在默认配置下,你在 Windows 11 上的每一次点击都是透明的。当对手拥有国家级资源时,普通的杀毒软件毫无意义。这是一份焦土政策般的系统加固手册:我们需要牺牲便利性,通过注册表和策略组的深度改造,最大限度地缩减攻击面,在充满敌意的网络环境中构建最后一道防线。
关于 Windows 的本质警告
在继续阅读之前,必须明确一点:Windows 是闭源操作系统,其安全性本质上无法被独立验证。
Windows 的闭源特性意味着:
你无法审计其源代码中是否存在后门
微软与美国情报机构的合作历史有据可查(PRISM 项目)
系统遥测数据的完整内容无法被用户确认
安全补丁的完整性依赖于对微软的信任
如果你有高度安全需求,强烈建议迁移至 Linux 发行版(如Tails、Whonix、或经过强化的 Debian/Arch)。Linux 的开源特性允许全球安全研究人员审计代码,且其设计哲学更符合最小权限原则。
然而,若因软件兼容性、专业工作流程或其他原因不得不使用 Windows,本文将提供目前已知的最深度系统强化措施,使你的 Windows 11 防护能力最大化。
第一章:攻击面削减规则(ASR)——微软隐藏的企业级防护
ASR 规则是 Windows 11 纵深防御安全模型的关键组件,提供针对常见攻击向量和恶意行为的主动防护。这些规则属于 Microsoft Defender for Endpoint 的一部分,帮助防止恶意软件通常用于入侵 Windows 设备的行为。可将其视为阻止风险行为的护栏,例如阻止 Office 宏启动可执行文件、阻止脚本从邮件下载文件、或阻止进程从 LSASS 窃取凭据。
1.1 通过 PowerShell 启用全部关键 ASR 规则
配置 ASR 规则的主要方法是使用 Set-MpPreference PowerShell cmdlet,配合 AttackSurfaceReductionRules_Ids 和 AttackSurfaceReductionRules_Actions 参数。
广播协议 NetBIOS over TCP/IP、LLMNR 和 mDNS (Multicast DNS) 用于在没有 DNS 服务器的 Windows 网络中解析名称。这些协议在具有 DNS 服务器的企业网络中通常不需要。此外,这些广播协议不安全,攻击者可轻松利用它们实施欺骗、中继和中间人攻击,在本地子网拦截用户凭据(包括 NTLM 哈希)。
方法一:通过组策略禁用 LLMNR
在 Active Directory 环境中,可使用组策略禁用域计算机和服务器上的 LLMNR 广播。打开 gpmc.msc,创建新 GPO 或编辑应用于所有工作站和服务器的现有 GPO。转到计算机配置 → 管理模板 → 网络 → DNS 客户端;启用”关闭多播名称解析”和”关闭智能多宿主名称解析”策略。
对于家用电脑,使用本地组策略编辑器(gpedit.msc):
计算机配置 → 管理模板 → 网络 → DNS 客户端
启用:Turn off multicast name resolution
启用:Turn off smart multi-homed name resolution
NetBIOS over TCP/IP 为多种入侵方法提供便利。为降低此风险,应为所有网络接口禁用 NetBIOS over TCP/IP。由于 NetBIOS over TCP/IP 仅用于支持 Windows 2000 之前的遗留 Microsoft Windows 操作系统,不应有业务需求继续使用它。
在 Windows 8.1、Windows 10 和 Windows 11 上,可以使用”程序和功能”禁用 SMBv1。在控制面板中,选择”程序和功能”。在控制面板主页下,选择”启用或关闭 Windows 功能”以打开 Windows 功能对话框。在 Windows 功能对话框中,向下滚动列表,清除”SMB 1.0/CIFS 文件共享支持”的复选框,然后选择确定。
2.4 禁用 mDNS(可选)
Multicast DNS (mDNS) 网络协议从 Windows 10 version 1703 和 Windows Server 2019 开始可用。它允许在不使用中央 DNS 服务器的情况下在小型本地网络中解析主机名到 IP 地址。
WDigest 协议在 Windows XP 中引入,旨在通过 HTTP 协议进行身份验证,在 Windows XP 到 Windows 8.0 和 Windows Server 2003 到 Windows Server 2012 中默认启用。此默认设置导致明文密码存储在 LSASS(本地安全授权子系统服务)中。攻击者可以使用 Mimikatz 提取这些凭据。
计算机配置 → 管理模板 → Windows 组件 → Windows PowerShell
启用:Turn on PowerShell Script Block Logging
启用:Turn on PowerShell Transcription(设置输出目录)
启用:Turn on Module Logging
# 创建新管理员账户
net user SecureAdmin P@ssw0rd123! /add
net localgroup Administrators SecureAdmin /add
# 将现有账户降级为标准用户
net localgroup Administrators YourCurrentUsername /delete
6.2 配置本地管理员密码解决方案(LAPS)
即使内置管理员账户具有唯一名称和唯一密码,恶意行为者仍可以根据其安全标识符(即 S-1-5-21-domain-500)识别这些账户,并利用此信息在获得 SAM 数据库访问权限时集中暴力破解工作站上的凭据。为降低此风险,需要使用 Microsoft 的本地管理员密码解决方案 (LAPS) 确保每个工作站使用唯一密码。
# 禁用内置 Administrator
net user Administrator /active:no
# 重命名 Guest 账户(如果存在)
wmic useraccount where "name='Guest'" rename "DisabledGuest"
net user DisabledGuest /active:no
受控文件夹访问是 Microsoft Windows 11 的一项安全功能,属于 Microsoft Defender Exploit Guard 的一部分。它旨在对抗勒索软件威胁。为使用受控文件夹访问,必须将 Microsoft Defender Antivirus 配置为工作站上的主要实时杀毒扫描引擎。
Intel TME 使用仅存在于记忆体控制器内部的单一硬体产生的 AES 金钥对系统的整个实体记忆体进行加密。此金钥在启动时使用 CPU 的硬体随机数产生器随机生成,并且永远不会离开 CPU 封装。所有写入 DRAM 的资料都会在传输前使用 AES-128 XTS 模式(或在较新的处理器上使用 AES-256 XTS)进行加密。当 CPU 从 RAM 请求资料时,记忆体控制器会在将资料传送到 CPU 快取之前自动解密。
echo “resume=/dev/mapper/swap” | tee -a /etc/kernel/cmdline dracut -f
echo “Configuring auto-lock…”
gsettings set org.gnome.desktop.screensaver lock-delay 0 gsettings set org.gnome.desktop.session idle-delay 120
echo “Checking hardware memory encryption…” if grep -q “tme” /proc/cpuinfo; then echo “Intel TME support detected – enable in UEFI firmware” elif grep -q “sme|tsme” /proc/cpuinfo; then echo “AMD SME/TSME support detected – enable in UEFI firmware” else echo “WARNING: No hardware memory encryption detected” echo “Cold boot protection limited to power management and memory wiping only” echo “Consider hardware upgrade to CPU with TME/TSME support” fi
存款(Commit Phase):用户生成随机数 r 与公钥信息,基于一定的哈希或承诺函数计算出承诺 C = Commit(r, data) 并将 C 存入合约,同时将相应金额发送到合约控制的资金池。用户将 r 及相关 note 信息保存在本地。 提款(Withdraw Phase):用户向合约提交一份零知识证明 π,证明其知晓某一未被花费的承诺的秘密信息(即曾经对合约存款)。合约在验证 π 后,依据预设的业务逻辑向目标地址支付相应金额,并标记相关承诺已被使用以防重放。
关键在于情境化:没有一种放之四海而皆准的建议能够适用于所有国家与法律环境。举例说明:将 VPN 与 Tor 结合使用以增强匿名性的建议,需要置于具体威胁环境来判断其合理性。如果你身处一个高压执法与广泛网络监控的国家(例如文中点名的某些独裁国家),直接使用 Tor 反而可能把你暴露在“正在使用 Tor”的黑名单中,从而招致额外注意。在这种情形下,应当先通过信得过的 VPN 隐藏你对 Tor 的访问,再在 VPN 之上启动 Tor,从而减少被立即识别的风险。而在欧盟或许多自由民主国家,直接使用 Tor 通常并不构成自动风险,你甚至可以向网络提供商公开你正在使用 Tor,而不会引起执法上的附加怀疑。再比如社交媒体发言是否需要匿名化,很大程度取决于当地法律与司法实践:在某些地区,言论的上下文被末位化,讯息本身就可能被作为刑事起诉的依据,因此匿名化是必要的;而在其他地区,公开且真实的身份反而有助于获得舆论与法律保护。
匿名服务器侧上下文
此外,匿名不仅是客户端的问题,也涉及服务器端策略。考虑到某些网站会封锁 Tor 入口或对 Tor 流量做特别处理,若你需要匿名访问这些站点,就必须在访问链路上做额外处理:例如先通过可靠的 VPN 隐藏你的真实来源,再通过 Tor 访问目标站点,使目标服务器只看到来自 VPN 的流量。不同场景会有不同的组合策略,理想的安全建议需要把这些场景列举出来,并为每类场景提供可执行的步骤。
举例说明:在私人消息传递工具的选择上,要求用户必须使用绑定手机号的应用(例如某些 Signal 的使用场景)会增加采用难度与被追踪的可能;而无需手机号即可创建身份的通信工具(如某些经过验证的匿名聊天协议或实现)在实际操作上更容易被弱保护群体接受。这里的核心不是贬低某个工具,而是要在“可行性”与“安全性”之间找到合适的折衷:在不降低关键保护(如端到端加密、元数据最小化、可否认性等)的前提下,优先推荐操作简单、学习成本低的方案,从而让更多人能够真正实施并从中获益。
