: 设置 > 应用 > 应用和功能

  • 建议: 在“选择获取应用的位置”下拉菜单中，选择“仅限 Microsoft Store”。

Windows Defender 防病毒

Windows Defender 是一个完整的反恶意软件程序，提供四大核心功能：

• 实时防护: 定期扫描计算机以检测威胁。

• 浏览器集成: 扫描所有下载的文件以确保安全浏览。

• 应用防护: 可以在沙盒中运行网页会话，以阻止恶意网站修改系统。

• 受控文件夹访问: 保护指定文件夹免受未经授权的应用程序（如勒索软件）的修改。

Microsoft Office 硬化

Office 套件的功能（如宏、对象链接）常被恶意行为者滥用。应根据组织的需求，尽可能禁用不必要的功能（例如，对大多数用户禁用宏）。

AppLocker

AppLocker 允许管理员通过创建规则来精确控制哪些可执行文件、脚本和安装程序可以在系统上运行。

浏览器硬化 (Microsoft Edge)

• Microsoft Defender SmartScreen:

  • 功能: 防范网络钓鱼和恶意网站，并根据信誉审核下载的文件。

  • 开启路径: 设置 > Windows 安全中心 > 应用和浏览器控制 > 基于信誉的防护。

• 跟踪防护:

  • 路径: 在 Edge 浏览器中，进入 设置 > 隐私、搜索和服务。

  • 建议: 将“跟踪防护”设置为严格。

4. 存储与系统完整性 (Storage & System Integrity)

通过 BitLocker 进行数据加密

BitLocker 是 Windows 内置的全盘加密工具，可以保护你的数据免受物理盗窃后的未授权访问。

• 要求: 通常需要可信平台模块 (TPM) 芯片的支持。

• 路径: 控制面板 > 系统和安全 > BitLocker 驱动器加密。

Windows Sandbox

Windows Sandbox 提供了一个临时的、隔离的、轻量级的桌面环境，用于安全地运行可疑应用程序。

• 工作原理: 在沙盒中进行的任何操作（包括软件安装、文件创建）都不会影响主机系统。关闭沙盒后，所有内容都将被永久删除。

• 启用: 搜索“启用或关闭 Windows 功能” > 勾选“Windows 沙盒” > 重启。

Windows 安全启动 (Secure Boot)

安全启动是一项基于 UEFI 固件的安全标准，它确保在系统启动过程中只加载受信任的、经过数字签名的引导加载程序和驱动程序，从而有效防范 Bootkit 等底层恶意软件。

启用文件备份

备份是抵御勒索软件攻击或硬件故障导致数据丢失的最后一道，也是最重要的一道防线。

• 功能: Windows 内置的文件历史记录 (File History) 功能可以方便地将你的个人文件备份到外部驱动器。

• 路径: 设置 > 更新和安全 > 备份。

5. 系统更新 (System Updates)

强化计算机最关键的一步是确保操作系统始终保持最新。

• 路径: 设置 > 更新和安全 > Windows 更新。

• 建议: 启用 Windows 自动更新，确保所有紧急安全补丁能够第一时间安装，修复已知漏洞。