固件与系统

1）官方网站下载更新BIOS固件

2）BIOS设置中开启SecureBoot

3）请到MSDN下载安装镜像，并校验SHA256

4）开启TPM2.0，启用“设备加密”或使用Bitlocker加密启动分区

5）如果有雷电3/USB4接口，开启手动允许设备接入

6）如果可以，开启内核隔离

网络设置

1）防火墙禁用135、139、445端口

以管理员模式运行以下命令：

netsh advfirewall firewall add rule name="禁用高危端口" dir=in action=block protocol=TCP localport=135,139,445

2）关闭网络发现和共享

安全软件

1）使用Glasswire/ESET/卡巴斯基防火墙，设置所有程序联网手动放行。

2）使用Defender/ESET/卡巴斯基共享的威胁情报扫描（云）。或可选用火绒HIPS，对以下路径添加访问规则

IM类程序聊天数据库路径：如 QQ，WeChat，Telegram，Signal等
浏览器数据：如chrome，firefox等
Office文档、其他文件存放的目录
开发者的项目目录

对以下程序添加启动拦截/记录 （此列表不完全）

cscript.exe
wscript.exe
cmd.exe
powershell.exe
mshta.exe
help.exe
curl.exe
msbuild.exe
bitsadmin.exe
certutil.exe
csc.exe