安全与病毒防护 — 桌面运维 — 安全与病毒防护问题大全
分类:IT运维 > 安全与病毒防护 | 桌面运维知识库系列
适用环境:Windows 10 / 11 / Server,企业环境
更新时间:2026-04-15
一、Windows Defender
1.1 Windows Defender 基本操作
:: 更新病毒定义
"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -SignatureUpdate
:: 运行快速扫描
"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -Scan -ScanType 1
:: 运行完全扫描
"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -Scan -ScanType 2
:: 查看当前状态
Get-MpComputerStatus
:: 查看实时保护状态
Get-MpPreference | Select DisableRealtimeMonitoring
1.2 Windows Defender 排除项
场景: 某个文件/文件夹被误报为病毒。
:: 添加文件夹排除
Add-MpPreference -ExclusionPath "C:\排除的文件夹"
:: 添加文件排除
Add-MpPreference -ExclusionPath "C:\path\to\file.exe"
:: 添加进程排除
Add-MpPreference -ExclusionProcess "process.exe"
:: 添加扩展名排除
Add-MpPreference -ExclusionExtension ".ext"
:: 查看所有排除项
Get-MpPreference | Select -ExpandProperty ExclusionPath
1.3 隔离文件管理
:: 查看隔离文件
Get-MpThreatDetection
:: 恢复隔离文件
Restore-MpThreat -ThreatID ID
:: 删除隔离文件
Remove-MpThreat -ThreatID ID
1.4 企业环境关闭Defender(安装第三方杀毒时)
:: 通过注册表禁用(不推荐,应通过GPO)
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender
DisableAntiSpyware = 1
:: 推荐方式:组策略
计算机配置 → 管理模板 → Windows组件 → Microsoft Defender防病毒
→ 关闭Microsoft Defender防病毒 → 已启用
二、常见病毒/恶意软件处理
2.1 病毒感染症状
- 系统异常变慢
- 弹出大量广告/弹窗
- 浏览器被劫持(首页被改)
- 文件被加密(勒索病毒)
- 杀毒软件被禁用
- 异常网络流量
- 可疑进程在后台运行
- 文件扩展名被改变
2.2 病毒处理标准流程
1. 断开网络(拔网线/关WiFi)
→ 防止病毒传播和数据外泄
2. 进入安全模式
→ 限制病毒活动
3. 运行杀毒扫描
→ Windows Defender 或专用工具
4. 清理恶意软件
→ Malwarebytes / AdwCleaner
5. 检查启动项
→ 任务管理器/autoruns 清理可疑启动项
6. 检查浏览器
→ 重置浏览器设置,清除扩展
7. 检查hosts文件
→ C:\Windows\System32\drivers\etc\hosts
→ 删除可疑条目
8. 重置DNS
→ ipconfig /flushdns
→ 检查DNS设置是否被篡改
9. 全盘扫描
→ 安全模式下执行完整扫描
10. 如无法清除 → 备份数据后重装系统
2.3 勒索病毒处理
发现勒索病毒:
- 立即断网
- 不要重启
- 不要删除加密文件
- 记录勒索信息(勒索信内容、加密文件扩展名、联系信息)
- 拍照/截图留证
- 检查是否有解密工具:https://www.nomoreransom.org/
预防措施:
- 定期备份(3-2-1原则:3份备份、2种介质、1份异地)
- 不点击可疑邮件附件
- 及时更新系统补丁
- 禁用Office宏
- 启用受控文件夹访问
2.4 常用清理工具
| 工具 | 用途 | 免费 |
|---|---|---|
| Malwarebytes | 恶意软件扫描清除 | ✅(基础版) |
| AdwCleaner | 广告软件清理 | ✅ |
| HitmanPro | 二次扫描确认 | 试用 |
| TDSSKiller | Rootkit查杀 | ✅ |
| ESET Online Scanner | 在线全盘扫描 | ✅ |
| Malicious Software Removal | 微软官方清理工具 | ✅ |
三、浏览器安全
3.1 浏览器被劫持
症状: 首页被改、搜索被劫持、弹出广告。
修复步骤:
- 检查浏览器扩展,删除可疑项
- 重置浏览器设置
- 检查桌面快捷方式属性(目标路径是否被加了网址)
- 检查计划任务中是否有定时打开网页的任务
- 运行 AdwCleaner 清理
3.2 浏览器扩展安全
高风险扩展类型:
- 免费VPN/代理
- “免费”下载管理器
- 未知来源的翻译工具
- 系统优化类扩展
最佳实践:
- 只安装来自官方商店的扩展
- 定期审查已安装的扩展
- 注意扩展请求的权限
3.3 HTTPS证书问题
| 问题 | 解决 |
|---|---|
| 证书过期 | 联系网站管理员 |
| 证书不受信任 | 检查系统时间、根证书 |
| 证书错误 | 不要忽略,可能是中间人攻击 |
四、企业安全策略
4.1 组策略安全设置
密码策略:
计算机配置 → Windows设置 → 安全设置 → 账户策略 → 密码策略
→ 密码最长使用期限:90天
→ 密码最短长度:8位
→ 密码复杂性要求:启用
→ 密码历史记录:24个
账户锁定策略:
账户锁定阈值:5次
账户锁定持续时间:30分钟
重置账户锁定计数器:30分钟
审计策略:
计算机配置 → Windows设置 → 安全设置 → 本地策略 → 审计策略
→ 审计登录事件:成功+失败
→ 审计对象访问:成功+失败
→ 审计特权使用:成功+失败
4.2 受控文件夹访问(防勒索)
设置 → Windows安全中心 → 病毒和威胁防护 → 勒索软件防护
→ 启用受控文件夹访问
→ 允许受信任的应用
4.3 BitLocker磁盘加密
:: 启用BitLocker(C盘)
Enable-BitLocker -MountPoint "C:" -EncryptionMethod XtsAes256 -UsedSpaceOnly -RecoveryPasswordProtector
:: 查看状态
Get-BitLockerVolume
:: 备份恢复密钥
Backup-BitLockerKeyProtector -MountPoint "C:" -KeyProtectorId (Get-BitLockerVolume C:).KeyProtector[1].KeyProtectorId
4.4 Windows防火墙管理
:: 查看防火墙状态
netsh advfirewall show allprofiles
:: 开启/关闭防火墙
netsh advfirewall set allprofiles state on
netsh advfirewall set allprofiles state off
:: 添加入站规则
netsh advfirewall firewall add rule name="Allow RDP" dir=in action=allow protocol=TCP localport=3389
:: 删除规则
netsh advfirewall firewall delete rule name="Allow RDP"
五、USB与外设安全
5.1 禁用USB存储设备
组策略方式:
计算机配置 → 管理模板 → 系统 → 可移动存储访问
→ 所有可移动存储类别的拒绝所有权限 → 已启用
设备管理器方式:
设备管理器 → 找到USB大容量存储设备 → 禁用
注册表方式:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR
Start → 改为 4(禁用)
5.2 只允许特定USB设备
使用AppLocker或设备安装限制:
计算机配置 → Windows设置 → 安全设置 → 设备安装限制
→ 阻止安装未描述这些设备安装程序的设备
→ 允许安装与这些设备ID匹配的设备
六、数据备份与恢复
6.1 3-2-1备份原则
- 3 份数据副本
- 2 种不同存储介质
- 1 份异地备份
6.2 Windows备份工具
:: Windows Server Backup(Server版)
wbadmin start backup -backuptarget:E: -include:C:
:: 文件历史记录(Win10/11个人版)
设置 → 更新和安全 → 备份 → 添加驱动器 → 自动备份
:: 系统映像备份
控制面板 → 备份和还原 → 创建系统映像
6.3 PowerShell备份
# 创建系统还原点
Checkpoint-Computer -Description "Pre-maintenance" -RestorePointType MODIFY_SETTINGS
# 导出BitLocker恢复密钥
Backup-BitLockerKeyProtector -MountPoint "C:" -KeyProtectorId ...
6.4 紧急恢复
| 场景 | 恢复方法 |
|---|---|
| 误删文件 | 回收站 → 文件历史记录 → 备份恢复 |
| 系统崩溃 | 系统还原 → 系统映像恢复 → 重装 |
| 硬盘损坏 | 从备份恢复 + 更换硬盘 |
| 勒索病毒 | 从离线备份恢复 |
七、安全事件响应
7.1 事件响应流程
检测 → 遏制 → 根除 → 恢复 → 总结
│ │ │ │ │
│ │ │ │ └─ 写事件报告
│ │ │ └─ 恢复正常运营
│ │ └─ 清除威胁
│ └─ 隔离受影响系统
└─ 发现安全事件
7.2 事件日志检查
事件查看器 → Windows日志:
- 安全日志:Event ID 4624/4625(登录成功/失败)
- 系统日志:Event ID 7045(新服务安装)
- 安全日志:Event ID 4720(新账户创建)
- 安全日志:Event ID 4672(特殊权限分配)
安全日志位置:
Win+R → eventvwr.msc → Windows日志 → 安全
7.3 常见安全Event ID
| Event ID | 含义 |
|---|---|
| 4624 | 成功登录 |
| 4625 | 登录失败 |
| 4648 | 使用显式凭据登录 |
| 4672 | 特殊权限分配给新登录 |
| 4720 | 创建用户账户 |
| 4726 | 删除用户账户 |
| 4732 | 成员被添加到安全启用的本地组 |
| 7045 | 新服务安装 |
八、安全最佳实践清单
8.1 桌面端
- [ ] 启用Windows Defender实时保护
- [ ] 开启Windows防火墙
- [ ] 及时安装系统更新
- [ ] 使用强密码
- [ ] 启用锁屏(Win+L)
- [ ] 禁用不必要的远程访问
- [ ] 不以管理员账户日常使用
- [ ] 定期备份重要数据
- [ ] 不安装来路不明的软件
- [ ] 启用BitLocker(企业环境)
8.2 企业环境
- [ ] 部署统一杀毒管理平台
- [ ] 通过GPO统一安全策略
- [ ] 部署WSUS统一管理更新
- [ ] 禁用SMB1
- [ ] 启用审计日志
- [ ] 定期安全培训
- [ ] 制定事件响应预案
- [ ] 定期漏洞扫描
- [ ] 网络分段隔离
- [ ] 部署EDR/XDR解决方案