是否有可能保护我的裸机免受攻击,以便我可以相当有信心(例如)每月恢复 VHDX 系统映像可以让我保持干净?如果可以,怎么做?
我正在组装一台相当昂贵的新电脑。我希望尽可能地将我的开发和游戏环境与固件隔离,尤其是出于安全原因(例如 bootkit 和固件 rootkit)。我每天都在担心我所需的软件是否值得信任。
当前配置:
- 环境:游戏(Steam、Oculus)与开发(Visual Studio)
- Windows 10 专业版,多个许可证
- 购买新包装的操作系统安装介质以确保其干净
- 通过 Hyper-V 从 VHDX 运行开发
- 游戏环境受益于直接 GPU,因此通过 Hyper-V 用处较小
- 我已启用安全启动
- 系统支持 TPM,愿意安装并启用
- 不使用 BitLocker,但愿意
我更关心的是长期问题(例如,一个启动套件,在该 PC 的未来四年内,会导致所有密码更改无效,或持续挖掘加密货币),而不是单实例漏洞(例如,泄露一个银行帐户密码,或今天窃取一些 GPU)。
隔离的愿望也是出于普通的性能原因(例如将 SQL Server 与 Steam 下载器分开),但对正在运行的进程的密切关注或简单的双启动可以解决这个问题。
相关问题,双启动比安装单操作系统更安全吗?,提出了但并未解决长期威胁问题。此外,我认为公认的答案低估了入侵大量不起眼的 PC 对攻击者的价值,因此低估了这种情况发生的可能性。