如何在长期使用情况下保证 PC 的安全性

放虚拟机里跑，或者换 macOS(不过不能完全避免)

我装了火绒

然后不随意运行别人给的二进制
个人感觉够了

及时更新系统和软件，打补丁补漏洞，未知的链接、下载、邮件注意甄别，防止社会工程学攻击……基本问题不大

我的电脑里没有什么能导致我损失的个人数据…

装的都是游戏…网游数据都存在服务器里了不用我操心。

Linux 的文件权限管理还是比较好的，0day 提权都是针对高价值客户的，即使是黑客也不会滥用。不用随便用 sudo 运行来历不明的脚本，如果你让人拿到 root 权限了，那他就想干什么干什么了。

@ysc3839 未知软件肯定是进虚拟机的, 但大部分还是在真机运行, 所有软件都不能保证不出漏洞

@Chaconne 目前在用 ltsc 也一直开着 Windows Update, 大部分软件有更新提示也会更新

@dxgfalcongbit 程序员的话会有些密钥 /凭证 /私有代码之类的相对保密的数据吧, 就算游戏账号被盗了也算是损失

2FA 一定要备份，大厂云也不一定安全。最近因为微软验证器奇怪的逻辑丢失了很多验证码。

我来说个你们不一定都知道的，但成为近年来密码泄露罪魁祸首的，Chrome

先别问我为什么，下载打开这个软件 https://www.nirsoft.net/utils/web_browser_password.html ，你会发现自己“加密保存”的密码原封不动地罗列在你的屏幕上
你还可以把它导出成 Chrome .csv ，就像在浏览器里导出的一样。要知道，这可是一个没有任何提权的软件，没有触发任何一款杀软的报警，这意味着你电脑上的任何一个程序都可以做到

接下来来说加固办法，不是每个人都会自建 Bitwarden ，我以火绒举例，
在自定义规则中拒绝所有程序对 C:\Users\{yourName}\AppData\Local\Google\Chrome\User Data\Local State 和
C:\Users\{yourName}\AppData\Local\Google\Chrome\User Data\Default\Login Data 的读取和修改权限，
然后在自动处理中允许 C:\Users\{yourName}\AppData\Local\Google\Chrome\Application\chrome.exe 对上面两个文件的读取和修改权限

所有 Chromium 内核的浏览器都有此安全风险，没有设置主密码的 Firefox 也不例外，其中 360 系浏览器还需要在路径中补齐 360 账户 ID

我当然知道要 2FA ，但我不想改密码，更不想为此担心。所以 Chrome 什么时候能有主密码

@Pil0tXia 怕你们找不到，下载链接在页面偏底部的位置 https://www.nirsoft.net/toolsdownload/webbrowserpassview.zip

@Pil0tXia 不安装火绒的话，怎么设置访问的权限

@Pil0tXia 其实我用过好一段时间的 bitwarden ，但是它的自动填充功能跟 chrome 的差距还是比较大的（参考我发的帖子 https://community.bitwarden.com/t/improve-auto-fill-when-page-doesnt-show-login-form-first-after-loading-complete/50641 ），想了想做了读取权限的加固之后，想绕过就得到驱动级了，那时候也会触发火绒的其他告警，就把 bitwarden 当成安卓 yandex 和 PC 同步密码的工具了。

常见措施做到位基本就可以防止 90%的风险，另外那 10%需要花费加 N 倍的精力才能处理完其中的 90%。所以只需要把基本的做好就已经满足日常需要了.
端口不用的不开，开的注意检查应用漏洞
应用要不外网的百名单，不外网的直接连 dns 禁用掉
下载东西（服务端的话带上传的也算）注意检查等等

说实话，我不是程序员，也不懂很多优化技巧。我回忆自己从 00 年开始用电脑至今，唯一高频中毒时是 0 几年时，下一个软件看学习影片。
后面，就很少遇到病毒了。我都起码 7 8 年没杀出过什么东西了。最后一次听到病毒还是熊猫烧香……
感觉只要不乱下盗版资源就基本没问题了。

搞那么多 感觉就是 6 位数密码 保护 2 位数金额

重要的密钥设置一个密码，ssh 软件设置一个启动密码

我觉得我电脑里的资料不至于

@Chaconne 火绒这么基础的杀软都能做到的话，那些老牌杀软我觉得没理由做不到（ 360 除外）。要设置访问权限，首先得有个高权限的管理软件吧，系统层面单独对那一个文件设置安全组也不是不可以，但是对 explorer 不友好

尽量使用正版商业软件或开源软件，不去运行来历不明的程序，关闭自动运行，路由器打开严格 NAT ，关闭 IPV6 公网，经常打开任务管理器查看后台运行的程序，看是否有不认识的陌生程序，电脑无杀毒软件运行几年了，完全没有问题

@Pil0tXia 我裸奔的，不喜欢安装任何防护软件

@Chaconne 多此一举，火绒本身也会扫描上传，不安全

@mikeluckybiy 我觉得这是一个取舍问题，用更小的风险抵挡更大的风险，就像打疫苗来减轻新冠的症状一样。如果用户自己能做的比杀软更好，那确实不用再引入风险了。但是能对文件权限有疑问的话，显然也对火绒剑、PowerTool 、ProcessMonitor 等工具不甚了解。当然我自己也不是太会，就没有推荐。

@Pil0tXia chrome 的这个只能泄漏已保存密码的网站网址，无法泄漏密码，chrome 的这两年新版更新后都是采用 AES256-GCM 强加密的，普通程序是无法查看到密码是什么的

不要乱运行软件，不放心的，先去沙盒跑一遍。

@Pil0tXia 不过还是感谢答主，我把 chrome 这两个文件也加到阻止访问名单中了，不让看我访问了哪些网站

@mikeluckybiy 你说的一部分是对的，不如试试看我说的软件？ chrome 确实采用 AES 加密，但如果它把密钥也储存在本地呢？这和裸奔没区别，甚至不如一个包含明文 txt 的压缩包，至少后者不是一个固定路径。

我家的 PC 直接不开机，最是安全。
不是说笑，真的家里的电脑很少开机了，上班一天回家谁还想玩电脑啊。
有一说一，其实对普通人而言没有什么被黑的价值，装个火绒，养成良好的上网习惯即可。

题主明显心态问题而已，不是技术问题，从技术上无法做到绝对安全，那么永远都有烦恼。

内网隔离+不执行可疑软件+杀毒软件 基本就够了，要么就别用电脑，直接重要资料放在自己脑子里面，记住千万不要说梦话，否则可能被别人听到。

@Pil0tXia 话是可以这么说，但既然要做隐私防护，就需要更全面，不然防护了这个软件那个软件，最后还是会通过一个软件泄漏，有点治标不治本的味道

@littlefishcc 编程随想是做到了的，这么大张旗鼓肉身在国内

做技术人的局限性，总喜欢从技术上入手，都看累了，通过你的描述，硬盘估计都没加密，就算加密，考虑过现实生活么，真的是高价值目标，直接找个人抱走就完事了，社工了解一下，搞这一堆花里胡哨的，还是想想自己的梦想是什么，去实现它，这辈子也就算值了

@Pil0tXia #9 感谢，学到了，我没有火绒，我通常用的 defender 的“文件夹保护”来限制应用访问我的敏感文件，谢谢提供了新的需要保护的文件。我用的 firefox ，没有设置主密码，使用楼主的说的软件，保存的密码确实能够被全部导出，并且不会触发 defender 的实时保护！！我使用 keepass 来保存重要的密码，我一直视 keepass 为密码保护最后的堡垒，但是今天早上我看到一篇关于 keepass 漏洞（ CVE-2023-24055 ）的文章，如果拥有对 keepass 的配置文件写入权限，就能导出 keepass 保存的所有密码。

所以我买了 mac （安全从业人员）

记得戴套，啊不是
手动狗头：）

@woshinide300yuan #14

这里面有个认知偏差。
过去的病毒，有一定的行为艺术成分。（在 200x 年，病毒和木马，其实是两个东西）
现在的病毒，是纯粹的小偷与强盗。

杀毒软件对大多数人都够用了。
如果本来就有技术知识，杀毒软件就更够用了。
其他的措施，我觉得不都是必要的。

楼主可以先分析一下自己的安全性有多重要，再考虑值得花多少成本、牺牲多少便利性来保护。

@Pil0tXia 并不像单独下载火绒有没有好的办法控制文件夹访问

@bitshiyuzhe 是小批次用户出现还是大规模出现的，我前段时间准备转微软验证呢，注册了账号下了软件后来忘搞了，还在用 Google 。

Win11 22H2 有个智能应用控制，感觉搞得跟可信计算似的，但我按照微软的要求去做也没把智能应用控制的开关打开，不知道是哪里有问题

@mikeluckybiy 安全没有绝对，只有相对。攻防是双方你来我往、层层加码的过程，你的价值也与攻击者愿意花出的精力成正比。当攻击难度超出你的价值时，就更容易在威胁中幸存下来。不能因为考虑不全面就不去做，正是因为考虑不全面，才能在加固后发现纰漏的地方，逐步完善。

@Bingchunmoli 可以参考#18 和#32 ，我找到了一些链接供你参考：
https://learn.microsoft.com/zh-cn/microsoft-365/security/defender-endpoint/enable-controlled-folders?view=o365-worldwide
https://www.solarwinds.com/zh/access-rights-manager/use-cases/file-server-auditing

不瞎 J8 装来路不明的软件，就没有安全问题

正常使用的情况下会被攻击才是比较奇怪的事情吧

@Pil0tXia chrome109 没有这两个文件夹

@YsHaNg 实测 110 有的，Login Data 和 Local State 路径没变，可执行程序在 C:\Program Files\Google\Chrome\Application\chrome.exe ，软件路径找不到了可以试试 Listary ，一搜就找到了

建立自己的常用软件库，不要轻易更新。 火绒规则限制敏感文件被读取，增量备份重要文件目录

sandbox

某些大厂甚至直接把数据库端口与 RDP 端口开在公网上。

为什么敢？

因为他们设置了 IP 白名单。

https://github.com/moonD4rk/HackBrowserData

可以在 windows 上试试，chrome 的一切一览无余，绕过了系统的 PIN 码。

因为这个特意用火绒设置了规则。
https://github.com/JerryLinLinLin/Huorong-ATP-Rules

看了下上面所有人的答案，发现都没领悟防御的精髓，思路完全局限在单机上，最终得出搞不定、还是躺平吧的结论。

实际上个人就能完全解决，方案就是冗余主机 /app/数据方案。也就是在家里放多台电脑，安装不同的操作系统（ windows 、macOS 、Linux 、群晖、威联通），操作系统互访只开只读权限，操作系统密码采用强密码，且各不相同。个人文件通过定时任务在各操作系统间同步、备份。

这样理论上来说，无论哪个操作系统的漏洞、或不小心安装的恶意软件，都无法同时攻破所以平台，所以个人数据不可能丢失，勒索软件的各种加密文件攻击对你完全无效。当然，这个依然不能防止个人文件被恶意传出去，要搞定这个也行，就是文件加密，跨操作系统解密，可以自己写工具，不过一般没必要搞这么麻烦。

我家里就这样建了一套，Windows 、macOS 、群晖、威联通系统我都有，而且每种还不止一套。当你玩到这一步，也就打开了新的天地。为什么只有小公司能删库跑路、而大公司根本无法这么做？实际上是一样的原理。