【协助分析】大家帮忙看看和思索一下（之前和之后）我用的安全架构？

莉塔林Rita

这是我上一台电脑还在时，我对我的电脑做的一切努力。

我希望以别人的视角帮我审视一下这些努力的是否达到了预期中的安全，以及它还有哪些潜在的可攻破点。





这些努力的目标是：迫使攻击者必须付出大到不切实际的代价，才可能得到它想要的某些东西。

为此，我在下方做了这些努力。




先决条件

我（无条件且无选择的）信任技嘉、AMD和微软 Windows 11的可靠性，这是因为：

1.对于经济能力非常受限的精神残疾人，4000块都是需要别人出的情况下，我很难挑选什么“靠谱”的主板。

2.由于主机板和处理器更换的代价，我必须信任技嘉在UEFI固件安全性上做出了合格的努力（事实上，他们的确实现了一些，例如我可以在AMD CBS中轻松打开Microsoft Plunto安全处理器，我也可以轻松启动全内存透明加密和DMA攻击保护，技嘉也会在出现重大安全漏洞时及时推送固件更新）。

3.操作系统可以更换，但有些折损可用性（你的游戏反作弊有一些松弛，而且Steam Proton兼容层加剧了这一点。没错，我骂的就是你：Nprotect GameGuard）。






启动前保护：

1.操作系统使用的是Windows 11（Beta发布渠道），打开了所有内核隔离相关的功能（包括内核影子堆栈、凭据守卫和内核DMA保护）。
（使用内部发布版本是为了实现不常见系统配置，而使用Beta频道更多是一种折中，毕竟Windows 11的Dev和Canary渠道涉及可点亮性问题）

2.主板已经设置了管理员密码，抠电池会导致强制性的TPM重置、安全引导处于标准模式且打开了Microsoft Plunto、同时启动了预引导阶段DMA保护。


3.在电脑机箱拆卸时必然会触碰到的部位，“随意”的贴上一些很难清洁干净的贴纸来防止有人在我不在家时拆开了电脑（如果有人拆开，我可以第一时间观察到）。

4.Bitlocker加密所有的磁盘，并被配置为在TPM验证后，还必须输入PIN码（20位随机大小写英文字符+数字+特殊符号）才会解密系统磁盘（虽然那是固态硬盘啦）；这样做是为了确保即使我眼瞎手滑脚崴导致忘了检查主机是不是被插了什么不认识的硬件，攻击者也无法轻松的在内存里得到解密所需的东西。（Bitlocker使用恢复文件，而不是“恢复代码”，且没存到微软云，而是在我随身带走的U盘上）

5.人走电脑断电。




引导阶段保护：

1.Bitlocker和Microsoft Plunto会一起验证当前主板固件和主板上的第三方硬件（的OpROM）、还有操作系统引导程序是否被篡改（通过Microsoft UEFI CA 2023根证书进行的安全引导检查）；如果失败，Bitlocker就不会解锁磁盘（即使有正确的PIN码）。

2.操作系统驱动程序会被ELAM（由S1提供）检查，如果ELAM失败则直接蓝屏GG（ELAM级别：仅允许“好”和“未知”的驱动程序）。

3.DMA保护则确保整个过程（以及运行时）都不会被DMA攻击卡骚扰（例如，某些攻击卡可以实现插进去后绕过Windows的登录界面）。




运行时保护：

1.Hyper-V，启动！

使用多个Windows 10虚拟机，分别用于进行不同的任务。

我当时分了四个虚拟机，一个用来QQ、微信、WPS、一个用来某著名聊天软件和某著名社交平台、另一个用于日常看视频、最后一个被用来做一些和金钱挂钩（ETH钱包之类的啦！）的事。

其中有一个Linux虚拟机被用于做一些不需要Windows都可以的事情（咳咳）。

2.宿主机受S1保护，虚拟机则由Microsoft Defender或者其他安全措施保护。

3.宿主机网络部分受到某人的神秘知识和技能保护，这导致攻击者无法对我宿主机的网络传输做任何奇怪的事情，当然让我戒网瘾（拔网线）那还是可以的。

4.宿主机仅用于Hyper-V，不执行任何其他应用程序……咳，Steam上的游戏是个例外（但上线会启动迫真哑巴模式，人话：发过来的聊天消息根本不看，因为我要玩游戏而不是聊天）。




所以，目前还有什么潜在的可攻破点？

chx818

等下，bitlocker tpm pin不是只能纯数字吗

x-天秤座

如果你是国家重点单位的网管或者安全负责人，那么估计已经换国产系统电脑以及企业有相关安全措施和规定，不用担心；如果你是个人用户，我还是建议多出去户外走动一下，看看花花草草或者爬爬山跑跑步，真的。

我话说得有点难听，但是避免自己过度有洁癖、强迫症或者被害妄想症心理方面的，年轻人还是多拥抱现实世界---也就是外面比较好。生活也许已经很累很辛苦，如果自己还给自己找过不去，自己给自己难受的话，我就很不理解了。

你这种不是偏执，就是偏激，如果你不信的话，你仔细看看你到底有哪些资料是不可失去和被别人盗取后会带来重大损失和影响的，如果非常重要，不可以刻录入光盘或者弄个移动硬盘备份？作为一个普通人，有多少人会关注你电脑里面有什么？特别是那些特别关注利益的黑客们。

yxzdennis

电脑里除非有不得了的资料或者钱财才能花这么大力气来保护 不然我感觉就是自娱自乐  换句话说 先不谈软件层面 虽然有些安软已经在ring0层 但你怎么知道技嘉和AMD的硬件没有后门呢 Windows11的漏洞就不说了 更何况你怎么知道光猫 路由器有没有后门呢 所以硬件和系统层面如果有大问题 软件啥的都形同虚设

Picca

其实qubes os也支持xen容器里面装Windows（并且这是主要的卖点），如果需要可以随时快速简单的创建临时且完全纯净的window，即用即焚。

至于硬件的话，下面举两个案例：

1、购买https://puri.sm/products/librem-14/ 搭配他们定制化固件pureboot + 反固件篡改、安全令牌加密、密钥管理的librem-key（https://puri.sm/products/librem-key/）+ 他们的反拦截服务（防篡改包装、胶带和螺丝。安全设置的照片证据，所有通信均通过 GPG 加密电子邮件进行） 搭配quebsos的xen容器里面的windows， 安全性简直拉满

2、购买https://novacustom.com/product/v54-series/ 这种完全定制化的专门为qubesos 做了完全兼容认证的电脑 + 他们在家定制化的防篡改螺丝和包装（防止运输过程被动手脚），预装了最新版本的qubesos

就看你是否有这个需求了

intherain

“（无条件且无选择的）信任技嘉、AMD和微软 Windows 11的可靠性”这反而是最根本也最不可控的前提

tomochan

建议买硬件防火墙

为爱灌篮

安全软件综合症深度患者，你做的对，就该这么玩，话说防火墙用的哪款？

Xopii

说实话其实你说的这些只能带给你一个安全的感觉，就像一种暗示一样。但是实际上不论怎么弄，由于你不是专业人士（从你上这个论坛问就能看出来）依然还是不够的。有一句话是不要拿自己爱好去挑战别人的专业。 （你看起来做的很多 但是都是一些业余的爱好者能做的） 只是自娱自乐。当然 你的电脑安全了， 可是不一定是因为你做的这些措施，只是因为可能你的电脑或者数据白给别人也没有太大用处，你这里有什么特殊的有价值的信息？

Xopii

yxzdennis 发表于 2025-6-3 11:06
电脑里除非有不得了的资料或者钱财才能花这么大力气来保护 不然我感觉就是自娱自乐  换句话说 先不谈软件层 ...

我觉得他做的有点过头了，我就看到有的人 经常使用网银转账 什么的 电脑还有其他资料但是也就是安装一个杀毒软件 要不然用一个iPhone手机 ，这么好几年了 也没啥事。说的难听一点 大部分人的数据白给那些专业的人 人家都觉得没用。