如何在长期使用情况下保证 PC 的安全性

2023-02-10 01:09:28 +08:00
 lyc8503

保障个人的设备安全 /数据安全算是个老生常谈的话题 但真正要做到位并不容易

比如我个人目前的主力设备是 Windows 笔记本 默认打开了 WindowsDefender ,坚持只使用可信来源的软件,打开了防火墙,使用 vps 自建代理+dot 访问互联网 使用 Bitwarden 管理个人密码,重要的账号用手机保存了 2FA TOTP

但在长时间使用中难免会遇到笔记本电脑防线被突破,执行恶意代码的情况 比如用的软件出现 0day 漏洞,node/py 依赖被投毒,或类似用了 npp 之类的软件被投毒,或自己百密一疏在特殊情况下误判,执行了恶意软件

无论是 Windows 还是 Linux ,得到 Admin/root 权限后都可以记录键盘 /读取大部分文件(包括 ssh 密钥)/截取屏幕,可以窃取 cookie 中的登录状态,甚至是直接加密文件勒索,后果还是比较严重的

不知道大家对于这种情况有什么好的应对方法吗? (如何防止电脑中出现可能的恶意软件?/如果真的出现了有什么良好的准备措施减少可能的数据泄露 /损失?)

5126 次点击
所在节点    程序员
51 条回复
ysc3839
2023-02-10 01:12:43 +08:00
放虚拟机里跑,或者换 macOS(不过不能完全避免)
dcsuibian
2023-02-10 01:18:27 +08:00
我装了火绒
dcsuibian
2023-02-10 01:19:06 +08:00
然后不随意运行别人给的二进制
个人感觉够了
Chaconne
2023-02-10 01:22:45 +08:00
及时更新系统和软件,打补丁补漏洞,未知的链接、下载、邮件注意甄别,防止社会工程学攻击……基本问题不大
dxgfalcongbit
2023-02-10 01:29:15 +08:00
我的电脑里没有什么能导致我损失的个人数据…

装的都是游戏…网游数据都存在服务器里了不用我操心。
wizardyhnr
2023-02-10 01:45:01 +08:00
Linux 的文件权限管理还是比较好的,0day 提权都是针对高价值客户的,即使是黑客也不会滥用。不用随便用 sudo 运行来历不明的脚本,如果你让人拿到 root 权限了,那他就想干什么干什么了。
lyc8503
2023-02-10 01:45:03 +08:00
@ysc3839 未知软件肯定是进虚拟机的, 但大部分还是在真机运行, 所有软件都不能保证不出漏洞

@Chaconne 目前在用 ltsc 也一直开着 Windows Update, 大部分软件有更新提示也会更新

@dxgfalcongbit 程序员的话会有些密钥 /凭证 /私有代码之类的相对保密的数据吧, 就算游戏账号被盗了也算是损失
dubidu
2023-02-10 01:47:56 +08:00
2FA 一定要备份,大厂云也不一定安全。最近因为微软验证器奇怪的逻辑丢失了很多验证码。
Pil0tXia
2023-02-10 03:25:02 +08:00
我来说个你们不一定都知道的,但成为近年来密码泄露罪魁祸首的,Chrome

先别问我为什么,下载打开这个软件 https://www.nirsoft.net/utils/web_browser_password.html ,你会发现自己“加密保存”的密码原封不动地罗列在你的屏幕上
你还可以把它导出成 Chrome .csv ,就像在浏览器里导出的一样。要知道,这可是一个没有任何提权的软件,没有触发任何一款杀软的报警,这意味着你电脑上的任何一个程序都可以做到

接下来来说加固办法,不是每个人都会自建 Bitwarden ,我以火绒举例,
在自定义规则中拒绝所有程序对 C:\Users\{yourName}\AppData\Local\Google\Chrome\User Data\Local State 和
C:\Users\{yourName}\AppData\Local\Google\Chrome\User Data\Default\Login Data 的读取和修改权限,
然后在自动处理中允许 C:\Users\{yourName}\AppData\Local\Google\Chrome\Application\chrome.exe 对上面两个文件的读取和修改权限

所有 Chromium 内核的浏览器都有此安全风险,没有设置主密码的 Firefox 也不例外,其中 360 系浏览器还需要在路径中补齐 360 账户 ID

我当然知道要 2FA ,但我不想改密码,更不想为此担心。所以 Chrome 什么时候能有主密码
Pil0tXia
2023-02-10 03:28:25 +08:00
@Pil0tXia 怕你们找不到,下载链接在页面偏底部的位置 https://www.nirsoft.net/toolsdownload/webbrowserpassview.zip
Chaconne
2023-02-10 08:55:24 +08:00
@Pil0tXia 不安装火绒的话,怎么设置访问的权限
Pil0tXia
2023-02-10 08:57:26 +08:00
@Pil0tXia 其实我用过好一段时间的 bitwarden ,但是它的自动填充功能跟 chrome 的差距还是比较大的(参考我发的帖子 https://community.bitwarden.com/t/improve-auto-fill-when-page-doesnt-show-login-form-first-after-loading-complete/50641 ),想了想做了读取权限的加固之后,想绕过就得到驱动级了,那时候也会触发火绒的其他告警,就把 bitwarden 当成安卓 yandex 和 PC 同步密码的工具了。
opengps
2023-02-10 08:58:47 +08:00
常见措施做到位基本就可以防止 90%的风险,另外那 10%需要花费加 N 倍的精力才能处理完其中的 90%。所以只需要把基本的做好就已经满足日常需要了.
端口不用的不开,开的注意检查应用漏洞
应用要不外网的百名单,不外网的直接连 dns 禁用掉
下载东西(服务端的话带上传的也算)注意检查等等
woshinide300yuan
2023-02-10 09:02:23 +08:00
说实话,我不是程序员,也不懂很多优化技巧。我回忆自己从 00 年开始用电脑至今,唯一高频中毒时是 0 几年时,下一个软件看学习影片。
后面,就很少遇到病毒了。我都起码 7 8 年没杀出过什么东西了。最后一次听到病毒还是熊猫烧香……
感觉只要不乱下盗版资源就基本没问题了。
lcy630409
2023-02-10 09:05:11 +08:00
搞那么多 感觉就是 6 位数密码 保护 2 位数金额
dode
2023-02-10 09:06:31 +08:00
重要的密钥设置一个密码,ssh 软件设置一个启动密码
nba2k9
2023-02-10 09:08:46 +08:00
我觉得我电脑里的资料不至于
Pil0tXia
2023-02-10 09:14:50 +08:00
@Chaconne 火绒这么基础的杀软都能做到的话,那些老牌杀软我觉得没理由做不到( 360 除外)。要设置访问权限,首先得有个高权限的管理软件吧,系统层面单独对那一个文件设置安全组也不是不可以,但是对 explorer 不友好
Kiriya
2023-02-10 09:44:28 +08:00
尽量使用正版商业软件或开源软件,不去运行来历不明的程序,关闭自动运行,路由器打开严格 NAT ,关闭 IPV6 公网,经常打开任务管理器查看后台运行的程序,看是否有不认识的陌生程序,电脑无杀毒软件运行几年了,完全没有问题
Chaconne
2023-02-10 09:49:11 +08:00
@Pil0tXia 我裸奔的,不喜欢安装任何防护软件

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/914743

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX