用于防止安全漏洞的重要组策略设置

当您想要启用或禁用 GUI 表单中不可用的某些功能或选项时，组策略编辑器可能是您的最佳伴侣。无论是为了安全、个性化、定制还是其他任何目的。因此，我们在 Windows 11/10 计算机上整合了一些用于防止安全漏洞的最重要的组策略设置。

在开始完整列表之前，您应该知道我们要讨论的内容。当您想为您或您的家人制作一台功能齐全的家用计算机时，需要涵盖某些领域。他们是：

• 软件安装
• 密码限制
• 网络接入
• 日志
• USB支持
• 命令行脚本执行
• 计算机关闭并重新启动
• Windows安全

有些设置需要打开，而有些则需要完全相反的设置。

用于防止安全漏洞的最重要的组策略设置

用于防止安全漏洞的最重要的组策略设置是：

1. 关闭 Windows 安装程序
2. 禁止使用重启管理器
3. 始终以提升的权限进行安装
4. 仅运行指定的 Windows 应用程序
5. 密码必须满足复杂性要求
6. 账户锁定阈值和持续时间
7. 网络安全：下次更改密码时不存储 LAN Manager 哈希值
8. 网络访问：不允许匿名枚举 SAM 帐户和共享
9. 网络安全：限制 NTLM：审核此域中的 NTLM 身份验证
10. 阻止 NTLM
11. 审计系统事件
12. 所有可移动存储类别：拒绝所有访问
13. 所有可移动存储：允许在远程会话中直接访问
14. 打开脚本执行
15. 阻止访问注册表编辑工具
16. 阻止访问命令提示符
17. 打开脚本扫描
18. Windows Defender 防火墙：不允许例外

要了解有关这些设置的更多信息，请继续阅读。

1.关闭Windows安装程序

计算机配置 > 管理模板 > Windows 组件 > Windows Installer

当您将计算机交给您的孩子或不知道如何检查程序或程序源是否合法的人时，这是您需要检查的最重要的安全设置。它会立即阻止您计算机上的各种软件安装。您需要从下拉列表中选择启用和始终选项。

阅读：如何阻止用户在 Windows 中安装或运行程序

2.禁止使用重启管理器

计算机配置 > 管理模板 > Windows 组件 > Windows Installer

有些程序需要重新启动才能在您的计算机上完全运行或完成安装过程。如果您不想让第三方在您的计算机上使用未经授权的程序，您可以使用此设置来禁用 Windows Installer 的重新启动管理器。您需要从下拉菜单中选择关闭重新启动管理器选项。

3. 始终以提升的权限进行安装

计算机配置 > 管理模板 > Windows 组件 > Windows Installer

用户配置 > 管理模板 > Windows 组件 > Windows Installer

有些可执行文件需要管理员权限才能安装，而其他可执行文件则不需要这样的权限。攻击者经常使用此类程序在您的计算机上远程秘密安装应用程序。这就是您需要打开此设置的原因。要知道的一件重要的事情是，您必须从计算机配置和使用配置中启用此设置。

4.仅运行指定的Windows应用程序

用户配置 > 管理模板 > 系统

如果您不想在未经事先许可的情况下在后台运行应用程序，则此设置适合您。您可以允许计算机用户仅在您的计算机上运行预定义的应用。为此，您可以启用此设置并点击显示按钮来列出您想要运行的所有应用。

5、密码必须满足复杂度要求

计算机配置 > Windows 设置 > 安全设置 > 帐户策略 > 密码策略

为了保护您的计算机免受安全漏洞的侵害，您首先需要使用一个强密码。默认情况下，Windows 11/10 用户几乎可以使用任何内容作为密码。但是，如果您启用了密码的某些特定要求，则可以打开此设置来强制执行。

阅读：如何在 Windows 中自定义密码策略

6. 账户锁定阈值和期限

计算机配置 > Windows 设置 > 安全设置 > 帐户策略 > 帐户锁定策略

应启用两个名为帐户锁定阈值和帐户锁定持续时间的设置。第一个可以帮助您在登录失败达到一定次数后锁定计算机。第二个设置可帮助您确定锁定将持续多长时间。

7. 网络安全：下次更改密码时不存储 LAN Manager 哈希值

计算机配置 > Windows 设置 > 安全设置 > 本地策略 > 安全选项

由于 LAN Manager 或 LM 在安全性方面相对较弱，因此您需要启用此设置，以便您的计算机不存储新密码的哈希值。 Windows 11/10 通常将值存储在本地计算机上，这就是为什么它增加了安全漏洞的机会。默认情况下，它是打开的，出于安全考虑，需要始终启用它。

8. 网络访问：不允许匿名枚举 SAM 帐户和共享

计算机配置 > Windows 设置 > 安全设置 > 本地策略 > 安全选项

默认情况下，Windows 11/10 允许未知或匿名用户执行各种操作。如果作为管理员，您不想在计算机上允许它，则可以通过选择启用值来启用此设置。一件事是要记住，它可能会影响某些客户端和应用程序。

9.网络安全：限制NTLM：审核该域中的NTLM身份验证

计算机配置 > Windows 设置 > 安全设置 > 本地策略 > 安全选项

此设置允许您启用、禁用和自定义 NTLM 身份验证的审核。由于 NTML 是强制识别和保护共享网络和远程网络用户的机密性的，因此您必须修改此设置。如需停用，请选择禁用选项。不过，根据我们的经验，如果您有家用计算机，则应选择为域帐户启用。

10]阻止NTLM

计算机配置 > 管理模板 > 网络 > Lanman 工作站

此安全设置可帮助您阻止通过 SMB 或服务器消息块进行的 NTLM 攻击，这在当今非常常见。尽管您可以使用 PowerShell 启用它，但本地组策略编辑器也具有相同的设置。您需要选择启用选项才能完成工作。

11]审计系统事件

计算机配置 > Windows 设置 > 安全设置 > 本地策略 > 审核策略

默认情况下，您的计算机不会记录系统时间更改、关机/启动、系统审核文件丢失和故障等多个事件。如果您想将所有事件存储在日志中，则必须启用此设置。它可以帮助您分析第三方程序是否具有这些功能。

12]所有可移动存储类别：拒绝所有访问

计算机配置 > 管理模板 > 系统 > 可移动存储访问

通过此组策略设置，您可以一次禁用所有 USB 类别和端口。如果您经常将个人计算机留在办公室等地方，则必须检查此设置，以便其他人无法使用 USB 设备进行读取或写入访问。

13]所有可移动存储：允许在远程会话中直接访问

计算机配置 > 管理模板 > 系统 > 可移动存储访问

当您没有任何知识并将计算机连接到未知人员时，远程会话在某种程度上是最容易受到攻击的事情。此设置可帮助您在所有远程会话中禁用所有直接可移动设备访问。在这种情况下，您可以选择批准或拒绝任何未经授权的访问。供您参考，需要禁用此设置。

14]打开脚本执行

计算机配置 > 管理模板 > Windows 组件 > Windows PowerShell

如果启用此设置，您的计算机可以通过 Windows PowerShell 执行脚本。在这种情况下，您应该选择仅允许签名脚本选项。不过，最好不允许脚本执行或选择禁用选项。

阅读：如何打开或关闭 PowerShell 脚本执行

15]阻止访问注册表编辑工具

用户配置 > 管理模板 > 系统

注册表编辑器几乎可以更改计算机上的任何设置，即使 Windows 设置或控制面板中没有任何 GUI 选项的痕迹。一些攻击者经常更改注册表文件来传播恶意软件。因此，您需要启用此设置以阻止用户访问注册表编辑器。

16]阻止访问命令提示符

用户配置 > 管理模板 > 系统

与 Windows PowerShell 脚本一样，您也可以通过命令提示符运行各种脚本。这就是您需要打开此组策略设置的原因。选择启用选项后，展开下拉菜单并选择是选项。它还将禁用命令提示符脚本处理。

阅读：使用组策略或注册表启用或禁用命令提示符

17]打开脚本扫描

计算机配置 > 管理模板 > Windows 组件 > Microsoft Defender 防病毒 > 实时保护

默认情况下，Windows Security 不会扫描所有类型的脚本是否存在恶意软件等。这就是为什么建议启用此设置，以便您的安全防护罩可以扫描计算机上存储的所有脚本。由于脚本可用于将恶意代码注入您的计算机，因此此设置始终很重要。

18]Windows Defender 防火墙：不允许例外

计算机配置 > 管理模板 > 网络 > 网络连接 > Windows Defender 防火墙 > 域配置文件

Computer Configuration > Administrative Templates > Network > Network Connections > Windows Defender Firewall > Standard Profile

Windows Defender 防火墙通常可以根据用户的要求允许各种传入和传出流量。但是，除非或直到您非常了解该程序，否则不建议这样做。如果您不能 100% 确定传出或传入流量，您可以打开此设置。

如果您有其他建议，请告诉我们。

阅读：桌面后台组策略不适用于 Windows

GPO 的 3 项最佳实践是什么？

GPO 的三个最佳实践是：首先，除非或直到您知道自己在做什么，否则不应调整设置。其次，不要禁用或启用任何防火墙设置，因为它可能会欢迎未经授权的流量。第三，如果更改不适用，您应该始终强制手动更新更改。

您应该配置哪个组策略设置？

只要您有足够的知识和经验，您就可以在本地组策略编辑器中配置任何设置。如果你没有这样的知识，那就顺其自然吧。但是，如果您想加强计算机安全性，则可以阅读本指南，因为这里有一些最重要的组策略安全设置。

阅读：如何在 Windows 中将所有本地组策略设置重置为默认值。