增强Windows系统抵抗力需从账户加固、协议精简、内核防护、审计响应四方面入手:禁用Guest和重命名Administrator,启用强密码与账户锁定策略;禁用SMBv1、NTLM等高危协议;启用LSASS保护、ASR规则、PowerShell签名策略;开启关键事件审核并对接SIEM。
增强 windows 系统抵抗力不是装个杀毒软件就完事,关键在于从系统底层收紧控制面、限制攻击入口、提高攻击成本。核心思路是:让合法操作尽可能顺畅,让非法行为无处落脚、快速暴露、难以持续。
账户与身份加固
这是第一道防线,也是攻击者最常突破的环节。
- 禁用 Guest 账户,并重命名 Administrator 账户(如改为 Admin-IT),避免成为暴力破解靶心
- 启用密码复杂性策略(含大小写字母、数字、符号)、最小长度设为 14 位、最长使用期限不超过 90 天、历史记录保留至少 24 次
- 设置账户锁定阈值为 5 次失败即锁定,锁定时间不少于 30 分钟,复位计数器设为 30 分钟
- 所有日常办公用户必须使用标准账户,仅在必要时以“以管理员身份运行”方式提权,杜绝长期使用高权限账号
协议与服务精简
关掉不用的东西,等于拆掉攻击者的梯子。
- 禁用 SMBv1 协议(存在永恒之蓝等高危漏洞),仅启用 SMB 3.1.1 并强制加密(AES-128-GCM)
- 关闭远程注册表服务、TCP/IP NetBIOS Helper、Print Spooler(若非打印环境)等非必要服务
- 禁用 NTLM 身份验证,优先使用 Kerberos;停用基本身份验证(明文传输风险)
- 将 TLS 版本严格限制为 1.2 及以上,彻底禁用 SSL 3.0、TLS 1.0 和 1.1
内核与执行防护
阻止恶意代码落地、加载和提权,把攻击链拦在关键节点。
- 启用 LSASS 保护(PPL),防止 Mimikatz 类工具读取内存凭证
- 开启 Windows Defender Exploit Guard 的攻击面减少规则(ASR),重点拦截 Office 宏、PowerShell 脚本、WMI 命令等高危行为
- 配置 PowerShell 执行策略为 AllSigned 或 Restricted,禁止未签名脚本运行
- 启用受控文件夹访问,保护桌面、文档、下载等敏感路径不被勒索软件加密
- 开启核心隔离中的“内存完整性”,配合 TPM 2.0 防御内核级 Rootkit
审计与响应闭环
看不见的攻击最危险,得让每一次异常都留下痕迹、触发反馈。
- 启用关键安全事件审核:登录成功/失败(4624/4625)、权限变更(4670)、进程创建(4688)、账户管理(4720/4722)、策略更改(4719)
- 日志保留周期不少于 90 天,建议对接 SIEM 或 Microsoft Sentinel 实现集中分析
- 对 BitLocker 加密状态、设备健康度(Secure Boot、TPM、内存完整性)做定期基线检查
- 所有安全策略上线前,在测试环境启用审核模式(Audit Mode)观察影响,确认无业务中断再正式启用