在日常的工作生活中,如何打造一个相对安全的环境,这是值得思考及解决的问题。
0x00 前言
从事安全行业或者喜欢研究安全技术的人员,建议如下搭建环境。
- 两张网卡两条不同线路(可多);
- 统一使用英文系统;
- 物理机脱网,设置加密盘;
- 不同虚拟机设置不同线路( 日常上网一条,日常工作一条);
- 编程机器不要带入个人 ID;
- 工作机不安装任何带有母语信息的软件;
- 所有机器补丁打满;
- 虚拟机关机即还原;
- 略….
以下如无特殊说明,均为 Windows 7虚拟环境,详细情况如下。
0x01 个人电脑
1) 时间同步
通常为了得到更加精确的时间信息,我们会采用将 Windows 时间与网络时间进行同步操作来实现。
但是如果在被反日的过程中发现使用了时间同步功能,那基本就可以确定所在地区,所以为了更友好,就需要关闭这项功能。
- 点击桌面右下角时间,然后在弹出的窗口中点击
更改日期和时间设置 - 在出现的窗口上部的选项选择
Internet 时间 - 接下来选择
更改设置 - 去除
与 Internet 时间同步,再点击确定就行了。
2) win7关闭同步中心
Win+R–regedit打开注册表- 在
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Syncmgr\Handlers项中找到一个与SQL Server 2000相关的分支 - 删除它,这时任务栏里的同步中心图标应该会消失,重启以后同步中心也不会自动启动了。
- 当然,如果你有其它同步项,比如没有禁用离线文件,或者有移动设备同步,都有可能使同步中心自动启动。
3) update
大多数朋友可能会遇上 Win 7 系统关机时出现自动更新延长关机时间,导致有急事无法快速关机拔电源。但要说的不是这回事,仔细了解 update 背后的故事,都懂得。
同时调出本地组策略编辑器
Win+R–gpedit.msc打开组策略编辑器- 找到
管理模板 /Windows 组件 - 找到
Windows Update,开启那啥。
4) 打印机
- 在控制面板中的管理工具中找到服务
- 在其中找到
Print Spooler - 将服务停掉
也可以直接在命令行下执行net stop spooler
5) 摄像头
最保险的办法的就是直接禁用摄像头的驱动了。
- 右击电脑桌面上的“计算机”图标选择“属性”选项;
- 设备管理器
- 图像设备,找到我们笔记本内置的摄像头
- 直接右击禁用即可
6) 麦克风
关闭方法:
- 首先在电脑桌面右下角任务栏上的声音图标上右键,然后选择“录音设备”。
- 之后在弹出的声音属性对话框,将鼠标放在“麦克风”上右键选择“禁用”即可(或点击属性进行选择)。
- 这样我们就简单禁用了录音设备麦克风了,不影响声卡,依然可以正常播放音乐,只是不能再录音以及语音说话了。
7) USB自动读取
禁止 usb 设备的自动运行,首先是出于安全考虑,再者按需运行,减少不必要的程序开启。
8) 小娜(windows 10)
使用毛豆就可以。
0x02 个人意识
1) 安全上网
不在工作机上登陆私人账户
2) 密码分级
很多人各网站用户名密码相同,这样黑客用被泄露网站的密码登录其他网站很有可能会成功,每个网站都设置不同的密码可能不现实,那就可以对密码就行分级管理。
3) 文件删除
如果是平时的删除则使用强制删除,Shift+del。
电脑出售或者移交其他人使用,删除敏感文件后,同样需要对硬盘脱密,使用脱密工具反复擦写5次以上。
4) 文件加密存储
Windows 的话本身的 BitLocker 就很不错。个人使用 TrueCrypt ,文件直接放在硬盘上,电脑丢失后硬盘上文件就可以被直接读取,如果存到加密盘中,拿到硬盘后必须输入加密盘密码加载加密盘才能看到其中的文件,就有效避免了重要文件泄密。
5) 软件下载
最好是到该软件官网下载,校验MD5值,避免出现捆马现象。
校验方法:1
certutil -hashfile 文件名 MD5
6) 软件更新
弹出更新框,关掉,去官网下载新版进行安装。
7) 数据备份
- 个人电脑上的重要数据要定期备份到服务器或移动硬盘
- 备份时注意数据要加密,建议使用加密盘,备份整个加密盘原始文件
8) 邮箱
工作邮箱文件及时删除(前提是备份好文件)
9) 桌面安全
同事之间工作内容、工作性质不同,有权知晓的信息内容、信息密级也有所不同。离开电脑时记得锁屏,快捷键为Win+L
桌面文件不可以存在敏感文件,敏感文件需要放在加密盘
0x03 网络
物理机脱网处理,虚拟机使用桥接模式,接入不同网卡 –> 网线。
加密盘放在物理机内,整盘加密或者部分文件加密都是选择对象。
文本文件处理都在隔断网络的物理机上,毕竟各种钓鱼。
1) WIFI安全
只能说,不是自己的WIFI就不要连接,毕竟、毕竟、毕竟只要是 WIFI 名字相同就能随意连接的年代,有点慌。
建议:
- 日常不用 WIFI 时关闭手机和笔记本的无线局域网功能,以防止自动连接恶意 WIFI ;
- 当手机或笔记本连接上 WIFI 后,留意连接到的 WIFI 热点名称
3) 强制通过VPN上网,VPN断线就断网
部分工作机是需要这样的机制,至于为什么,嗯。
https://www.t00ls.net/thread-38739-1-1.html
https://www.t00ls.net/viewthread.php?tid=38860&extra=&page=1
待续…
