Windows 10 11 安全加固 仅供参考,请查阅资料清楚后使用
Windows Registry Editor Version 5.00
; 设置密码策略
[HKEY_LOCAL_MACHINE\SECURITY\Policies\PasswordPolicy]
"MinimumPasswordLength"=dword:00000008
"MaximumPasswordAge"=dword:00000030
"PasswordComplexity"=dword:00000001
"PasswordHistorySize"=dword:00000005
"LockoutBadCount"=dword:00000003
"ResetLockoutCount"=dword:00000030
; 配置账户锁定策略
[HKEY_LOCAL_MACHINE\SECURITY\Policies\AccountLockout]
"LockoutDuration"=dword:0000000a
"ResetLockoutCount"=dword:00000003
"LockoutBadCount"=dword:00000005
; 远程关机权限设置
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"DisableDomainCreds"=dword:00000001
; 取得文件或对象的所有权设置
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\LanmanServer\Parameters]
"AutoShareWks"=dword:00000000
; 设置从本地登录此计算机
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"AutoAdminLogon"="1"
"DefaultUserName"="Administrator"
"DefaultPassword"="password"
; 设置从网络访问此计算机
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"restrictanonymous"=dword:00000001
; 日志配置
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Security]
"MaxSize"=dword:0001e000
; IP协议安全
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IPSec]
"Start"=dword:00000002
; 加密文件系统(EFS)设置
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\CurrentVersion\EFS]
"EfsConfiguration"=dword:00000001
; 硬盘驱动器加密(BitLocker)设置
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE]
"UseAdvancedStartup"=dword:00000001
"EncryptionMethod"=dword:00000004
"RequireTPM"=dword:00000001
"TPMAndPIN"=dword:00000001
; 安全更新设置
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
"NoAutoUpdate"=dword:00000000
"AUOptions"=dword:00000004
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:00000003
; 远程桌面连接设置
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]
"fDenyTSConnections"=dword:00000000
; 安全审计配置
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa]
"FullPrivilegeAuditing"=dword:00000001
;禁用账户通知
[HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\AccountNotifications]
"DisableAccountNotifications"=dword:00000001
;控制应用程序是否可以访问人类存在状态
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessHumanPresence"=dword:00000000
"LetAppsAccessHumanPresence_UserInControlOfTheseApps"=dword:00000000
"LetAppsAccessHumanPresence_ForceAllowTheseApps"=dword:00000000
"LetAppsAccessHumanPresence_ForceDenyTheseApps"=dword:00000000
;启用组织消息
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\CloudContent]
"EnableOrganizationalMessages"=dword:00000001
;控制传递优化功能在VPN上的行为
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DeliveryOptimization]
"DODisallowCacheServerDownloadsOnVPN"=dword:00000001
"DOVpnKeywords"=""
;控制设备驱动器的附加策略、启用FS(文件系统)驱动器支持和允许杀毒软件筛选驱动器
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Policies]
"FltmgrDevDriveAttachPolicy"=dword:00000002
"FsEnableDevDrive"=dword:00000001
"FltmgrDevDriveAllowAntivirusFilter"=dword:00000001
;禁用Internet Explorer应用程序通知策略
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Main]
"DisableIEAppNotificationPolicy"=dword:00000001
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Main]
"DisableIEAppNotificationPolicy"=dword:00000001
;控制服务器和工作站上的数据压缩
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\LanmanServer]
"EnableCompressedTraffic"=dword:00000000
"DisableCompression"=dword:00000001
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\LanmanWorkstation]
"EnableCompressedTraffic"=dword:00000000
"DisableCompression"=dword:00000001
;用于Local Administrator Password Solution(LAPS)的各种设置
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\LAPS]
"BackupDirectory"=""
"PasswordComplexity"=dword:00000000
"PasswordLength"=dword:0000000a
"PasswordAgeDays"=dword:0000001e
"AdministratorAccountName"="Administrator"
"PwdExpirationProtectionEnabled"=dword:00000001
"ADPasswordEncryptionEnabled"=dword:00000001
"ADPasswordEncryptionPrincipal"=""
"ADEncryptedPasswordHistorySize"=dword:00000003
"ADBackupDSRMPassword"=dword:00000001
"PostAuthenticationResetDelay"=dword:00000000
"PostAuthenticationActions"=dword:00000000
;控制任务栏上的搜索框是否可见
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Windows Search]
"SearchOnTaskbarMode"=dword:00000002
;启用打印机RPC隐私认证级别
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print]
"RpcAuthnLevelPrivacyEnabled"=dword:00000001
;启用证书填充检查
[HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config]
"EnableCertPaddingCheck"=dword:00000001
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Cryptography\Wintrust\Config]
"EnableCertPaddingCheck"=dword:00000001
;控制人类存在感应功能的行为
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\HumanPresence]
"ForceDisableWakeWhenBatterySaverOn"=dword:00000000
"ForceAllowWakeWhenExternalDisplayConnected"=dword:00000001
"ForceAllowLockWhenExternalDisplayConnected"=dword:00000001
"ForceAllowDimWhenExternalDisplayConnected"=dword:00000001
;禁用语言设置同步
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\SettingSync]
"DisableLanguageSettingSync"=dword:00000001
"DisableLanguageSettingSyncUserOverride"=dword:00000001
;隐藏推荐个性化站点
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Explorer]
"HideRecommendedPersonalizedSites"=dword:00000001
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Explorer]
"HideRecommendedPersonalizedSites"=dword:00000001
;启用Windows威胁检测服务中的“捕获威胁窗口”组件
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WTDS\Components]
"CaptureThreatWindow"=dword:00000001
;禁用Windows Copilot
[HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\WindowsCopilot]
"TurnOffWindowsCopilot"=dword:00000001
;禁用Windows Defender的打包EXE文件扫描
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows Defender\Scan]
"DisablePackedExeScanning"=dword:00000001
;控制Windows更新功能的行为
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate]
"AllowTemporaryEnterpriseFeatureControl"=dword:00000000
"SetAllowOptionalContent"=dword:00000001
"AllowOptionalContent"=dword:00000001
Windows Registry Editor Version 5.00
; =============================================
; 密码策略配置
; =============================================
[HKEY_LOCAL_MACHINE\SECURITY\Policies\PasswordPolicy]
; 密码最小长度:8个字符
"MinimumPasswordLength"=dword:00000008
; 密码最长使用期限:48天 (0x30 = 48)
"MaximumPasswordAge"=dword:00000030
; 启用密码复杂性要求(必须包含大小写字母、数字和特殊字符)
"PasswordComplexity"=dword:00000001
; 密码历史记录大小:5个密码(防止重复使用旧密码)
"PasswordHistorySize"=dword:00000005
; 账户锁定阈值:3次失败尝试
"LockoutBadCount"=dword:00000003
; 重置锁定计数器时间:48分钟 (0x30 = 48)
"ResetLockoutCount"=dword:00000030
; =============================================
; 账户锁定策略配置
; =============================================
[HKEY_LOCAL_MACHINE\SECURITY\Policies\AccountLockout]
; 账户锁定持续时间:10分钟
"LockoutDuration"=dword:0000000a
; 重置锁定计数器时间:3分钟
"ResetLockoutCount"=dword:00000003
; 账户锁定阈值:5次失败尝试
"LockoutBadCount"=dword:00000005
; =============================================
; 本地安全认证配置
; =============================================
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
; 禁用域凭据缓存,增强域环境安全性
"DisableDomainCreds"=dword:00000001
; =============================================
; 文件共享配置
; =============================================
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\LanmanServer\Parameters]
; 禁用工作站自动共享(防止自动创建管理共享)
"AutoShareWks"=dword:00000000
; =============================================
; Windows登录配置(注意安全风险)
; =============================================
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
; ⚠️ 启用自动管理员登录(存在安全风险,生产环境慎用)
"AutoAdminLogon"="1"
; ⚠️ 默认用户名
"DefaultUserName"="Administrator"
; ⚠️ 默认密码(明文存储,存在安全风险)
"DefaultPassword"="password"
; =============================================
; 匿名访问限制
; =============================================
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
; 限制匿名访问:1=不允许枚举SAM账户和共享
"restrictanonymous"=dword:00000001
; =============================================
; 安全事件日志配置
; =============================================
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Security]
; 安全日志最大大小:122,880 KB (0x1e000 = 122,880)
"MaxSize"=dword:0001e000
; =============================================
; IP安全策略配置
; =============================================
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IPSec]
; IPsec服务启动类型:2=自动启动
"Start"=dword:00000002
; =============================================
; 加密文件系统(EFS)配置
; =============================================
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\CurrentVersion\EFS]
; EFS配置:启用加密文件系统
"EfsConfiguration"=dword:00000001
; =============================================
; BitLocker驱动器加密配置
; =============================================
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE]
; 使用高级启动选项
"UseAdvancedStartup"=dword:00000001
; 加密方法:4=XTS-AES 256位(最强加密)
"EncryptionMethod"=dword:00000004
; 要求TPM安全芯片
"RequireTPM"=dword:00000001
; 要求TPM + PIN双重认证
"TPMAndPIN"=dword:00000001
; =============================================
; Windows更新配置
; =============================================
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
; 启用自动更新
"NoAutoUpdate"=dword:00000000
; 自动下载并计划安装
"AUOptions"=dword:00000004
; 计划安装日:0=每天
"ScheduledInstallDay"=dword:00000000
; 计划安装时间:3=凌晨3点
"ScheduledInstallTime"=dword:00000003
; =============================================
; 远程桌面服务配置
; =============================================
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]
; 允许远程桌面连接:0=允许连接
"fDenyTSConnections"=dword:00000000
; =============================================
; 完全特权审计配置
; =============================================
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa]
; 启用完全特权审计(记录所有特权使用)
"FullPrivilegeAuditing"=dword:00000001
; =============================================
; 账户通知设置
; =============================================
[HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\AccountNotifications]
; 禁用账户通知(减少用户干扰)
"DisableAccountNotifications"=dword:00000001
; =============================================
; 应用程序隐私设置 - 人类存在感应
; =============================================
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
; 禁止应用程序访问人类存在状态
"LetAppsAccessHumanPresence"=dword:00000000
"LetAppsAccessHumanPresence_UserInControlOfTheseApps"=dword:00000000
"LetAppsAccessHumanPresence_ForceAllowTheseApps"=dword:00000000
"LetAppsAccessHumanPresence_ForceDenyTheseApps"=dword:00000000
; =============================================
; 组织消息配置
; =============================================
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\CloudContent]
; 启用组织消息(企业消息推送)
"EnableOrganizationalMessages"=dword:00000001
; =============================================
; 传递优化配置
; =============================================
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DeliveryOptimization]
; 在VPN上禁止使用缓存服务器下载
"DODisallowCacheServerDownloadsOnVPN"=dword:00000001
; VPN关键词(空字符串=所有VPN)
"DOVpnKeywords"=""
; =============================================
; 设备驱动器策略配置
; =============================================
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Policies]
; 设备驱动器附加策略:2=严格模式
"FltmgrDevDriveAttachPolicy"=dword:00000002
; 启用文件系统驱动器支持
"FsEnableDevDrive"=dword:00000001
; 允许杀毒软件筛选驱动器
"FltmgrDevDriveAllowAntivirusFilter"=dword:00000001
; =============================================
; Internet Explorer应用程序通知策略
; =============================================
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Main]
; 禁用IE应用程序通知策略
"DisableIEAppNotificationPolicy"=dword:00000001
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Main]
; 禁用IE应用程序通知策略(当前用户)
"DisableIEAppNotificationPolicy"=dword:00000001
; =============================================
; 网络压缩配置
; =============================================
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\LanmanServer]
; 禁用服务器压缩流量
"EnableCompressedTraffic"=dword:00000000
; 禁用压缩
"DisableCompression"=dword:00000001
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\LanmanWorkstation]
; 禁用工作站压缩流量
"EnableCompressedTraffic"=dword:00000000
; 禁用压缩
"DisableCompression"=dword:00000001
; =============================================
; LAPS(本地管理员密码解决方案)配置
; =============================================
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\LAPS]
; 备份目录(空字符串=默认)
"BackupDirectory"=""
; 密码复杂性:0=无特殊要求
"PasswordComplexity"=dword:00000000
; 密码长度:10个字符
"PasswordLength"=dword:0000000a
; 密码使用期限:30天
"PasswordAgeDays"=dword:0000001e
; 管理员账户名称
"AdministratorAccountName"="Administrator"
; 启用密码过期保护
"PwdExpirationProtectionEnabled"=dword:00000001
; 启用AD密码加密
"ADPasswordEncryptionEnabled"=dword:00000001
; AD密码加密主体(空字符串=默认)
"ADPasswordEncryptionPrincipal"=""
; 加密密码历史记录大小:3个密码
"ADEncryptedPasswordHistorySize"=dword:00000003
; 备份DSRM密码
"ADBackupDSRMPassword"=dword:00000001
; 认证后重置延迟:0=立即
"PostAuthenticationResetDelay"=dword:00000000
; 认证后操作:0=无操作
"PostAuthenticationActions"=dword:00000000
; =============================================
; Windows搜索配置
; =============================================
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Windows Search]
; 任务栏搜索框模式:2=隐藏搜索框
"SearchOnTaskbarMode"=dword:00000002
; =============================================
; 打印机安全配置
; =============================================
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print]
; 启用打印机RPC隐私认证级别(最高安全级别)
"RpcAuthnLevelPrivacyEnabled"=dword:00000001
; =============================================
; 加密证书配置
; =============================================
[HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config]
; 启用证书填充检查(防止证书填充攻击)
"EnableCertPaddingCheck"=dword:00000001
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Cryptography\Wintrust\Config]
; 启用证书填充检查(32位应用程序兼容性)
"EnableCertPaddingCheck"=dword:00000001
; =============================================
; 人类存在感应配置
; =============================================
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\HumanPresence]
; 电池节能模式下不禁用唤醒
"ForceDisableWakeWhenBatterySaverOn"=dword:00000000
; 连接外部显示器时允许唤醒
"ForceAllowWakeWhenExternalDisplayConnected"=dword:00000001
; 连接外部显示器时允许锁定
"ForceAllowLockWhenExternalDisplayConnected"=dword:00000001
; 连接外部显示器时允许变暗
"ForceAllowDimWhenExternalDisplayConnected"=dword:00000001
; =============================================
; 设置同步配置
; =============================================
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\SettingSync]
; 禁用语言设置同步
"DisableLanguageSettingSync"=dword:00000001
; 禁止用户覆盖语言设置同步
"DisableLanguageSettingSyncUserOverride"=dword:00000001
; =============================================
; 资源管理器个性化配置
; =============================================
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Explorer]
; 隐藏推荐的个性化站点
"HideRecommendedPersonalizedSites"=dword:00000001
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Explorer]
; 隐藏推荐的个性化站点(当前用户)
"HideRecommendedPersonalizedSites"=dword:00000001
; =============================================
; Windows威胁检测服务配置
; =============================================
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WTDS\Components]
; 启用"捕获威胁窗口"组件
"CaptureThreatWindow"=dword:00000001
; =============================================
; Windows Copilot配置
; =============================================
[HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\WindowsCopilot]
; 禁用Windows Copilot(AI助手功能)
"TurnOffWindowsCopilot"=dword:00000001
; =============================================
; Windows Defender扫描配置
; =============================================
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows Defender\Scan]
; 禁用打包EXE文件扫描(可能影响安全检测)
"DisablePackedExeScanning"=dword:00000001
; =============================================
; Windows更新功能控制
; =============================================
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate]
; 不允许临时企业功能控制
"AllowTemporaryEnterpriseFeatureControl"=dword:00000000
; 设置允许可选内容
"SetAllowOptionalContent"=dword:00000001
; 允许可选内容
"AllowOptionalContent"=dword:00000001
; =============================================
; 重要安全备注:
; =============================================
; ⚠️ 安全警告:
; 1. AutoAdminLogon设置会将管理员密码以明文形式存储在注册表中,存在严重安全风险
; 2. 生产环境中应禁用自动登录或使用更安全的认证方式
; 3. 修改前请务必备份注册表和系统
; 4. 部分设置可能需要重启系统才能生效
; 5. 根据实际环境调整密码策略和锁定策略参数
; 6. BitLocker设置需要TPM芯片支持
; 7. LAPS配置需要相应的Active Directory环境支持
; =============================================
; 配置总结:
; 1. 强化密码策略和账户锁定策略
; 2. 配置BitLocker加密和EFS加密
; 3. 设置自动更新策略
; 4. 配置各种隐私和安全设置
; 5. 禁用不必要的功能和通知
; 6. 配置LAPS本地管理员密码管理
; 7. 设置网络和打印机安全选项
; =============================================
浙公网安备 33010602011771号