个人电脑安全加固与优化

admin管理员组

文章数量:1547232

个人电脑安全加固与优化

• 安全加固
• • 安全意识
  • • 密码
    • 日常上网
  • 杀软工具
  • 防护配置
  • • 登录安全
    • 屏幕锁定
    • 关闭常见后门
    • • Shift后门
      • 放大镜后门
    • 服务
    • • 远程登录服务安全控制
      • 禁用NetBIOS
      • 关闭默认共享
      • 关闭远程协助功能
      • 关闭135端口
      • 关闭SMB
      • 防火墙禁用端口
• 优化
• • 开机启动项
  • 虚拟内存
  • 电脑清理

针对Windows 10家庭版，其他版本系统可根据需要进行参考，关停服务时请确认该服务是否有使用需求以及是否正在使用，关停服务是否会对其他服务、程序的运行产生影响（详情请自行百度）

安全加固

安全=良好的安全意识+适当的防护配置+杀软工具

安全意识

密码

不要使用过于简单的密码，如123456、a1b2c3、123qweasd（键盘上的相邻按键），使用较为复杂的密码，最好使用大小写字母数字符号的混合方式，不要在密码中使用个人信息，比如姓名首字母或姓名拼音，最好能有自己的一套密码记忆方式（可以记在手机里，或者是别人不知道的特殊信息组合），举个例子：nnegn@156721PLA，nnegn是“人民解放军”的拼音末位字母，156721是解放军军歌最后一句的简谱，PLA是人民解放军的英文缩写，存在手机里就能以“人民的歌”来记忆。
对于不经常登录使用的网站软件，可以把密码以自己特有的理解方式记在手机里，这样即使手机丢失被别人解锁也看不懂。
访问浏览器时，经常提示保存密码，请选择否，已经有多个浏览器（历史版本或现在的版本）被爆出了密码泄露的漏洞，对于不同的网站可以使用一个密码的不同变体，只要自己记住就行。

日常上网

不要打开有风险的网站（现在的浏览器会有提示），不要打开陌生链接，不要随意下载文件，不要安装来历不明的软件，不要在网络上（特别是社交平台）随意分享自己的信息（包括日常活动，经常出入的场所，生日、家乡地址等），黑客不仅仅会通过社会工程学攻击利用多方平台获取你的全部信息，还会使用泄露信息生成字典对你的账号密码进行暴破，以此来盗号。
有人会说，我上面这些没有做，但我没有被盗号啊，那只是因为你暂时还没有被攻击，或者你的信息暂时没有利用价值，也许你的个人信息已经被不法分子盗取售卖给了黑灰产业，比如莫名其妙接到诈骗电话，对面还能讲出你的部分个人情况。

杀软工具

我自己的搭配是火绒+360安全卫士，火绒开机自启，360关闭开机自启，需要时再开360。两个工具各有优势，使用两个工具可以互相补充完善病毒库和功能。360安全卫士这款软件从功能上来讲其实不错，但是默认设置中有些流氓项目，需要手动关闭。
火绒官网：https://www.huorong/
360官网：https://www.huorong/
火绒非常简洁，也没有什么流氓操作，下载安装后基本不需要更改什么设置，这里不做演示
演示一下360安装完毕后的一些设置（这里为了进行演示是在虚拟机里进行，实际操作请不要把软件安装在系统盘中）

安装完后任务栏会添加一个资讯工具

用不到，关掉它

打开360安全卫士的设置

根据个人需求选择“功能定制”中的功能是否开启

在“基本设置”中关掉360添加的系统右键菜单的功能

看个人需求，不关的话你的系统右键就会是下图这样

其他功能根据个人需求关闭，“显示不定期开机推广”这种关掉就行，否则开机后会弹出一个广告小窗口

“安全防护中心”、“漏洞修复”、“木马查杀”使用默认设置即可

防护配置

登录安全

关闭账户邮箱显示
在win10自带的搜索工具中搜索“登录选项”


或者在 开始-设置中搜索

在登录选项的最下面，“隐私”中，取消勾选“在登录屏幕上显示账户详细信息，例如我的电子邮件地址”。版本比较早的系统登陆后会默认显示账户绑定的邮箱地址，这里关掉就不再显示

屏幕锁定

桌面空白处点击右键，选择“个性化”

依次点击“锁屏界面”，下拉至底部，点击“屏幕保护程序设置”

屏幕保护程序设置成自己喜欢的就行，设置等待时间，勾选在恢复时显示登录屏幕，点击“确定”

这一项一定要设置，超过等待时间后会使电脑锁定，再次使用时就需要输入密码，防止因为临时走开或疏忽导致电脑被其他人操作。最好在不使用电脑时手动锁定（快捷键“Windows键+L”）。

关闭常见后门

Shift后门

在未登录系统时，连续按5次shift键，系统会运行sethc.exe，在未进入系统时，可利用系统恢复漏洞篡改系统文件名，替换为cmd.exe程序，进而执行系统命令（较早版本的系统存在此漏洞）。
修复：关闭快捷键功能
在任务栏搜索中输入“轻松使用”，点击“使用粘滞键针对键盘快捷方式一次按一个键”，在弹出来的窗口中，关闭“使用粘滞键”，取消勾选“允许使用快捷键启动粘滞键”关闭粘滞键功能

修改注册表，清除免疫后门（需要关闭杀毒软件且以管理员身份登录，否则会提示没有权限）
1.windows键+R，输入“regedit”打开注册表
2.切换到该位置：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
如果该目录下不存在sethc.exe项：在Image File Execution 上点击右键“新建→项”，输入sethc.exe

在新创建的sethc.exe上点击右健，新建，字符串值，Debugger

双击新建的Debugger,在数值数据中填入一些你胡乱打的数值

设置完后最好设置下权限，右键-权限，Everyone 禁止 删除 禁止 设置项值
如果目录下存在sethc.exe项：
打开sethc.exe项 ，双击 Debugger ，随意输入内容（乱打就行)，这样就免疫并且清除了shift后门

放大镜后门

使用构造的magnify.exe替换同名的放大镜程序文件，当系统执行放大镜程序时，实际执行的是构造过的批处理程序，就创建了一个账号，便可以登录电脑进而对主机进行攻击。
防御措施
进入%Windir%\system32目录，查看magnify.exe的文件图标是否是原来的放大镜的图标，如果不是的话极有可能被植入了放大镜后门。有时攻击者也会将其文件图标更改为和原放大镜程序的图标一样。此时我们可以查看magnify.exe文件的大小和修改时间，如果这两样有一项不符就比较怀疑了。我们也可以先运行magnify.exe，然后查看系统是否有可疑的用户。如果确定电脑被放置了放大镜后门，首先要删除该文件，然后恢复正常的放大镜程序。
检查HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Option注册表路径中的程序名称
该后门同样适用于其他辅助功能

1. 屏幕键盘：C:\Windows\System32\osk.exe
2. 放大镜：C:\Windows\System32\Magnify.exe
3. 旁白：C:\Windows\System32\Narrator.exe
4. 显示开关：C:\Windows\System32\DisplaySwitch.exe
5. 应用程序开关：C:\Windows\System32\AtBroker.exe
   现在大部分的杀毒软件都会监视注册表项来防御这种恶意行为。
   
   

服务

服务涉及到系统关键信息和配置，某些服务采用明文传输，安全性较低，有某些服务极少使用，可能被篡改，因此要禁用非必要、安全风险大的服务，如Computer Browser、Remote Registry Server、Schedule、server、Print Spooler（有打印机时不要禁用）、Telnet、Terminal、TCP/IP NetBios Helper、Ftp Publishing Service、Messenger、License Logging Service、Remote Registry、Distributed Transaction Coordinator、Secondary Logon

关闭服务示例
搜索服务

或者按Windows键+R，在弹出的窗口中输入services.msc，点击确定

找到Distributed Transaction Coordinator

双击左键，设置启动类型为“禁用”，点击下方的“确定”

远程登录服务安全控制

更改RDP默认端口3389，注册表位置
\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp
和
\HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\Tenninal Server\WinStations\RDP-Tcp
两个分支下portnumber键值，修改完重启rdp服务生效。
注意：有远程登录需求的，远程功能更改默认端口号即可，不要关闭相应的服务

禁用NetBIOS

搜索“查看网络连接”

找到电脑正在使用的网络，右键-属性

按照以下顺序进行设置
选中Internet协议版本4（TCP/IPv4），点击属性，在新弹出的“Internet协议版本4（TCP/IPv4）属性”窗口中点击高级，在“高级 TCP/IP设置”窗口中点击WINS，勾选禁用TCP/IP上的NetBIOS(s)

关闭默认共享

默认共享是Windows为方便管理开放的共享，使用139端口，但可能会被攻击者针对默认开启共享的情况，使用简单的命令将目标主机的磁盘建立共享，从而盗取目标主机中的文件和信息。
防御：禁用Server服务、关闭共享功能、关闭139和445端口（防火墙、策略、注册表）、注册表关闭IPC$，通过注册表关闭的方法如下：
在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa中将restrictanonymous由0修改为1，在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters中新建两个DEORD，名称分别为AutoShareServer和AutoShareWks，值均为0。
关闭共享功能（局域网环境有共享需求的请慎重）
搜索“高级共享设置”

勾选关闭网络发现、关闭文件和打印机共享，点击保存更改

关闭远程协助功能

“我的电脑”右键，点击属性，弹出的窗口中点击“高级系统设置”

在“系统属性窗口”中点击“远程”，取消勾选允许远程协助连接这台计算机，点击确定

关闭135端口

Windows键+R，运行dcomcnfg.exe，依次展开“组件服务-计算机-我的电脑”，“我的电脑”单击右键选择“属性”-“默认属性”，取消勾选在此计算机上启用分布式CMOE

再单击“默认协议”，移除“面向连接的TCP/IP”，点击下方的“确定”，重启后生效

关闭SMB

在注册表\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters中，新建QWORD，名为SMBDeviceEnabled，值为0，重启后生效

防火墙禁用端口

防火墙入站规则中禁用部分端口
搜索“防火墙”

点击“高级设置”

点击左侧入站规则，再点击右侧的新建规则

选择端口，点击“下一步”

选择TCP，特定本地端口，填入135-139,445,3389（注意，此处使用英文符号），点击“下一步”

选择阻止连接，点击“下一步”

点击“下一步”

随便起个名字，点击“完成”即可。这里的名字自己要记住，万一以后要使用某个被禁用的端口，便于找到此规则。

优化

开机启动项

对开机启动项进行设置时，请先确认程序和服务是否是你不需要的，如果需要它开机启动就不要关闭，有的第三方程序和系统关键服务的运行依赖其他程序，如VMware软件可以关闭开机自启，但是它的正常运行依赖于下图所示的一系列服务。

360的启动项管理工具

扫描结果如下

点击“立即优化”，会弹出一个窗口，点击“全选”和“确认优化”

更详细的启动项管理

根据需要禁用软件启动即可，比如这里我不需要360软件小助手开机启动，就可以把它禁用掉

点击软件右侧的“已开启”，弹出提示窗口，点击“继续禁止”

此时360软件小助手已经被禁止开机启动

根据需要关闭系统服务的开机自启（这里要慎重，不确定的不要关）

比如我不想让电脑频繁更新，就可以关闭更新的计划任务

360对第三方软件的支持较好

可以禁止第三方软件以及其服务的开机启动

火绒的启动项管理工具

点击“是”

根据个人需要关闭服务、启动项、计划任务，火绒对第三方软件的支持较弱，只检测到一个软件

也可以使用“高级工具”中的“火绒剑”，不仅可以管理开机启动项，还可以管理进程、服务、注册表，功能强大。如果没有相关知识请不要轻易使用该工具，以免误操作影响系统正常运行

虚拟内存

拿出一部分硬盘空间来充当内存使用，从而缓解电脑卡顿现象，对运行内存较小的电脑优化效果强
在设置中找到“高级系统设置”，“高级”选项卡中在“性能”一栏中点击“设置”

在新窗口中点击“更改”

先取消勾选“自动管理所有驱动器的分页文件大小”
然后选中系统盘以外的磁盘，点击“自定义大小”，设置为电脑运行内存的1.5倍至2倍，点击“确定”

电脑清理

C盘清理：C盘点击右键，属性-磁盘清理-系统文件清理
这里仅演示利用系统自带的工具释放C盘（默认系统磁盘）空间，360安全卫士中的C盘清理工具不做演示

勾选“Windows更新清理，Windows更新会下载很大的文件，清理后能释放不少空间

关闭系统还原（慎重）
关掉该功能后能节省几个G的空间，但是一旦系统出现问题就无法还原，可能要重装系统。看个人需要，如果C盘占用非常满，电脑只是用来娱乐没有存储重要资料，并且你也不嫌重装系统麻烦，可以关闭。
在设置中找到“高级系统设置”，“系统保护”选项卡中点击“配置”，勾选禁用系统保护



清理其他内容
使用杀软工具中的清理工具，360和火绒都有
360：“电脑清理”中点击“一键清理”就会开始扫描电脑中的垃圾文件（包括缓存、部分软件的记录或备份等）

)
)
在清理时会有风险提示，如使用记录、备份、聊天记录缓存文件接收文件，会询问你是否需要清理，如果想保留这些文件，点击“仅清理无风险项”；如果想保留部分文件，点击右侧的“不清理”，就会跳过这一项，清理其他文件

)
如果不想保留这些文件，点击“清理所有”，会再次弹出风险提示（防止误操作），依据个人情况点击“跳过”或“确认清理”即可

火绒中的清理工具

)

和360一样有风险提示

不足之处欢迎纠正补充

本文标签： 个人电脑