Windows电脑安全设置指南
Windows电脑安全设置指南
随着网络安全威胁日益增多,掌握Windows电脑的基本安全设置变得尤为重要。本文将详细介绍如何通过关闭危险端口、部署组策略、使用EFS加密等方式,有效提升您的电脑安全性。无论是家庭用户还是企业员工,都能从中受益,确保个人信息和重要数据不受侵害。快来学习这些实用技巧,为您的电脑筑起坚固的安全防线吧!
防火墙高级设置
防火墙是保护电脑免受网络攻击的第一道防线。Windows系统自带防火墙功能,但默认设置可能无法满足所有安全需求。通过高级设置,我们可以更精细地控制网络流量。
创建入站ICMP规则
ICMP(Internet控制消息协议)用于网络设备之间的通信。为了防止恶意ICMP流量,我们可以创建入站规则来控制ICMP请求。
- 打开具有高级安全性的Windows防火墙控制台,选择“入站规则”,然后点击“新建规则”。
在“新建入站规则向导”的“规则类型”页上,选择“自定义”,然后点击“下一步”。
在“程序”页上,选择“所有程序”,然后点击“下一步”。
在“协议和端口”页上,从“协议类型”列表中选择“ICMPv4”或“ICMPv6”。如果同时使用IPv4和IPv6,需要分别创建规则。
在“自定义ICMP设置”对话框中,可以选择允许所有ICMP类型,或者选择特定类型。完成后点击“确定”。
在“作用域”页上,可以指定规则适用的IP地址范围。根据需要进行配置,然后点击“下一步”。
在“操作”页上,选择“允许连接”,然后点击“下一步”。
在“配置文件”页上,选择适用的网络位置类型,然后点击“下一步”。
在“名称”页上,输入规则的名称和说明,然后点击“完成”。
创建入站端口规则
端口规则用于控制特定端口的网络流量。例如,我们可以阻止某些危险端口的入站连接。
打开具有高级安全性的Windows防火墙控制台,选择“入站规则”,然后点击“新建规则”。
在“新建入站规则向导”的“规则类型”页上,选择“自定义”,然后点击“下一步”。
在“程序”页上,选择“所有程序”,然后点击“下一步”。
在“协议和端口”页上,选择“TCP”或“UDP”,然后输入要控制的端口号。
在“作用域”页上,可以指定规则适用的IP地址范围。根据需要进行配置,然后点击“下一步”。
在“操作”页上,选择“阻止连接”,然后点击“下一步”。
在“配置文件”页上,选择适用的网络位置类型,然后点击“下一步”。
在“名称”页上,输入规则的名称和说明,然后点击“完成”。
设备加密与EFS加密
设备加密和EFS(加密文件系统)是Windows系统提供的两种加密技术,可以保护存储在硬盘上的数据。
启用设备加密
设备加密可以自动为操作系统驱动器和固定驱动器启用BitLocker加密。首次使用Microsoft帐户或工作/学校帐户登录时,设备加密会自动开启。
使用管理员帐户登录Windows。
打开“设置”应用,选择“隐私安全”>“设备加密”。
使用切换按钮打开“设备加密”。
使用EFS加密
EFS允许用户对单个文件或文件夹进行加密,而不影响其他文件。
右键点击要加密的文件或文件夹,选择“属性”。
在“常规”选项卡中,点击“高级”按钮。
在弹出的对话框中,勾选“加密内容以保护数据”,然后点击“确定”。
组策略编辑器安全设置
组策略编辑器是Windows系统中一个强大的管理工具,可以用来配置各种安全设置。
隐藏家庭选项部分
如果你不希望组织中的用户看到或有权访问家庭选项,可以通过组策略进行隐藏。
在组策略管理计算机上,打开组策略管理控制台。右键单击要配置的“组策略对象” (GPO) ,然后选择“编辑”。
在“组策略管理编辑器”中,转到“计算机配置”,然后选择“管理模板”。
将树展开到“Windows组件 > Windows安全 > 系列选项”。
打开“隐藏家庭选项区域”设置,并将其设置为“启用”。选择“确定”。
启动其他计算机组策略控制台
win+R进入命令窗口
输入MMC进入控制台1的页面点击文件点击添加/删除单元在可用的管理单元中下拉选中组策略对象编译器~点击添加
在组策略向导中点击浏览
选中另一台计算机的复选框~点击浏览
点击高级
点击立即查找
搜索结果区域就会显示局域网中的其他计算机选择需要添加的计算机~确定
关闭危险端口
许多网络攻击都是通过特定端口进行的。关闭不必要的端口可以有效防止这些攻击。
关闭139端口
- 右击网上邻居--属性--右击本地连接--属性--internet协议/(TCP/IP)--属性--高级--WINS--禁用TCP/IP上的NETBIOS--确定。
关闭445端口
- 打开注册表编辑器,在[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters]下增加一个dword键项,命名为"SmbDeviceEnabled"(不包含引号),将值设为0。
关闭3389端口
- 右击我的电脑,点属性--远程,把允许从这台计算机发送远程协助邀请前的勾去掉。
关闭135端口
运行dcomcnfg,展开“组件服务”→“计算机”,在“我的电脑”上点右键选“属性”,切换到“默认属性”,取消“启用分布式COM”;然后切换到“默认协议”,删除“面向连接的TCP/IP”。
也可以通过注册表修改:
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\EnableDCOM的值改为“N”
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc\DCOM Protocols 中删除“ncacn_ip_t
安全更新与补丁管理
及时安装系统更新和补丁是保持电脑安全的重要措施。对于企业用户,可以使用Microsoft Intune来加速Windows质量更新。
使用Windows 10 和更高版本策略的质量更新,可以在使用 Microsoft Intune 管理的设备上加快安装最新的 Windows 10/11 安全更新。 无需暂停或编辑现有的每月更新策略即可部署快速更新。 例如,当你的正常更新过程在一段时间内不部署更新时,可能会加快特定更新以缓解安全威胁。
并非所有更新都可以加速。 目前,只有可加速的 Windows 10/11 安全更新程序可以使用质量更新策略进行部署。 若要管理每月定期质量更新,请使用Windows 10 及更高版本的更新通道策略。
加速更新策略会暂时替代延迟和其他设置,以尽快安装更新。 此过程使设备能够启动快速更新的下载和安装,而无需等待设备检查更新。
设备启动更新所需的实际时间取决于设备 Internet 连接、扫描时间、设备通信通道是否正常运行以及云处理时间等因素。
对于每个快速更新策略,可以选择基于其发布日期部署的单个更新。 通过使用发布日期,无需创建单独的策略来将更新的不同实例部署到具有不同 Windows 版本的设备,例如Windows 10版本 1809、1909 等。
Windows 更新评估每个设备的生成和体系结构,然后提供适用的更新版本。
只有需要更新的设备才会收到加速更新:
- Windows 更新不会尝试为已具有等于或大于更新版本的修订的设备加快更新。
- 对于生成版本低于更新版本的设备,Windows 更新会在安装之前确认设备是否仍然需要更新。
加速更新策略会忽略并覆盖你部署的更新版本的任何质量更新延迟期。 可使用 IntuneWindows 更新通道和“质量更新延迟期”设置来配置质量更新延迟。
如果需要重启才能完成更新安装,该策略有助于管理重启。 在策略中,可以配置在策略强制执行自动重启之前用户必须重启设备的时间段。 用户还可以选择计划重启,或让设备尝试查找设备“使用时段”之外的最佳时间。 在到达重启截止时间之前,设备会显示通知,提醒设备用户这一截止时间,并提供计划重启的选项。
对于正常的每月质量更新服务,不建议使用加速更新。 相反,请考虑使用 Windows 10 及更高版本的更新通道策略中的截止时间设置。 有关信息,请参阅Windows 更新设置中用户体验设置下的“使用截止时间设置”。
使用现有 EA 启用订阅激活不适用于适用于 WuFB-DS 功能的 GCC 和 GCC High/DoD 云环境。
从 2022 年 11 月开始,将检查并强制执行 Windows 更新 business 部署服务 (WUfB ds) 许可证。
如果在为需要 WUfB ds 的功能创建新策略时被阻止,并且你通过企业协议 (EA) 许可证激活了现有 EA 订阅,则需要在 Azure 门户中更新订阅以包含所需的许可证。 如果你没有所需的许可证,可以购买 Windows 10/11 企业版 E3 或 E5、Windows 10/11 教育版 A3 或 A5、Windows 虚拟桌面访问 E3 或 E5 或 Microsoft 365 商业高级版。
通过以上这些安全设置,你可以大大提升Windows电脑的安全性。但请记住,安全是一个持续的过程,需要定期检查和更新。希望这些实用技巧能帮助你更好地保护自己的电脑!