win10系统加固方案
1、磁盘加密位元锁(Enable BitLocker)
Windows 10中的磁盘加密位元锁可以用来加密任何硬盘上的信息，包括启动、系统甚至移动媒体，鼠标右键就可以在选项中加密Windows资源管理器中的数据。

用户可以在设置菜单中选择希望加锁的文件，被加密的文件可以被设置为只读，且不能被重新加密。

在保存好Bitlocker信息后关闭电脑，BitLocker的恢复信息存储在计算机的属性文件中，大多数情况下自动备份用户的密码恢复到Active Directory。

所以要确保可以访问这些属性，防止丢失密码后无法恢复文件。

2、提升安全级别
Windows 10的用户帐户控制得到较大的改进，在区别合法和非法程序时表现得十分精确、迅速。

根据用户的登录方式(管理员或普通用户)默认UAC安全级别设置，可以选择不同敏感度的防御级别。

Windows 10中设计了一个简单的用户帐户控制滚动条，方便管理员或标准用户设置它们的UAC安全级别。

建议将UAC安全级别设置为“始终通知”，请放心Windows 10中遇到的安全通知
要比Vista少很多。

虽然UAC功能提供了一个必要的防御机制，但是为了系统的稳定性，请谨慎使用
管理员帐户。

3、及时升级
在Windows 10的默认设置中，Windows升级服务将自动下载并安装重要的Windows系统和应用程序的升级包。

有一项研究表明，微软的软件是世界上补丁最多的产品。

但是系统并没有提醒你，及时更新其他的非系统软件，比如浏览器、媒体播放器等。

黑客们现在都喜欢从这些
方面对电脑进行攻击。

4、备份数据
道高一尺，魔高一丈。

有的时候真的是防不胜防，即使做了很多努力，当病毒来
临时防御措施仍可能变的不堪一击。

及时备份重要数据才是王道，这样就算遇到了极
具杀伤性的病毒，也可以通过恢复数据轻松解决。

5.关闭默认共享封锁系统后门
同XP、Vista一样，在默认情况下也开启了网络共享。

虽然这可以让局域网共享
更加方便，但同时也为病毒传播创造了条件。

因此关闭默认共享，可以大大降低系统
被病毒感染的概率。

Windows在默认情况下会开启以下隐藏管理共享：
• 根分区或卷
• 系统根目录
• FAX$共享
• IPC$共享
• PRINT$共享
这些共享的开启可以让任何有管理权限进入你的电脑或者活动目录(Active Directory)域(连接状态下)的用户进入任何分区，而并不需要你主动分享文件，因为他已经拿到了你的账户凭据。

在基于Windows NT架构的系统中，所有分区都通过“管理共享”功能对管理员开放共享。

因此这种机制存在安全隐患，可以采取以下三种方式彻底关闭该共享功能。

6、关闭Server服务
①在运行、任务管理器或Cortana搜索栏(Win10)/开始菜单搜索栏(Win7)/开始屏幕搜索栏(Win8.1)输入services.msc后回车，打开“服务”
②找到Server，双击打开
③在“启动类型”中选择“禁用”，然后在“服务状态”点击“停止”后确定
这种方法能够关闭文章开头提到的管理共享，不过对于需要开启打印和传真等共享和某些文件共享的用户来说，这种方式有些“矫枉过正”。

后面两种方式更适合这部分用户。

7、在注册表中关闭“管理共享admin$”
①在运行、任务管理器或Cortana搜索栏输入regedit后回车，打开注册表编辑器
②定位到
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameter s
③新建DWORD(32位)值，重命名为AutoShareWks，并将其数值数据设置为“0”后点击确定
关闭IPC$
“开始”→“运行”输入“regedit”确定后，打开注册表编辑器，找到
“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\lanmanserver \parameters”项，双击右侧窗口中的“AutoShareServer”项将键值
由1改为0，这样就能关闭硬盘各分区的共享。

如果没有 AutoShareServer项，可自
己新建一个再改键值。

最后到
“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa”项处找到“restrictanonymous”，将键值设为1，关闭IPC$共享。

注意：本法必须重启机器，但一经改动就会永远停止共享。

8.修改组策略加固系统注册表
和XP、Vista相同，中仍然开放了风险极高的可远程访问注册表的路径。

将可远
程访问注册表的路径设置为空，可以有效避免黑客利用扫描器通过远程注册表读取的
系统信息及其他信息。

打开控制面板，选择“管理工具”，双击“本地安全策略”，依次打开“本地策
略→安全选项”，在右侧找到“网络访问：可远程访问的注册表路径”和“网络访问：可远程访问的注册表路径和子路径”，双击打开，将窗口中的注册表路径删除。

9.启用Windows defender
10.关闭默认共享
11.禁止自动运行阻止病毒传播
除了网络，闪存和移动硬盘等移动存储设备也成为恶意程序传播的重要途径。

当系统开启了自动播放或自动运行功能时，移动存储设备中的恶意程序可以在用户没有察觉的情况下感染系统。

所以禁用自动播放和自动运行功能，可以有效掐断病毒的传播路径。

关闭自动播放：在“运行”中输入“gpedit.msc”开启组策略管理器，依次打开“计算机配置→管理模板→Windows组件→自动播放策略”，双击“关闭自动播放”，点选“已启用”，再选择选项中的“所有驱动器”，最后点击确定，自动播放功能就被关闭了。

关闭自动运行：在同一位置双击“自动运行的默认行为”，选择“已启用”，在选项中选择“不执行任何自动运行命令”，然后点确定，自动运行功能就被关闭了。

12.最后，下载360安全卫士。