家里Wi-Fi老被蹭网,电脑时不时弹出奇怪广告,后台进程里还冒出不认识的服务?别急着重装系统或换设备,很多安全隐患,靠几个手动操作就能压住。
路由器先动手
大多数家庭网络的薄弱点,其实卡在路由器上。默认密码admin/admin、固件几年不更新、UPnP长期开着——这些都等于给黑客留了扇没锁的后门。
登录路由器管理页(通常是 192.168.1.1 或 192.168.0.1),第一步改掉管理员密码,别用生日或123456;第二步关掉WPS,这个功能漏洞多,且日常根本用不上;第三步进「系统工具」→「固件升级」,手动检查并安装最新版本,别信“自动升级已开启”这种提示——很多老型号根本不支持真自动。
顺手把DHCP地址池范围缩小点,比如从 192.168.1.100-192.168.1.199 改成 192.168.1.120-192.168.1.150,能减少扫描暴露面。
Windows本地加固
打开「设置」→「更新和安全」→「Windows 安全中心」,点开「防火墙和网络保护」,确认域网络、专用网络、公用网络三处的防火墙都是「开启」状态。很多人关了防火墙图省事,结果远程桌面(RDP)端口一旦暴露,半夜就可能被暴力扫号。
再进「应用和浏览器控制」→「基于信誉的保护」,把「检查应用和文件」、「基于云的防护」、「隔离潜在威胁」三项全打开。这不是玄学,是微软用海量样本训练出来的实时拦截机制,对勒索软件早期行为特别敏感。
命令行也能干实事。以管理员身份运行CMD,执行:
netsh advfirewall set allprofiles state on
netsh advfirewall firewall add rule name="Block RDP from Public" dir=in action=block protocol=TCP localport=3389 profile=public这两条命令,一条确保防火墙始终在线,一条直接封死公网对3389端口的访问,但不影响内网正常使用。
Linux服务器小动作
如果你搭了个人博客或NAS,又用的是Ubuntu/CentOS这类系统,别光靠SSH密码登录。生成密钥对,禁用密码验证:
ssh-keygen -t ed25519 -C "your_email@example.com"
ssh-copy-id user@your_server_ip
sudo sed -i 's/#PasswordAuthentication yes/PasswordAuthentication no/g' /etc/ssh/sshd_config
sudo systemctl restart sshd再加一道防线:用 fail2ban 拦住反复试错的IP。装好后默认规则就够用,不用调参,重启服务就行:
sudo apt install fail2ban # Ubuntu/Debian
sudo systemctl enable fail2ban
sudo systemctl start fail2ban这些操作都不需要第三方工具,全是系统自带命令,几分钟搞定,但效果比装一堆“加速优化”软件实在得多。
安全不是一劳永逸的事。每月花五分钟,进路由器看看有没有新固件,用 apt list --upgradable(Linux)或「Windows Update」(Win)扫一遍待更新项,就是最朴素也最管用的手动加固习惯。