win10系统加固方案.pdf

win10 系统加固方案 1、磁盘加密位元锁(Enable BitLocker) 　　Windows 10 中的磁盘加密位元锁可以用来加密任何硬盘上的信息，包括启动、系统甚 至移动媒体，鼠标右键就可以在选项中加密 Windows 资源管理器中的数据。用户可以在设 置菜单中选择希望加锁的文件，被加密的文件可以被设置为只读，且不能被重新加密。 　　在保存好 Bitlocker 信息后关闭电脑，BitLocker 的恢复信息存储在计算机的属性文 件中，大多数情况下自动备份用户的密码恢复到 Active Directory。所以要确保可以访问 这些属性，防止丢失密码后无法恢复文件。 2、提升安全级别 　　Windows 10 的用户帐户控制得到较大的改进，在区别合法和非法程序时表现得十分精 确、迅速。根据用户的登录方式 (管理员或普通用户)默认 UAC 安全级别设置，可以选择不 同敏感度的防御级别。 　　Windows 10 中设计了一个简单的用户帐户控制滚动条，方便管理员或标准用户设置它 们的 UAC 安全级别。 　　建议将 UAC 安全级别设置为 “始终通知”，请放心Windows 10 中遇到的安全通知要 比Vista 少很多。 　　虽然 UAC 功能提供了一个必要的防御机制，但是为了系统的稳定性，请谨慎使用管理 员帐户。 3、及时升级 　　在 Windows 10 的默认设置中，Windows 升级服务将自动下载并安装重要的 Windows 系 统和应用程序的升级包。 　　有一项研究表明，微软的软件是世界上补丁最多的产品。但是系统并没有提醒你，及 时更新其他的非系统软件，比如浏览器、媒体播放器等。黑客们现在都喜欢从这些方面对 电脑进行攻击。 4、备份数据 　　道高一尺，魔高一丈。有的时候真的是防不胜防，即使做了很多努力，当病毒来临时 防御措施仍可能变的不堪一击。及时备份重要数据才是王道，这样就算遇到了极具杀伤性 的病毒，也可以通过恢复数据轻松解决。 5.关闭默认共享 封锁系统后门 　　同 XP、Vista 一样，在默认情况下也开启了网络共享。虽然这可以让局域网共享更加 方便，但同时也为病毒传播创造了条件。因此关闭默认共享，可以大大降低系统被病毒感 染的概率。Windows 在默认情况下会开启以下隐藏管理共享： 　　• 根分区或卷 　　• 系统根目录 　　• FAX$共享 　　• IPC$共享 　　• PRINT$共享 　　这些共享的开启可以让任何有管理权限进入你的电脑或者活动目录 (Active Directory)域 (连接状态下)的用户进入任何分区，而并不需要你主动分享文件，因为他已 经拿到了你的账户凭据。在基于 Windows NT 架构的系统中，所有分区都通过 “管理共享 ”功能对管理员开放共享。因此这种机制存在安全隐患，可以采取以下三种方式彻底关闭 该共享功能。 6、关闭 Server 服务 　　①在运行、任务管理器或 Cortana 搜索栏 (Win10)/开始菜单搜索栏 (Win7)/开始屏幕 搜索栏 (Win8.1)输入 services.msc 后回车，打开 “服务” 　　②找到 Server，双击打开 ③在 “启动类型”中选择 “禁用”，然后在 “服务状态”点击 “停止”后确定 　　这种方法能够关闭文章开头提到的管理共享，不过对于需要开启打印和传真等共享和 某些文件共享的用户来说，这种方式有些 “矫枉过正”。后面两种方式更适合这部分用户 。 7、在注册表中关闭 “管理共享 admin$” ①在运行、任务管理器或 Cortana 搜索栏输入 regedit 后回车，打开注册表编辑器 　　②定位到 　　 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters ③新建 DWORD(32 位)值，重命名为 AutoShareWks，并将其数值数据设置为 “0”后点击确 定 关闭 IPC$ “开始”→“运行”输入 “regedit”确定后，打开注册表编辑器，找到 “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services \lanmanserver \parameters”项，双击右侧窗口中的 “AutoShareServer”项将键值由 1 改为 0，这样就能关闭硬盘各分区的共享。如果没有 AutoShareServer 项，可自己新建一 个再改键值。最后到 “HKEY_LOCAL_MACHINE\