注:其实上对于性能要求高、技术精通的朋友可以使用QEMU(一款虚拟机软件),只不过很麻烦(要折腾各种SHELL,搞GUI,很麻烦),但是可以解锁某些关键成就(如安装macOS这种要求显卡的系统(虽然VM\VB都可以,但是体验较差),或者是训练AI这种对性能要求高的任务(基本上用不到)。
KVM/QEMU可以搞三系统共存的玩法。但是性能优势的话还得使用Xen半虚拟。
对于网络安全专业人士而言,最好的选择肯定是放弃Windows,但总有原因让我们在特殊情况下不得不使用。尽管如此,我们也不是完全没有办法的,以下是Windows 2016 LTSB(官方精简的企业长期支持版,只有重要的安全更新)的安装到加固流程。大部分操作对其他Windows10版本应该也有效,但是它们本身就足够臃肿了。
下载和安装
需要提前准备的软件/镜像:
win10 2016 LTSB x64
ed2k://%7Cfile%7Ccn_windows_10_enterprise_2016_ltsb_x64_dvd_9060409.iso%7C3821895680%7CFF17FF2D5919E3A560151BBC11C399D1%7C/
win10 2016 LTSB x86
ed2k://|file|cn_windows_10_enterprise_2016_ltsb_x86_dvd_9057089.iso|2817034240|67C3865D03E765BDD4845BA2CB7649F8|/
Librewolf
WPD(最重要的一个,主要就是这个)
镜像还是很好找的,不过我就直接把ed2k链接丢这了,你用迅雷还是amule都无所谓,反正ed2k是自带校验的。
找个U盘,从rufus.ie下载这个启动盘制作小工具。或者喜欢用PE工具箱的可以考虑下微PE。选择目标U盘,写入我们刚才下载的安装镜像。重启,狂点F2/F12/你的BIOS设置键(请用搜索引擎查一下),将Boot顺序的第一位设置为USB设备或者直接指定从哪个设备启动。
接下来你应该进入了官方默认的安装向导了,一路跟着走即可。
重启完成配置向导,设置时区为协调世界时UTC并选择一个复杂的账号密码,然后喝杯茶,等待30-40分钟让系统自动安显卡驱动和其他乱七八糟的运行库和安全更新。
现在你有了一个干净,但是还没激活的官方精简版Windows 10。
高级配置调整
加固账户登录策略防止暴力破解:
打开组策略编辑器,转到计算机配置的安全设置——账户策略,将密码策略中:
“密码必须符合复杂性要求”改为已启用;
“密码长度最小值”设置为8个字符;
“强制密码历史”设置为0个记住的密码;
“密码最长存留期”设置为“90天”;
“密码最短使用期限”设置为0天;
“用可还原的加密储存密码”保持默认的禁用
将账户锁定策略中:
“账户锁定阀值”设置为10次无效登录;
”账户锁定时间“设置为120分钟;
“重置帐户锁定计数器”设置为120分钟之后
设置本地策略——用户权限控制访问:
“允许本地登陆”只保留Administrators
“允许通过远程桌面登陆”全部清空
“取得文件或其它对象的所有权”只保留Administrators
设置本地策略——安全选项:
“交互式登陆:不显示最后的用户名”设置为已启用;
“交互式登陆:登陆时不显示用户名”设置为已启用;
“关机:清除虚拟内存页面文件”设置为已启用
设置管理模板—控制面板—区域和语言选项
“允许输入个性化”设置为已禁用
手写个性化——“关闭自动学习”设置为已禁用
设置管理模板—windows组件—Bitlocker驱动器加密—操作系统驱动器
“启动时需要附加身份验证”设置为已启用,子条目保持默认。
这将允许你使用U盘Keyfile在没有TPM的情况下启用系统盘加密,如果有TPM,这也是更安全的选择。VeraCrypt的隐藏加密盘/系统可能并没有什么意义。
接下来打开事件查看器,将各种类型的日志在右侧的“属性”选项卡设置为最小值。
其他
然后运行之前我们下载的WPD一键关闭微软的遥测并添加防火墙规则封锁遥测服务器IP。
安装LibreWolf,然后按照一般的浏览器加固流程加固,也可以用Tor Browser。之后可以去启用和关闭Windows功能顺手卸载IE11和Windows Media Player了。
安装VirtualBox——你不会希望直接在电脑上运行国产间谍软件吧,然后再安装一次LTSB。
激活
如果使用激活工具,安全风险自负。 当然你一直不激活其实也没事,但是有些人就是看不惯水印和不能修改个性化设置。去下载图吧工具箱并解压,里面的Win10数字权利激活小工具可以激活几乎所有的Win10,包括LTSB。
软件
一个大问题是,以上的措施缓解了Windows系统本身的遥测,却不能解决系统上运行的软件的脆弱,所以你仍然应该尽量选择FOSS软件。以下是较为安全的软件名单:
*加粗字体说明你应该使用一个单独断网的保险库虚拟机来安装这些软件,虽然这不能阻止宿主系统的脆弱...
OnlyOffice——MS Office的开源替代品。
Marktext——简单优雅开源的Markdown编辑器,Typora的优质替代。
Sandboxies-Plus——如果你不想用虚拟机隔离软件,沙箱会有所帮助。总比裸奔好不是。
TCP——轻巧独立的全功能Tor控制面板,但使用Tor网络最好的方式永远是直接安装Tor浏览器
KeePassXC——最好的密码管理器,但也务必不要在运行了危险软件的虚拟机内使用
Gpg4win——Windows上的GPG套件,包含GPA和Kleopatra
尾声
显然这不是很高端的措施——任何人都可以做到。这能大幅度缓解Windows的隐私灾难,但对于专业人士而言,GNU/Linux仍是最佳选择,保持谨慎!
-----BEGIN PGP SIGNED MESSAGE----- Hash:
SHA256 署名 4.0 协议 (CC BY 4.0)
您可以自由地: 共享 — 在任何媒介以任何形式复制、发行本作品 演绎 — 修改、转换或以本作品为基础进行创作 在任何用途下,甚至商业目的。
本许可协议为“自由文化作品(Free Cultural Works)”所接受。 只要你遵守许可协议条款,许可人就无法收回你的这些权利。
-----BEGIN PGP SIGNATURE----- iQIzBAEBCAAdFiEEHc1YIY36lpr0E+H8oow8N6sgXhEFAmOLK0cACgkQoow8N6sg XhExSA/8DXju3CwCnqD/TyGVUr742ITpjHQ27HPb9Vg/pbC8HVzyOh4Zz6eXQEsR feh2yl0REwcFmb7tYG695T7/Fz0K4+SYhy7UTi3AT4Whuke6lpUNocvAJMH/jSR3 2EiVfEUc2daJ14/4IFeY7CKBXQIZ2VVmNJ1fEHPY/ZF/tjiVflQLiUNaPNPNOwpN 88uB9P+TUlSQojMUojgOqpUJsOwC4PF8TyOHMXCXv49RTAgfd5swfSwAvlI1CdpB YJYK38vY5fjpqAaJ/pq6xXpnm7lyMvxrvztAUJMErUs4QkIXoh1UK1fdlqk2+QZC +WeKQHuHKmdtNOvoKIecuNLH5FdI6PXzv2LW0ZZR3OHQi8IMCfKRkrCbqVSm7vDE 73KrAe40RW5CQQeedBm7GOePwwFuEht9ObDeyOkRUBDErQh/DPNnbl0byd2moh67 tZOW0iHslohdfoEDdWDQR1tgWbIfgUKj++HxmE6g+FtbtjJ1u6N42GkUeEBzenBj ZADQAsIfxG6x44QAc/5iVk2LIb2qqp3cnE+JVAfIwc/Whpo/Pr/Auv5kvD3cWF1Z L04Khhu606bmTONgwvrW2LmWpijerQZlLaq8hPOzy+12Dcvkzwc6JOPvAX4U03m5 p+y3ecWlzLXNKBzfWPFcsyybtmgazFevFm6nal1QzD/QFvsw5ys= =SHxd -----END PGP SIGNATURE-----
