固件与系统
1)官方网站下载更新BIOS固件
2)BIOS设置中开启SecureBoot
3)请到MSDN下载安装镜像,并校验SHA256
4)开启TPM2.0,启用“设备加密”或使用Bitlocker加密启动分区
5)如果有雷电3/USB4接口,开启手动允许设备接入
6)如果可以,开启内核隔离
网络设置
1)防火墙禁用135、139、445端口
以管理员模式运行以下命令:
netsh advfirewall firewall add rule name="禁用高危端口" dir=in action=block protocol=TCP localport=135,139,445
2)关闭网络发现和共享
安全软件
1)使用Glasswire/ESET/卡巴斯基防火墙,设置所有程序联网手动放行。
2)使用Defender/ESET/卡巴斯基共享的威胁情报扫描(云)。或可选用火绒HIPS,对以下路径添加访问规则
IM类程序聊天数据库路径:如 QQ,WeChat,Telegram,Signal等
浏览器数据:如chrome,firefox等
Office文档、其他文件存放的目录
开发者的项目目录
对以下程序添加启动拦截/记录 (此列表不完全)
cscript.exe
wscript.exe
cmd.exe
powershell.exe
mshta.exe
help.exe
curl.exe
msbuild.exe
bitsadmin.exe
certutil.exe
csc.exe