固件与系统

1）官方网站下载更新BIOS固件，并校验HASH。

2）BIOS设置中开启SecureBoot，Mac检查SIP是否正常启用。

3）到MSDN下载安装镜像，并校验SHA256。

4）Windows检查TPM2.0是否启用，启用“设备加密”或使用Bitlocker加密系统盘。Mac检查文件保险箱是否启用。

5）如果有雷电3/USB4接口，开启手动允许设备接入。

6）如果支持，开启内核隔离

7）使用AIDA64检查BIOS固件是否使用了Windows Platform Binary Table (WPBT)

安全软件

1）使用Glasswire/little snitch/LuLu firewall/ESET/卡巴斯基防火墙，设置所有程序联网手动放行。

2）使用Defender/ESET/卡巴斯基共享的威胁情报扫描（云）。或可选用火绒HIPS，对以下路径添加访问规则

IM类程序聊天数据库路径：如 QQ，WeChat，Telegram，Signal等
浏览器数据：如chrome，firefox等
Office文档、其他文件存放的目录
开发者的项目目录

对以下程序添加启动拦截/记录 （此列表不完全）

cscript.exe
wscript.exe
cmd.exe
powershell.exe
mshta.exe
help.exe
curl.exe
msbuild.exe
bitsadmin.exe
certutil.exe
csc.exe

3）使用Virustotal查看文件历史信息。

程序

1）注意更新/下载地址是否使用https，下载后校验数字签名或文件hash

2）如需要在本机使用破解/小众的工具，可安装Sandboxie，并将存放工具的目录配置自动入沙。也可将各类下载目录，样本保存目录配置自动入沙，防止误点击。