我家家长还挺有安全意识的

AlphaRabbit

我：（折腾360云盘，实现自动备份我家的财务相关数据）。

我爸：你在搞什么？

我：把本地的财务数据备份到云端。

我爸：别那么做，你不怕数据泄露么？

我：360云盘过去从未发生数据泄露事件，我们和360也没有业务冲突关系（我家是线下家电零售），再者，我备份的数据仅限于我们的库存资料之类的，不包括任何客户数据。所以用360的云盘不会对我们造成任何威胁。

我爸：我们已经把那些资料备份到U盘了。

我：防范极端情况嘛。

（挺好的，还挺在乎云端数据泄露的，我以为他们想不到呢）






哦，目前我给我家长的电脑做的安全措施（那台电脑是我以前办公留下来的）：

安装的系统是Windows 10 2021 LTSC，自动更新通过组策略强制打开（不得暂停和关闭）。

已经删除IE浏览器（当然不是删除IE核心，只是干掉了IE浏览器，反正我家也用不到就在控制面板里删了）。

启用了Device Guard（内核隔离）和Credential Guard，防止内核威胁和Windows凭据盗窃。

UAC强制开启（任何管理员操作都需要在安全桌面点同意）。

卡巴斯基安全软件（KIS）无法被关闭、卸载、操作隔离区/信任区（通过密码实现）。

Bitlocker执行的全磁盘加密（AES-256-XTS，启动时TPM会校验BIOS固件、引导程序等模块是否正常，如果符合预期则自动解锁）。

BIOS和TPM的固件已经是最新的，同时BIOS设置了密码，并且：从非默认启动路径（启动设备）启动时，需要BIOS管理员密码授权。

强制使用安全DNS（DNS over HTTPS/DNS over TLS）。
桌面壁纸设置为45姐，这样可以从心理上打击入侵者（这台电脑很硬，不好入侵）。

mifanu

我说下我的，我装机后会关闭445等端口，关闭sever服务(关端口和服务作用一样，双重以防万一)，关闭自动更新，任何exe以及浏览器扩展先在备用机测试一段时间觉的好用再在主机安装，不用u盘。我不用自动更新，如果需要单一补丁，我会遵循我对exe的测试流程。

AlphaRabbit

mifanu 发表于 2023-3-3 14:44
我说下我的，我装机后会关闭445等端口，关闭服务，关闭自动更新，任何exe先在备用机测试一段时间觉的好用再 ...

我通过KIS来解决防火墙问题。

自动更新打开是因为那台机器就是个账本机，不运行要求24小时不中断的任务。

考虑到KSN的存在，目前这套安全配置已经可以符合我家家长的威胁模型了。

shuiyue96

这安全意识，超过绝绝大部分企业了。

AlphaRabbit

shuiyue96 发表于 2023-3-3 15:51
这安全意识，超过绝绝大部分企业了。

有没有一种可能：我以前上班就是做这个的？

利益相关：以前在某个云服务公司上过班，我当时作为客户技术支持，常做的事情就是给那些被入侵的客户删除恶意软件和做系统加固。

zbluetiger

强的，学习了

AlphaRabbit

zbluetiger 发表于 2023-3-3 16:12
强的，学习了

注意最后一句，这个也要学

huangzihang

拿编程器重刷BIOS会导致BItlocker彻底锁死吗，如果不能的话，电脑放保险柜还是更安全。
补一个：Bitlocker的KEY得放可靠云备份，譬如onedrive...你也不能保证硬件不出问题，到时候无法解密就难受了

AlphaRabbit

huangzihang 发表于 2023-3-3 17:51
拿编程器重刷BIOS会导致BItlocker彻底锁死吗，如果不能的话，电脑放保险柜还是更安全。
补一个：Bitlocker ...

一定会，我之前用编程器重刷后，Bitlocker立即要求我提供恢复密钥。

Bitlocker的Key在我这是禁止云存储的，我存放到了专门的硬件上——家里有一台淘汰老电脑，装了个Rocky Linux 8，这台电脑专门用于存储机密/敏感数据（且这台电脑的硬盘也经过了AES-256-XTS加密，使用LUKS 2.0，密码单独写在一个本子上）。

15717522768

有必要么
云盘我还是选择OneDrive(Microsoft 365有1TB)

还有那个安全措施，过度的安全会使你感到更不安全。