关闭不必要的服务和端口
很多Windows系统默认开启了一些不常用但可能被攻击利用的服务,比如SMBv1、Telnet等。进入“控制面板 > 程序和功能”下的“启用或关闭Windows功能”,把不需要的组件关掉。特别是远程注册表、打印后台处理程序这类常被忽视的服务,普通用户基本用不上,建议禁用。
同时打开任务管理器或使用命令行工具查看哪些进程在监听网络端口。例如运行 netstat -an 查看当前连接情况,发现异常端口及时排查。
启用并配置Windows Defender防火墙
很多人装了第三方杀毒软件就把系统自带防火墙关了,其实Windows Defender防火墙已经足够应对大多数日常威胁。进入“高级安全Windows Defender防火墙”,可以自定义入站和出站规则。
比如限制某些程序访问外网:右键新建出站规则,选择“程序”,指定路径,动作为“阻止连接”。像一些国产软件自带的更新模块、广告后台,完全可以禁止它们联网。
netsh advfirewall firewall add rule name="Block WeChat Ads" dir=out action=block program="C:\Program Files\Tencent\WeChat\WXAds.exe"限制管理员权限的使用
不少用户习惯一直用管理员账户登录系统,这等于给恶意程序开了绿灯。正确的做法是创建一个标准用户账户用于日常操作,只有安装软件或修改系统设置时才切换到管理员。
还可以通过组策略进一步收紧权限。按 Win+R 输入 gpedit.msc 打开组策略编辑器,导航到“计算机配置 > Windows 设置 > 安全设置 > 本地策略 > 用户权利指派”,把“从远程系统强制关机”、“允许本地登录”这些权限里的多余账户清除掉。
关闭远程桌面和空会话枚举
远程桌面(RDP)如果暴露在公网非常危险,尤其是弱密码环境下容易被暴力破解。如果不是必须使用,建议彻底关闭。可以在“系统属性”里取消勾选“允许远程连接到此计算机”。
另外,在注册表中关闭空会门枚举能减少信息泄露。打开 regedit,定位到:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous = 1设为1后,未授权用户将无法通过网络获取系统账号列表。
启用审计与日志监控
Windows自带事件查看器,路径是“控制面板 > 管理工具 > 事件查看器”。重点关注“Windows日志 > 安全”中的登录事件,ID 4624 表示成功登录,4625 是失败尝试,大量4625出现可能是有人在爆破密码。
可以配合任务计划程序设置警报,当检测到特定事件时自动发邮件或弹窗提醒。虽然不如专业SIEM工具强大,但对于个人终端已经够用。
定期更新系统与补丁管理
很多漏洞其实在几个月前就有补丁了,但因为没更新导致中招。比如永恒之蓝就是利用未打补丁的SMB服务传播。进入“设置 > 更新和安全”,确保自动更新开启。
企业环境中可以用WSUS统一管理,家庭用户也可以手动检查更新。特别注意“可选更新”里的驱动和质量更新,有时候关键修复藏在里面。