提升电脑安全必读：Windows内置五大安全防护技术详解

提升电脑安全必读：Windows内置五大安全防护技术详解

引用

什么值得买

等

15

来源

1.

https://post.smzdm.com/p/a8prw6gl/

2.

https://www.sohu.com/a/818125426_121990525

3.

https://cloud.baidu.com/article/3027027

4.

https://blog.csdn.net/qq_14829643/article/details/137839785

5.

https://blog.csdn.net/eemonkey/article/details/138729915

6.

https://support.microsoft.com/zh-cn/windows/windows-%E5%AE%89%E5%85%A8%E4%B8%AD%E5%BF%83%E7%9A%84%E7%97%85%E6%AF%92%E5%92%8C%E5%A8%81%E8%83%81%E9%98%B2%E6%8A%A4-1362f4cd-d71a-b52a-0b66-c2820032b65e

7.

https://learn.microsoft.com/zh-cn/windows-server/security/credentials-protection-and-management/configuring-additional-lsa-protection

8.

https://learn.microsoft.com/zh-cn/windows/security/application-security/application-control/user-account-control/settings-and-configuration

9.

https://learn.microsoft.com/zh-cn/windows-server/identity/ad-ds/manage/group-policy/group-policy-overview

10.

https://support.microsoft.com/zh-cn/windows/windows-%E5%AE%89%E5%85%A8%E4%B8%AD%E5%BF%83%E7%9A%84%E8%AE%BE%E5%A4%87%E9%98%B2%E6%8A%A4-afa11526-de57-b1c5-599f-3a4c6a61c5e2

11.

https://www.hanboshi.com/news/10466.html

12.

https://www.cnblogs.com/Dongmy/p/18145947

13.

https://learn.microsoft.com/zh-cn/windows/security/application-security/application-control/app-control-for-business/design/select-types-of-rules-to-create

14.

https://learn.microsoft.com/zh-cn/windows-server/identity/ad-ds/manage/component-updates/command-line-process-auditing

15.

https://learn.microsoft.com/zh-cn/troubleshoot/windows-client/group-policy/use-settings-app-group-policy

在数字化时代，电脑安全已成为每个人必须面对的重要课题。作为全球最广泛使用的操作系统之一，Windows系统内置了多种安全防护技术，从硬件隔离到软件策略，构建起一道道安全防线。本文将详细介绍五项关键安全技术，帮助你全面提升电脑的安全防护能力。

设备安全性内核隔离是Windows系统的一项重要安全功能，通过在内存中隔离关键系统流程，防止恶意软件的攻击。这一技术主要包含两个核心组件：内存完整性和内核模式硬件强制实施堆栈保护。

内存完整性（Memory Integrity）

内存完整性，也称为虚拟机监控程序保护的代码完整性（HVCI），是Windows安全功能的重要组成部分，它使得恶意程序很难使用低级驱动程序劫持计算机。其工作原理是通过硬件虚拟化创建一个隔离环境，任何可能危险的代码在执行前都必须经过该环境的验证。这种机制类似于一个上锁的隔间，只有经过安全检查的代码才能被放行。

要启用内存完整性，需要确保系统BIOS或UEFI中已开启硬件虚拟化支持。在Windows设置中，可以通过以下步骤开启：

1. 点击“开始”按钮，输入“核心隔离”
2. 在搜索结果中选择“核心隔离”系统设置
3. 打开“内存完整性”开关

需要注意的是，某些设备驱动程序可能与内存完整性不兼容，如果遇到此类情况，建议联系设备制造商获取更新的驱动程序。

内核模式硬件强制实施堆栈保护

内核模式硬件强制实施堆栈保护是另一项基于硬件的安全功能，它通过保护内核模式内存中的返回地址，防止恶意代码的注入。当检测到堆栈被篡改时，系统会触发蓝屏错误，阻止恶意代码的执行。

要启用这一功能，需要先开启内存完整性，并在“核心隔离”设置页面中打开“内核模式硬件强制实施堆栈保护”开关。需要注意的是，这一功能默认是关闭的，需要手动开启。

本地安全机构（LSA）是Windows系统中的关键安全组件，负责用户的本地和远程登录验证以及安全策略的强制执行。从Windows 8.1开始，微软为LSA添加了额外的保护措施，防止非受保护进程的代码注入，进一步提升了凭据安全性。

要使LSA插件或驱动程序以受保护进程的形式成功加载，必须满足以下条件：

1. 签名验证：所有加载到LSA中的插件都必须使用Microsoft签名进行数字签名。这包括智能卡驱动程序、加密插件和密码筛选器等。

2. 符合SDL过程指导：所有插件必须遵循Microsoft安全开发生命周期（SDL）过程指导。

在部署LSA保护前，建议进行全面测试，确保所有必要的插件和驱动程序都能正常工作。可以通过审核模式识别可能无法加载的插件和驱动程序，这些信息会记录在事件查看器的日志中。

用户账户控制（UAC）是Windows系统中重要的安全特性，通过权限提升机制防止恶意软件在未经用户同意的情况下对系统进行更改。UAC提供了多种配置选项，允许管理员根据实际需求调整安全策略。

内置管理员账户的管理员审批模式

控制内置管理员账户管理员审批模式的行为。已启用：内置管理员账户使用管理员审批模式。 默认情况下，任何需要特权提升的操作都提示用户批准该操作。禁用 (默认)：内置管理员帐户以完全管理权限运行所有应用程序。

允许 UIAccess 应用程序在不使用安全桌面的情况下提示提升

控制用户界面辅助功能 (UIAccess 或 UIA) 程序是否可以自动禁用标准用户使用的提升提示的安全桌面。已启用：UIA 程序（包括远程协助）会自动禁用安全桌面以提示提升。 如果未禁用“提示提升时切换到安全桌面”策略设置，则会在交互式用户的桌面上而不是安全桌面上显示提示。 此设置允许远程管理员提供适当的提升凭据。 此策略设置不会更改管理员的 UAC 提升提示的行为。禁用 (默认)：只有交互式桌面的用户或禁用“提示提升时切换到安全桌面”策略设置，才能禁用安全桌面。

管理员审批模式下管理员的提升提示行为

控制管理员的提升提示的行为。提升而不提示：允许特权帐户执行需要提升的操作，而无需同意或凭据。仅在受约束最严重的环境中使用此选项。在安全桌面上提示输入凭据：当操作需要特权提升时，系统会在安全桌面上提示用户输入特权用户名和密码。 如果用户输入了有效的凭据，则操作会以用户的最高可用权限继续执行。安全桌面上的同意提示：当操作需要特权提升时，系统会提示用户在安全桌面上选择“允许”或“拒绝”。 如果用户选择“允许”，则操作会以用户的最高可用权限继续执行。提示输入凭据：当操作需要特权提升时，系统会提示用户输入管理用户名和密码。 如果用户输入了有效的凭据，则操作将继续具有适用的权限。同意提示：当操作需要特权提升时，系统会提示用户选择“允许”或“拒绝”。 如果用户选择“允许”，则操作会以用户的最高可用权限继续执行。非 Windows 二进制文件的同意提示 (默认)：当非Microsoft应用程序的操作需要特权提升时，系统会在安全桌面上提示用户选择“允许”或“拒绝”。 如果用户选择“允许”，则操作会以用户的最高可用权限继续执行。

标准用户的提升提示行为

控制标准用户的提升提示的行为。提示输入凭据 (默认)：当操作需要特权提升时，系统会提示用户输入管理用户名和密码。 如果用户输入了有效的凭据，则操作将继续具有适用的权限。自动拒绝提升请求：当操作需要特权提升时，将显示可配置的访问被拒绝错误消息。 以标准用户身份运行桌面的企业可以选择此设置来减少技术支持呼叫。在安全桌面上提示输入凭据当操作需要特权提升时，系统会在安全桌面上提示用户输入不同的用户名和密码。 如果用户输入了有效的凭据，则操作将继续具有适用的权限。

检测应用程序安装并提示提升

控制计算机的应用程序安装检测行为。启用 (默认)：检测到需要特权提升的应用安装包时，系统会提示用户输入管理用户名和密码。 如果用户输入了有效的凭据，则操作将继续具有适用的权限。已禁用：不会检测到应用安装包，并提示提升。 运行标准用户桌面并使用委派安装技术（例如Microsoft Intune）的企业应禁用此策略设置。 在这种情况下，安装程序检测是不必要的。

仅提升已签名和验证的可执行文件

对请求特权提升的任何交互式应用程序强制实施签名检查。 IT 管理员可以通过将证书添加到本地设备上的受信任发布者证书存储，来控制允许哪些应用程序运行。已启用：在允许运行给定可执行文件之前，对其强制实施证书认证路径验证。禁用 (默认)：在允许运行给定可执

通过这些细致的配置选项，管理员可以灵活调整UAC的行为，既保证系统安全，又不影响用户体验。

审核策略是Windows系统中用于记录系统活动的重要功能，可以帮助管理员监控文件操作、登录尝试等关键行为，及时发现潜在的安全威胁。

启用Windows内置审核策略

Windows系统提供了内置的审核策略，能够记录对文件和文件夹的访问情况。通过组策略编辑器，可以启用“审核对象访问”选项，设置对成功和失败的访问尝试进行记录。

使用域智盾软件进行文件操作审计

对于需要更详细审计记录的企业，可以考虑使用第三方工具如域智盾软件。这类工具能够提供实时监控和详细的审计报告，帮助企业更好地管理文件操作。

快速查看最近文件访问记录

对于普通用户，可以通过文件资源管理器的“快速访问”功能，快速查看最近访问过的文件和文件夹。

实施文件加密与权限管理

除了记录操作外，实施文件加密和权限管理也是防止数据泄露的重要手段。通过设置严格的访问权限，确保只有授权人员才能访问敏感文件。

组策略（Group Policy）是Windows系统中用于集中管理用户和计算机设置的强大工具。通过组策略对象（GPO），管理员可以统一配置各种安全策略，实现对整个网络的集中管理。

什么是组策略

组策略可以在文件系统本地或 Active Directory 域服务中表示策略设置。 与 Active Directory 一起使用时，组策略设置包含在组策略对象 (GPO) 中。 GPO 是策略设置、安全权限和管理范围 (SOM) 的虚拟集合，可应用于 Active Directory 中的用户和计算机。 GPO 具有唯一名称，例如 GUID。 客户端使用 Active Directory 的层次结构性质评估 GPO 设置。

组策略的工作原理

组策略在计算机启动和用户登录时应用，之后会定期刷新。管理员可以通过组策略对象编辑器将GPO链接到特定的Active Directory站点、域或组织单位（OU），实现策略的集中部署。

组织单位（OU）的设计

OU是可向其分配组策略设置的最低级别 Active Directory 容器。 通常，在 OU 级别分配大多数 GPO，因此请确保 OU 结构支持基于组策略的客户端管理策略。 还可以在域级别应用一些组策略设置，特别是密码策略。 很少在站点级别应用策略设置。 设计良好的 OU 结构可以反映组织的管理结构，并充分利用 GPO 继承，从而简化组策略的应用。 例如，设计良好的 OU 结构可以防止复制某些 GPO，以便将这些 GPO 应用于组织的不同部分。 如果可能，请创建 OU 来委派管理权限，并帮助实现组策略。

通过合理设计OU结构，可以简化组策略的应用，同时确保策略的有效性。

Windows系统的安全防护是一个系统工程，需要硬件支持、软件策略和用户行为的协同配合。通过设备安全性内核隔离、本地安全机构保护、账户策略配置、审核策略和组策略这五项关键技术，Windows系统构建起了多层次的安全防护体系。作为用户，了解并合理配置这些安全功能，可以有效提升系统的安全性，保护个人隐私和重要数据免受威胁。建议定期检查和更新安全设置，及时安装系统更新，以应对不断变化的安全威胁。