V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
lyc8503
V2EX  ›  程序员

如何在长期使用情况下保证 PC 的安全性

  •  
  •   lyc8503 · 2023-02-10 01:09:28 +08:00 · 5071 次点击
    这是一个创建于 652 天前的主题,其中的信息可能已经有所发展或是发生改变。

    保障个人的设备安全 /数据安全算是个老生常谈的话题 但真正要做到位并不容易

    比如我个人目前的主力设备是 Windows 笔记本 默认打开了 WindowsDefender ,坚持只使用可信来源的软件,打开了防火墙,使用 vps 自建代理+dot 访问互联网 使用 Bitwarden 管理个人密码,重要的账号用手机保存了 2FA TOTP

    但在长时间使用中难免会遇到笔记本电脑防线被突破,执行恶意代码的情况 比如用的软件出现 0day 漏洞,node/py 依赖被投毒,或类似用了 npp 之类的软件被投毒,或自己百密一疏在特殊情况下误判,执行了恶意软件

    无论是 Windows 还是 Linux ,得到 Admin/root 权限后都可以记录键盘 /读取大部分文件(包括 ssh 密钥)/截取屏幕,可以窃取 cookie 中的登录状态,甚至是直接加密文件勒索,后果还是比较严重的

    不知道大家对于这种情况有什么好的应对方法吗? (如何防止电脑中出现可能的恶意软件?/如果真的出现了有什么良好的准备措施减少可能的数据泄露 /损失?)

    第 1 条附言  ·  2023-02-10 13:46:58 +08:00
    感谢大家的回答! 确实如很多人所说, 大部分人电脑里的资料不值得专门被攻击, 而做好基础的防护就能防护大部分的恶意程序(比如挖矿病毒或勒索病毒).
    提这个问题主要是想看看除了常见的防护手段有没有什么其他能提升安全性的小技巧或最佳实践, 大家就当作是技术探讨好了~
    51 条回复    2023-03-11 20:59:19 +08:00
    ysc3839
        1
    ysc3839  
       2023-02-10 01:12:43 +08:00 via Android
    放虚拟机里跑,或者换 macOS(不过不能完全避免)
    dcsuibian
        2
    dcsuibian  
       2023-02-10 01:18:27 +08:00
    我装了火绒
    dcsuibian
        3
    dcsuibian  
       2023-02-10 01:19:06 +08:00
    然后不随意运行别人给的二进制
    个人感觉够了
    Chaconne
        4
    Chaconne  
       2023-02-10 01:22:45 +08:00 via iPhone
    及时更新系统和软件,打补丁补漏洞,未知的链接、下载、邮件注意甄别,防止社会工程学攻击……基本问题不大
    dxgfalcongbit
        5
    dxgfalcongbit  
       2023-02-10 01:29:15 +08:00 via Android
    我的电脑里没有什么能导致我损失的个人数据…

    装的都是游戏…网游数据都存在服务器里了不用我操心。
    wizardyhnr
        6
    wizardyhnr  
       2023-02-10 01:45:01 +08:00
    Linux 的文件权限管理还是比较好的,0day 提权都是针对高价值客户的,即使是黑客也不会滥用。不用随便用 sudo 运行来历不明的脚本,如果你让人拿到 root 权限了,那他就想干什么干什么了。
    lyc8503
        7
    lyc8503  
    OP
       2023-02-10 01:45:03 +08:00 via Android
    @ysc3839 未知软件肯定是进虚拟机的, 但大部分还是在真机运行, 所有软件都不能保证不出漏洞

    @Chaconne 目前在用 ltsc 也一直开着 Windows Update, 大部分软件有更新提示也会更新

    @dxgfalcongbit 程序员的话会有些密钥 /凭证 /私有代码之类的相对保密的数据吧, 就算游戏账号被盗了也算是损失
    dubidu
        8
    dubidu  
       2023-02-10 01:47:56 +08:00
    2FA 一定要备份,大厂云也不一定安全。最近因为微软验证器奇怪的逻辑丢失了很多验证码。
    Pil0tXia
        9
    Pil0tXia  
       2023-02-10 03:25:02 +08:00   ❤️ 6
    我来说个你们不一定都知道的,但成为近年来密码泄露罪魁祸首的,Chrome

    先别问我为什么,下载打开这个软件 https://www.nirsoft.net/utils/web_browser_password.html ,你会发现自己“加密保存”的密码原封不动地罗列在你的屏幕上
    你还可以把它导出成 Chrome .csv ,就像在浏览器里导出的一样。要知道,这可是一个没有任何提权的软件,没有触发任何一款杀软的报警,这意味着你电脑上的任何一个程序都可以做到

    接下来来说加固办法,不是每个人都会自建 Bitwarden ,我以火绒举例,
    在自定义规则中拒绝所有程序对 C:\Users\{yourName}\AppData\Local\Google\Chrome\User Data\Local State 和
    C:\Users\{yourName}\AppData\Local\Google\Chrome\User Data\Default\Login Data 的读取和修改权限,
    然后在自动处理中允许 C:\Users\{yourName}\AppData\Local\Google\Chrome\Application\chrome.exe 对上面两个文件的读取和修改权限

    所有 Chromium 内核的浏览器都有此安全风险,没有设置主密码的 Firefox 也不例外,其中 360 系浏览器还需要在路径中补齐 360 账户 ID

    我当然知道要 2FA ,但我不想改密码,更不想为此担心。所以 Chrome 什么时候能有主密码
    Pil0tXia
        10
    Pil0tXia  
       2023-02-10 03:28:25 +08:00
    @Pil0tXia 怕你们找不到,下载链接在页面偏底部的位置 https://www.nirsoft.net/toolsdownload/webbrowserpassview.zip
    Chaconne
        11
    Chaconne  
       2023-02-10 08:55:24 +08:00
    @Pil0tXia 不安装火绒的话,怎么设置访问的权限
    Pil0tXia
        12
    Pil0tXia  
       2023-02-10 08:57:26 +08:00
    @Pil0tXia 其实我用过好一段时间的 bitwarden ,但是它的自动填充功能跟 chrome 的差距还是比较大的(参考我发的帖子 https://community.bitwarden.com/t/improve-auto-fill-when-page-doesnt-show-login-form-first-after-loading-complete/50641 ),想了想做了读取权限的加固之后,想绕过就得到驱动级了,那时候也会触发火绒的其他告警,就把 bitwarden 当成安卓 yandex 和 PC 同步密码的工具了。
    opengps
        13
    opengps  
       2023-02-10 08:58:47 +08:00
    常见措施做到位基本就可以防止 90%的风险,另外那 10%需要花费加 N 倍的精力才能处理完其中的 90%。所以只需要把基本的做好就已经满足日常需要了.
    端口不用的不开,开的注意检查应用漏洞
    应用要不外网的百名单,不外网的直接连 dns 禁用掉
    下载东西(服务端的话带上传的也算)注意检查等等
    woshinide300yuan
        14
    woshinide300yuan  
       2023-02-10 09:02:23 +08:00
    说实话,我不是程序员,也不懂很多优化技巧。我回忆自己从 00 年开始用电脑至今,唯一高频中毒时是 0 几年时,下一个软件看学习影片。
    后面,就很少遇到病毒了。我都起码 7 8 年没杀出过什么东西了。最后一次听到病毒还是熊猫烧香……
    感觉只要不乱下盗版资源就基本没问题了。
    lcy630409
        15
    lcy630409  
       2023-02-10 09:05:11 +08:00   ❤️ 5
    搞那么多 感觉就是 6 位数密码 保护 2 位数金额
    dode
        16
    dode  
       2023-02-10 09:06:31 +08:00
    重要的密钥设置一个密码,ssh 软件设置一个启动密码
    nba2k9
        17
    nba2k9  
       2023-02-10 09:08:46 +08:00
    我觉得我电脑里的资料不至于
    Pil0tXia
        18
    Pil0tXia  
       2023-02-10 09:14:50 +08:00
    @Chaconne 火绒这么基础的杀软都能做到的话,那些老牌杀软我觉得没理由做不到( 360 除外)。要设置访问权限,首先得有个高权限的管理软件吧,系统层面单独对那一个文件设置安全组也不是不可以,但是对 explorer 不友好
    Kiriya
        19
    Kiriya  
       2023-02-10 09:44:28 +08:00
    尽量使用正版商业软件或开源软件,不去运行来历不明的程序,关闭自动运行,路由器打开严格 NAT ,关闭 IPV6 公网,经常打开任务管理器查看后台运行的程序,看是否有不认识的陌生程序,电脑无杀毒软件运行几年了,完全没有问题
    Chaconne
        20
    Chaconne  
       2023-02-10 09:49:11 +08:00
    @Pil0tXia 我裸奔的,不喜欢安装任何防护软件
    mikeluckybiy
        21
    mikeluckybiy  
       2023-02-10 09:52:37 +08:00
    @Chaconne 多此一举,火绒本身也会扫描上传,不安全
    Pil0tXia
        22
    Pil0tXia  
       2023-02-10 10:00:57 +08:00 via Android
    @mikeluckybiy 我觉得这是一个取舍问题,用更小的风险抵挡更大的风险,就像打疫苗来减轻新冠的症状一样。如果用户自己能做的比杀软更好,那确实不用再引入风险了。但是能对文件权限有疑问的话,显然也对火绒剑、PowerTool 、ProcessMonitor 等工具不甚了解。当然我自己也不是太会,就没有推荐。
    mikeluckybiy
        23
    mikeluckybiy  
       2023-02-10 10:01:03 +08:00
    @Pil0tXia chrome 的这个只能泄漏已保存密码的网站网址,无法泄漏密码,chrome 的这两年新版更新后都是采用 AES256-GCM 强加密的,普通程序是无法查看到密码是什么的
    aaa5838769
        24
    aaa5838769  
       2023-02-10 10:03:02 +08:00
    不要乱运行软件,不放心的,先去沙盒跑一遍。
    mikeluckybiy
        25
    mikeluckybiy  
       2023-02-10 10:05:41 +08:00
    @Pil0tXia 不过还是感谢答主,我把 chrome 这两个文件也加到阻止访问名单中了,不让看我访问了哪些网站
    Pil0tXia
        26
    Pil0tXia  
       2023-02-10 10:08:40 +08:00 via Android
    @mikeluckybiy 你说的一部分是对的,不如试试看我说的软件? chrome 确实采用 AES 加密,但如果它把密钥也储存在本地呢?这和裸奔没区别,甚至不如一个包含明文 txt 的压缩包,至少后者不是一个固定路径。
    zhenrong
        27
    zhenrong  
       2023-02-10 10:35:29 +08:00
    我家的 PC 直接不开机,最是安全。
    不是说笑,真的家里的电脑很少开机了,上班一天回家谁还想玩电脑啊。
    有一说一,其实对普通人而言没有什么被黑的价值,装个火绒,养成良好的上网习惯即可。
    littlefishcc
        28
    littlefishcc  
       2023-02-10 10:51:58 +08:00
    题主明显心态问题而已,不是技术问题,从技术上无法做到绝对安全,那么永远都有烦恼。

    内网隔离+不执行可疑软件+杀毒软件 基本就够了,要么就别用电脑,直接重要资料放在自己脑子里面,记住千万不要说梦话,否则可能被别人听到。
    mikeluckybiy
        29
    mikeluckybiy  
       2023-02-10 10:56:38 +08:00
    @Pil0tXia 话是可以这么说,但既然要做隐私防护,就需要更全面,不然防护了这个软件那个软件,最后还是会通过一个软件泄漏,有点治标不治本的味道
    mikeluckybiy
        30
    mikeluckybiy  
       2023-02-10 10:58:41 +08:00
    @littlefishcc 编程随想是做到了的,这么大张旗鼓肉身在国内
    mk3s
        31
    mk3s  
       2023-02-10 11:10:08 +08:00
    做技术人的局限性,总喜欢从技术上入手,都看累了,通过你的描述,硬盘估计都没加密,就算加密,考虑过现实生活么,真的是高价值目标,直接找个人抱走就完事了,社工了解一下,搞这一堆花里胡哨的,还是想想自己的梦想是什么,去实现它,这辈子也就算值了
    Trepverter
        32
    Trepverter  
       2023-02-10 11:36:07 +08:00
    @Pil0tXia #9 感谢,学到了,我没有火绒,我通常用的 defender 的“文件夹保护”来限制应用访问我的敏感文件,谢谢提供了新的需要保护的文件。我用的 firefox ,没有设置主密码,使用楼主的说的软件,保存的密码确实能够被全部导出,并且不会触发 defender 的实时保护!!我使用 keepass 来保存重要的密码,我一直视 keepass 为密码保护最后的堡垒,但是今天早上我看到一篇关于 keepass 漏洞( CVE-2023-24055 )的文章,如果拥有对 keepass 的配置文件写入权限,就能导出 keepass 保存的所有密码。
    EdisonChan
        33
    EdisonChan  
       2023-02-10 13:51:57 +08:00
    所以我买了 mac (安全从业人员)
    MJZ1995
        34
    MJZ1995  
       2023-02-10 14:02:11 +08:00
    记得戴套,啊不是
    手动狗头:)
    kop1989smurf
        35
    kop1989smurf  
       2023-02-10 14:02:41 +08:00
    @woshinide300yuan #14

    这里面有个认知偏差。
    过去的病毒,有一定的行为艺术成分。(在 200x 年,病毒和木马,其实是两个东西)
    现在的病毒,是纯粹的小偷与强盗。
    SunsetShimmer
        36
    SunsetShimmer  
       2023-02-10 14:52:19 +08:00 via Android
    杀毒软件对大多数人都够用了。
    如果本来就有技术知识,杀毒软件就更够用了。
    其他的措施,我觉得不都是必要的。
    LnTrx
        37
    LnTrx  
       2023-02-10 15:39:50 +08:00
    楼主可以先分析一下自己的安全性有多重要,再考虑值得花多少成本、牺牲多少便利性来保护。
    Bingchunmoli
        38
    Bingchunmoli  
       2023-02-10 15:47:07 +08:00 via Android
    @Pil0tXia 并不像单独下载火绒有没有好的办法控制文件夹访问
    RiverMud
        39
    RiverMud  
       2023-02-10 15:49:57 +08:00
    @bitshiyuzhe 是小批次用户出现还是大规模出现的,我前段时间准备转微软验证呢,注册了账号下了软件后来忘搞了,还在用 Google 。
    mxT52CRuqR6o5
        40
    mxT52CRuqR6o5  
       2023-02-10 15:57:49 +08:00
    Win11 22H2 有个智能应用控制,感觉搞得跟可信计算似的,但我按照微软的要求去做也没把智能应用控制的开关打开,不知道是哪里有问题
    Pil0tXia
        41
    Pil0tXia  
       2023-02-10 17:11:52 +08:00
    @mikeluckybiy 安全没有绝对,只有相对。攻防是双方你来我往、层层加码的过程,你的价值也与攻击者愿意花出的精力成正比。当攻击难度超出你的价值时,就更容易在威胁中幸存下来。不能因为考虑不全面就不去做,正是因为考虑不全面,才能在加固后发现纰漏的地方,逐步完善。
    realpg
        43
    realpg  
       2023-02-10 17:58:34 +08:00   ❤️ 1
    不瞎 J8 装来路不明的软件,就没有安全问题
    karatsuba
        44
    karatsuba  
       2023-02-10 18:06:22 +08:00
    正常使用的情况下会被攻击才是比较奇怪的事情吧
    YsHaNg
        45
    YsHaNg  
       2023-02-10 18:51:08 +08:00
    @Pil0tXia chrome109 没有这两个文件夹
    Pil0tXia
        46
    Pil0tXia  
       2023-02-10 19:17:57 +08:00
    @YsHaNg 实测 110 有的,Login Data 和 Local State 路径没变,可执行程序在 C:\Program Files\Google\Chrome\Application\chrome.exe ,软件路径找不到了可以试试 Listary ,一搜就找到了
    loginv2
        47
    loginv2  
       2023-02-10 19:51:14 +08:00
    建立自己的常用软件库,不要轻易更新。 火绒规则限制敏感文件被读取,增量备份重要文件目录
    jeesk
        48
    jeesk  
       2023-02-10 19:54:07 +08:00
    sandbox
    documentzhangx66
        49
    documentzhangx66  
       2023-02-10 20:42:44 +08:00
    某些大厂甚至直接把数据库端口与 RDP 端口开在公网上。

    为什么敢?

    因为他们设置了 IP 白名单。
    DeltaC
        50
    DeltaC  
       2023-02-10 21:41:59 +08:00
    https://github.com/moonD4rk/HackBrowserData

    可以在 windows 上试试,chrome 的一切一览无余,绕过了系统的 PIN 码。

    因为这个特意用火绒设置了规则。
    https://github.com/JerryLinLinLin/Huorong-ATP-Rules
    H0H
        51
    H0H  
       2023-03-11 20:59:19 +08:00
    看了下上面所有人的答案,发现都没领悟防御的精髓,思路完全局限在单机上,最终得出搞不定、还是躺平吧的结论。

    实际上个人就能完全解决,方案就是冗余主机 /app/数据方案。也就是在家里放多台电脑,安装不同的操作系统( windows 、macOS 、Linux 、群晖、威联通),操作系统互访只开只读权限,操作系统密码采用强密码,且各不相同。个人文件通过定时任务在各操作系统间同步、备份。

    这样理论上来说,无论哪个操作系统的漏洞、或不小心安装的恶意软件,都无法同时攻破所以平台,所以个人数据不可能丢失,勒索软件的各种加密文件攻击对你完全无效。当然,这个依然不能防止个人文件被恶意传出去,要搞定这个也行,就是文件加密,跨操作系统解密,可以自己写工具,不过一般没必要搞这么麻烦。

    我家里就这样建了一套,Windows 、macOS 、群晖、威联通系统我都有,而且每种还不止一套。当你玩到这一步,也就打开了新的天地。为什么只有小公司能删库跑路、而大公司根本无法这么做?实际上是一样的原理。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2583 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 01:51 · PVG 09:51 · LAX 17:51 · JFK 20:51
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.