Windows 11 上需要调整的 24 项主要安全设置，以增强保护 (2025)

2025 年 2 月 20 日更新： Windows 11 被誉为 Microsoft 操作系统中最安全的版本。不过，您可以使用针对 2025 年量身定制的多种自定义配置和最佳实践来进一步提高设备的安全性。

最佳安全实践包括例行系统更新、病毒扫描以及基本安全功能的配置，例如勒索软件防护、网络钓鱼防护、防火墙、生物特征认证以及智能应用控制和核心隔离等复杂控制。

当您需要访问可能不安全的网站时，Microsoft Defender Application Guard 可实现安全的浏览环境。此外，Windows Sandbox 允许安装和测试来自不受信任来源的应用程序，而不会危及您的主系统。

本指南探讨了 2025 年 Windows 11 的一系列最佳安全设置。

2025 年 Windows 11 的最佳安全设置

在探索以下设置时，请记住实施最能满足您个人需求和情况的配置：

1.保持系统更新

定期安装系统更新对于维护设备安全至关重要，因为这些更新可以解决错误、加强安全协议并提高性能。

要在 Windows 11 上手动安装更新，请按照以下步骤操作：

打开“设置”应用程序。
选择Windows 更新。
单击检查更新按钮。
（可选）切换“尽快获取最新更新”的开关。
如果出现提示，请单击“下载并安装”。
单击立即重启按钮以完成更新。

按照这些步骤后，任何可用的更新都将自动下载并安装在您的 Windows 11 设备上。

2.定期进行病毒扫描

配备 Microsoft Defender Antivirus 的 Windows 11 可以有效检测和消除各种形式的恶意软件，包括勒索软件和间谍软件。如果您怀疑存在漏洞，则必须进行完整或离线扫描。

如何执行全面病毒扫描：

打开开始菜单。
搜索并启动Windows 安全中心。
选择病毒和威胁防护。
在“当前威胁”下，单击扫描选项。
选择完整扫描选项来扫描整个系统。
单击立即扫描。

Microsoft Defender 将启动系统上的恶意软件扫描。如果检测到任何威胁，该软件将根据严重程度将其消除或隔离。

如何运行脱机病毒扫描：

再次打开Windows 安全中心。
导航到病毒和威胁防护。
选择扫描选项。
检查Microsoft Defender 脱机扫描选项。
单击立即扫描。
确认扫描启动。

计算机将重新启动进入恢复模式进行离线扫描，确保彻底检查威胁。

启用定期扫描：

为了增强第三方防病毒软件的安全性，启用定期扫描可让 Windows Defender 对可能被忽视的威胁进行扫描。

打开Windows 安全中心。
选择病毒和威胁防护。
导航到Microsoft Defender 防病毒选项。
开启定期扫描。

通过启用此功能，定期扫描将在最佳时间运行，从而平衡性能和安全性。

3.激活勒索软件保护

Windows 11 中的受控文件夹访问是抵御勒索软件攻击的重要防御措施，可监控修改受保护文件夹中文件的应用程序。如果列入黑名单的应用程序试图进行更改，您将收到警告。

打开Windows 安全中心。
转到病毒和威胁防护。
选择管理勒索软件防护。
切换受控文件夹访问开关以激活。

一旦实施，Microsoft Defender 将监视指定的文件夹，并在任何未经授权尝试访问您的文件时通知您。您可以自定义允许哪些应用程序访问这些文件夹。

4.实施网络钓鱼防护

增强型网络钓鱼防护使用 Microsoft Defender SmartScreen 向用户发出有关有风险的网站和应用的警报，保护密码等敏感信息。此功能执行以下操作：

不受信任的站点警告：在可疑网站上输入密码时通知您。
纯文本密码警报：警告您不要以纯文本形式存储密码。
密码重复使用通知：警告不要在不同的帐户中使用相同的密码。

对于需要密码安全的用户，此功能仅在使用密码时有效，这意味着如果您利用 Windows Hello，则可能需要进行调整。

访问设置。
转到“帐户”。
导航至登录选项。
禁用“为了提高安全性，仅允许在此设备上使用 Windows Hello 登录 Microsoft 帐户”。
删除任何活动的 Windows Hello 选项（面部识别、指纹等）。

按照上述步骤操作后，您在浏览时会收到网络钓鱼警告，从而增强您的密码安全性。

5.创建密钥以增强安全性

密钥是一种比传统密码更安全的替代方案，利用公钥加密技术进行身份验证。该技术大大降低了未经授权的帐户访问的可能性。

要设置密钥，请导航至支持此功能的服务的帐户安全设置：

打开Microsoft Edge或Google Chrome。
访问您的 Google 帐户。
前往帐户设置。
启用“密码登录”选项。
点击“创建密钥”。
按照提示完成设置。

配置完成后，您的密钥将使用您的 Microsoft 帐户在所有设备上同步，以便轻松访问。

6.检查防火墙设置

Microsoft Defender 防火墙是控制网络流量的重要功能。始终确保启用它以阻止未经授权的访问。

打开Windows 安全中心。
转到防火墙和网络保护。
选择您的活动网络。
切换Microsoft Defender 防火墙的开关以启用。

这可确保您的设备免受未经授权的访问和潜在威胁。

7.启用 DNS Over HTTPS (DoH)

为了增强您上网时的安全性和隐私性，请启用 HTTPS 上的 DNS。

此协议会加密 DNS 查询，防止其受到检查和操纵。要启用 DoH：

打开设置。
导航到网络和互联网。
选择Wi-Fi或以太网。

快速提示：对于 Wi-Fi，访问连接属性。

单击DNS 服务器分配设置下的编辑。
将 DNS 设置设为手动。
启用IPv4并输入支持的 DoH IP 地址（例如，Cloudflare：1.1.1.1）。
为 DNS over HTTPS选择开启（自动模板）。
禁用回退到纯文本选项。
单击“保存”。

这将加密您的 DNS 流量，增强浏览时的安全性和隐私性。

8.利用 Windows Hello 进行安全登录

Windows Hello 允许使用面部或指纹识别进行生物特征认证，增加了额外的安全层。

启用人脸识别：

打开设置。
点击“帐户”。
选择登录选项。
选择面部识别（Windows Hello）。
单击“设置”。
使用当前密码进行确认。按照屏幕上的提示进行操作。

完成后，只需看着相机即可解锁您的设备。

启用指纹识别：

打开设置。
单击“帐户”。
选择登录选项。
选择指纹识别。
单击“设置”。
按照屏幕上的说明采集您的指纹。

生物识别登录可提供快速访问，同时确保您的设备免受未经授权的用户的攻击。

9.启用动态锁

当关联蓝牙设备（如您的智能手机）超出范围时，动态锁会自动锁定您的设备，从而保护您的设备。

打开外围设备上的蓝牙。
在 Windows 11 设备上打开“设置” 。
选择蓝牙和设备。
如果尚未启用蓝牙，请启用 PC 上的蓝牙。
单击“添加设备”以配对您的设备。
按照配对说明进行操作。
返回“帐户”。
点击登录选项。
在动态锁下，启用设置以允许锁定。

此功能可确保您离开时系统仍然安全。

10.管理不需要的应用程序

Windows 安全中心包含一项称为基于信誉的保护的功能，可防止有害应用程序在您的系统上运行。

打开Windows 安全中心。
转到应用程序和浏览器控制。
选择基于声誉的保护设置。
打开潜在有害应用程序阻止功能。
选择选项来阻止应用程序和下载。

通过启用此功能，Windows 11 将主动阻止并警告您有关信誉不佳的应用程序。

11.使用 BitLocker 保护您的数据

BitLocker 加密通过加密您的整个硬盘来保护您的数据免遭未经授权的访问，该功能在 Windows 11 的专业版、企业版和教育版中可用。

如何启用 BitLocker：

打开设置。
选择存储。
单击高级存储设置。
转到磁盘和卷。
选择要加密的驱动器。
单击“打开 BitLocker”。
按照提示设置加密。

启用附加驱动器和 USB 设备的加密，以实现全面的数据保护。

12.激活智能应用控制

智能应用程序控制通过仅允许具有有效证书的受信任软件来防止执行不可信的应用程序，从而保护您的设备免受不良行为的侵害。

打开Windows 安全中心。
导航至应用程序和浏览器控制。
选择智能应用程序控制设置。
选择评估选项开始。

此功能会随着时间的推移评估应用程序，如果它们按预期运行则启用，从而为未经授权的应用程序提供强有力的保护。

13.启用核心隔离

核心隔离通过阻止恶意软件访问内存中的高安全性进程来增强系统安全性。此功能通常在 Windows 11 中默认启用。

在开始菜单中搜索Windows 安全。
选择设备安全。
点击核心隔离详情。
开启内存完整性。
重新启动计算机。

一旦启用，此功能可提供额外的保护，防止针对内存的恶意软件攻击。

14.使用 Microsoft Defender 应用程序防护

此功能可在 Windows 11 Pro 中创建安全的虚拟化 Microsoft Edge 实例，用于浏览不可信的网站。

要激活此功能：

打开设置。
进入系统。
选择可选功能。
单击“更多 Windows 功能”。
选中Microsoft Defender Application Guard选项。
单击“确定”并重新启动。

重新启动后，您可以浏览不受信任的网站，而不会危及系统安全。

15.利用 Windows 沙盒

Windows Sandbox 提供了一个安全的环境来测试可能有害的应用程序，而不会危及您的主系统设置。

启动设置。
导航到系统。
打开可选功能。
单击“更多 Windows 功能”。
选中Windows Sandbox选项。
单击“确定”，然后重新启动。

重启后，您可以从开始菜单运行 Windows Sandbox 来安全地测试应用程序。

16.定期进行完整备份

完整的系统备份可保护您的数据免受勒索软件攻击、硬件故障或其他灾难性问题的影响。为了安心，您可以创建系统映像备份。

打开开始。
搜索控制面板。
点击系统和安全。
转到文件历史记录。
选择系统映像备份。
单击创建系统映像。
选择外部驱动器来保存备份。
继续单击“下一步”并“开始备份”。

定期备份与云存储选项相结合，有助于防止因系统故障或攻击而导致的数据丢失。

17.切换到标准用户帐户

使用标准用户帐户而不是管理员帐户，可以降低因意外更改系统设置或安装而带来的风险。

创建本地管理员帐户：

打开开始。
搜索设置。
点击“帐户”。
导航至其他用户。
单击添加帐户。
选择我没有此人的登录信息。
选择添加没有 Microsoft 帐户的用户。
创建具有名称和密码的帐户。
继续设置安全问题，然后单击“下一步”。
选择帐户，然后单击“更改帐户类型”。
从下拉菜单中选择管理员，然后单击确定。

将现有帐户切换为标准用户：

退出您当前的帐户。
登录新创建的管理员帐户。
打开设置。
转到“帐户”。
选择其他用户。
选择主要帐户并点击更改帐户类型。
选择“标准用户”并单击“确定”。

这将通过限制访问和要求管理员凭据进行特定系统更改来加强安全性。

18.禁用远程桌面

远程桌面可能会使您的系统面临安全风险。如果您不使用此功能，最好将其关闭。

打开设置。
选择系统。
进入远程桌面。
关闭远程桌面切换开关。
点击确认。

此步骤可确保您的机器无法通过可能存在漏洞的远程访问协议访问。

19.自动同步时间和日期

拥有正确的日期和时间设置可以避免安全问题，包括由于差异而导致的登录服务困难。

打开设置。
转到时间和语言。
选择“日期和时间”。
将“自动设置时间”开关切换为启用。
单击附加设置下的立即同步。

此步骤将确保您的设备计时准确，减少潜在的登录障碍。

20.创建系统还原点

创建还原点可保护您的系统免遭未经授权的更改，并允许您在系统发生故障时恢复到以前的状态。

打开开始。
搜索创建还原点。
选择您的系统驱动器（通常是 C）并单击配置。
打开系统保护。
单击“应用”，然后单击“确定”。
单击“创建”以创建一个还原点。
命名还原点并单击“创建”。
完成后单击“关闭” 。

定期创建还原点可以帮助保护您的系统设置和关键文件。

21.禁用 Windows 调用

Windows Recall 会拍摄您的活动快照，这会引起隐私问题。如果您认为此功能不必要，请考虑将其禁用。

打开设置。
导航到隐私和安全。
选择调用和快照。
关闭“保存快照”。
（可选）单击删除现有快照。
点击全部删除确认删除。

禁用此功能可大大增强您的隐私并减少您的数字足迹。

22.使用 MAC 地址随机化

随机化您的 MAC 地址可降低您的设备通过 Wi-Fi 网络的可追踪性，从而增强隐私。

打开设置。
选择网络和 Internet。
前往Wi-Fi。
启用随机硬件地址选项。

一旦启用，您的计算机将在每次连接时使用随机 MAC 地址，从而更难被追踪。

23.在 Microsoft Edge 中激活恐吓软件拦截器

恐吓软件拦截器使用人工智能技术，通过识别恐吓软件攻击中常见的模式来防范常见的网络诈骗。

打开Microsoft Edge。
点击“设置及更多”。
导航到“设置”。
转到隐私、搜索和服务。
单击“安全”。
启用恐吓软件拦截程序。
确保Microsoft Defender SmartScreen也已启用。

启用这些功能可以在浏览时为抵御在线威胁提供额外的防御层。

24.利用存在感应功能

存在感应通过自动管理用户离开时显示屏变暗或关机等方面来提高设备安全性。

打开设置。
导航到系统。
选择电源和电池。
单击屏幕、睡眠和休眠超时。
启用“当我离开时关闭我的屏幕”选项。
根据需要配置距离和超时时间。

此功能可节省电力，同时确保您离开时计算机的安全。

您计划在 Windows 11 上调整哪些安全设置？在下面的评论中分享您的想法和经验！

2025 年 2 月 20 日更新：本指南经过精心修订，以确保准确性并反映有关 Windows 11 安全实践的最新发展。