刚装好系统,或者重装完发现用着用着就卡、弹窗多、后台进程乱跑?别急着怀疑硬件,十有八九是系统没做基础安全加固。这些操作不费事,但能拦住大部分自动扫描、弱口令爆破和恶意软件静默安装。
关掉不用的远程服务
很多电脑默认开着「远程桌面」或「SMB 1.0」,家里没NAS、没远程办公需求,这俩就是敞着的后门。右键「此电脑」→「属性」→「高级系统设置」→「启动和恢复」→「设置」→「启动选项」里别勾「启用远程协助」;再打开「控制面板」→「程序」→「启用或关闭Windows功能」,把「远程桌面主机」和「SMB 1.0/CIFS 文件共享支持」前面的勾去掉。
改掉管理员账户默认名
系统自带的 Administrator 账户,名字一搜就露馅。新建一个带管理权限的账户(比如叫「小王运维」),登录进去后,用管理员权限运行命令提示符,输入:
net user Administrator /active:no再用下面这行改名(替换成你想要的名字):
net user Administrator 小王运维改完立刻生效,下次有人扫你IP,连默认管理员账号都碰不着。
禁用Guest账户+清理空密码用户
「来宾账户」常年被利用做跳板。打开「计算机管理」→「系统工具」→「本地用户和组」→「用户」,右键 Guest →「属性」→ 勾选「账户已禁用」。顺手点开每个账户的「属性」,看「密码」栏是不是空白——有空密码的,必须设密码,或者直接删掉不用的账户。
更新策略不能懒
别等系统弹窗才点「立即重启更新」。进「设置」→「更新和安全」→「Windows 更新」→「高级选项」,把「自动下载更新」和「自动安装更新」全打开。再点「暂停更新」旁边的小箭头,确认没误点暂停超过35天——超时会自动恢复,但中间空档期最容易中招。
防火墙规则要收一收
系统自带防火墙比第三方“全家桶”靠谱得多。进「控制面板」→「系统和安全」→「Windows Defender 防火墙」→「高级设置」,左侧点「入站规则」,右侧找「文件和打印机共享」相关项,右键→「禁用规则」。家里没打印机共享、没局域网传文件需求,这条关了,外网连你445端口都连不上。