如何打造一个安全的 Windows10 系统 ,分享一下我目前使用的方案

重装系统

需要准备:存储空间大于等于 4G 的 U盘 一个

使用微软提供的工具制作U盘启动盘

下载地址:https://www.microsoft.com/zh-cn/software-download/windows10

20210531KDYrNdjVZ7.png

下载后打开,按提示操作,选择为另一台电脑创建安装介质,选择目标 U盘,写入,等待写入完成

写入完成后U盘就成了U盘启动盘,可以使用此U盘重装系统

装机软件

杀毒软件

要知道杀毒软件不是万能的,保持安全的系统环境最重要最重要的就是不要随意打开或安装任何陌生文件

  • 非必要软件不要安装,不要打开任何未知文件
  • 不要在第三方网站下载软件,如需安装请在官方下载
  • 对于一次性使用的软件,我会在Windows沙盒中运行

卡巴斯基

卡巴斯基文件顾问

卡巴斯基是老牌杀软,各方面表现一直都很优异,我个人比较喜欢的一个功能是卡巴斯基文件顾问,只是需要这个功能,我才会选择安装卡巴斯基,如果您没有此需求,Windows10 自带的反病毒软件已经够用了

20210531KEnPiqzdBv.png

每次下载文件之后我都会使用这个功能检测一下,通过此功能可以判断出文件是否安全

一般来讲,受信任、使用人数越多、首次出现时间越早的文件越安全

禁止非必要程序联网

在卡巴斯基中可以禁止程序联网,建议将无需联网的程序禁止联网,以下演示将XMind禁止联网

首页-更多工具-管理应用程序-应用程序控制-右上角搜索XMind-将网络设置为禁止

将网络设置为禁止

虚拟机

Hyper-V

这是微软官方推出的虚拟机,可以无缝集成到Windows环境中,有很棒的性能和安全性,可以在Windows功能中打开,建议同时启用Windows 沙盒

启用Windows Hyper-V的步骤如下

  1. 在“程序和功能”下,点击“打开或关闭Windows功能”。

  2. 在弹出的窗口中,找到并勾选“Hyper-V”和“Windows 沙盒”。

  3. 点击“确定”。系统将开始安装Hyper-V,这可能需要一些时间。

  4. 安装完成后,系统可能会提示你重启电脑。如果是这样,点击“现在重启”。

  5. 重启电脑后,Hyper-V应该已经启用。

注意:你的电脑需要支持硬件虚拟化,并且在BIOS中启用这个功能,才能使用Hyper-V。如果你的电脑不支持硬件虚拟化,或者没有在BIOS中启用这个功能,你将无法启用Hyper-V。

Windows沙盒

Windows沙盒需要Hyper-V的支持,所以要使用沙盒需先启用Hyper-V虚拟机

Windows沙盒(Windows Sandbox)是Windows 10(11)中的一个新功能,它提供了一个隔离的环境,让用户可以在其中运行未知或者不信任的应用程序,而不会影响主系统。

如果你下载了一个新的应用程序或者文件,但是不确定它是否安全,你可以把它放在沙盒中打开进行测试。如果它包含恶意软件或者病毒,那么这些恶意行为将被限制在沙盒中,不会影响你的主系统。

密码管理器

1Password

假如你有这个需求(真的很好用,推荐所有人使用),那么推荐 1Password、LastPass,1Password 可以试用一个月,对于第一次使用密码管理器的人可以体验一下

关于密码管理器原理,请参见这篇文章:1Password 安全工作原理

网络浏览器

Chrome网络浏览器

Google 出品,目前主流浏览器大多使用 Google 开源的 Chromium 内核

下载地址:https://www.google.cn/intl/zh-CN/chrome/

Edge网络浏览器

Edge 是微软开发的浏览器,使用 Chromium 内核,优点是国际化做的比较好,F12 开发人员工具支持中文

下载地址:https://www.microsoft.com/zh-cn/edge

FireFox火狐浏览器

火狐浏览器分国内版和国际版,是两个不同的浏览器,请使用国际版

下载地址:https://www.mozilla.org/zh-CN/firefox/

其他软件

7zip

解压缩软件

下载地址:https://www.7-zip.org/

PuTTY

SSH工具

下载地址:https://www.chiark.greenend.org.uk/~sgtatham/putty/latest.html

WinSCP

SFTP工具,开源

下载地址:https://winscp.net/eng/download.php

VLC

视频播放器,开源

下载地址:https://www.videolan.org/

ShareX

超多功能的截图工具,开源

下载地址:https://getsharex.com/

可从 Github 下载源码自行编译:https://github.com/ShareX/ShareX

VeraCrypt

数据加密软件,开源

VeraCrypt 是一款开放源代码的即时加密软件。它可以创建一个虚拟加密磁盘文件或加密分区,或预引导认证整个存储设备。

下载地址:https://github.com/veracrypt/VeraCrypt

硬件安全

Bios密码

设置 Bios 密码之后,每次开机在载入系统之前会要求输入 Bios 密码,可以防止别人在未经允许的情况下使用计算机。

开机PIN码

功能同上,设置方法

BitLocker

BitLocker 驱动器加密是一项数据保护功能,它与操作系统集成,用于解决来自丢失、被盗或销毁不当的计算机的数据被盗或泄露的威胁。

BitLocker 概述:bitlocker-overview

设置BitLocker + PIN

本地组策略编辑器>管理模板>Windows 组件>BitLocker 驱动器加密>操作系统驱动

打开启动时需要附加身份验证,选中已启用,如下图所示

image

BitLocker设置中点击更改在启动时解锁驱动器的方式,设置PIN码

固定数据驱动器的解锁方式

BitLocker设置中将非操作系统驱动器设置为自动解锁(默认,一般不用修改)

固定数据驱动器的自动解锁要求操作系统驱动器也受 BitLocker 保护。如果使用的计算机没有受 BitLocker 保护的操作系统驱动器,则无法自动解锁固定驱动器。对于可移动数据驱动器,可以通过右键单击 Windows 资源管理器中的驱动器并选择“管理 BitLocker”来添加自动解锁。打开 BitLocker 时提供的密码或智能卡凭据仍可用于解锁其他计算机上的可移动驱动器。

据此分析固定驱动器的密钥存储在操作系统驱动器中,当其解锁后会读取密钥对固定驱动器进行解锁,无需对固定驱动器设置PIN解锁

https://superuser.com/questions/561533/windows-bitlocker-and-automatic-unlock-password-storage-safety

https://learn.microsoft.com/en-us/windows/security/operating-system-security/data-protection/bitlocker/faq

备份恢复密钥

参考链接: operating-system-security/data-protection/bitlocker/bitlocker-countermeasures

进阶系统加固指南

https://github.com/beerisgood/Windows11_Hardening