Windows是最容易被木马病毒入侵的操作系统，在日常使用过程中，我们稍加不注意就有会中标。使用主机防火墙阻止木马病毒发起的流量是一种比较有效的防护手段，但是由于Windows Defender防火墙的规则繁多，往往使用户望而却步，遇到问题时不好排错，导致不少用户直接把它禁用，从而使Windows更容易被黑客入侵。

本文将给大家介绍Windows Defender的一个最佳实践，基于最小权限的安全法则，默认禁止所有的访问流量，并以白名单的方式只允许特定的流量通过，以下是具体的操作步骤：

1、修改Defender Firewall的默认策略

Defender Firewall默认禁止入站流量，对本机的访问请求除非有规则明确允许，否则将禁止访问。而对于出站流量，Defender Firewall则默认允许，即所有的对外的访问流量都不做任何限制：

Windows Defender防火墙的默认策略

首先我们需要修改默认策略配置，禁止对外的访问请求。Defender防火墙支持域、专用、公用等三个不同配置文件，这里我们指定allprofiles，即同时修改所有配置文件：

2、禁用所有默认规则：3、添加自定义规则

在这里我们添加允许DNS、DHCP、Windows Update、Defender、Chrome浏览器以及其更新组件GoogleUpdate.exe对外进行访问：

完整的命令：

netsh advfirewall resetnetsh advfirewall set allprofiles state onnetsh advfirewall set allprofiles firewallpolicy blockinbound,blockoutboundnetsh advfirewall firewall set rule name=all new enable=nonetsh advfirewall firewall add rule name="AllowDNS" dir=out protocol=UDP remoteip=dns action=allownetsh advfirewall firewall add rule name="AllowDHCP" dir=out remoteip=dhcp action=allownetsh advfirewall firewall add rule name="AllowDHCP" dir=in remoteip=dhcp action=allownetsh advfirewall firewall add rule name="AllowWindowsUpdate" dir=out program="C:\Windows\System32\svchost.exe" service=wuauserv protocol=tcp remoteport=443,80 action=allownetsh advfirewall firewall add rule name="AllowDefenderUpdate" dir=out program="C:\Program Files\Windows Defender\MsMpEng.exe" action=allownetsh advfirewall firewall add rule name="Chrome" dir=out program="C:\Program Filesz(x86)\Google\Chrome\Application\chrome.exe" action=allownetsh advfirewall firewall add rule name="GoogleUpdateService" dir=out service=gupdate action=allownetsh advfirewall firewall add rule name="GoogleUpdatemService" dir=out service=gupdatem action=allow

Defender Firewall支持基于协议、IP、端口、程序名、服务名等条件对流量进行限制，具体请参考netsh的命令帮助。这里只是举一个比较简单的例子，在具体实施时可能会碰到更多的问题，希望各位读者能举一反三，掌握并灵活应用Defender规则。