我已经阅读了很多文章,这些文章讨论了对于更多注意点击和下载内容的中级 PC 用户来说,使用 AV 比不使用 AV 更不安全。
例如,这里有几篇文章:
我还读到,当 AV 自动扫描您刚刚下载的可执行文件时,黑客可能会滥用 AV 扫描中的漏洞并在您不运行它的情况下执行它。最重要的是,您仍然必须信任 AV,它可以访问您的 PC 并为您拦截网络流量,甚至可能收集有关您不知道的事物的数据。
所以我想知道有什么更好的方法可以让我的 PC 保持安全,而无需依赖一些沉重的自动 AV 软件?到目前为止,我能想到一些事情(但做这些事情实际上会比拥有 AV 更安全吗?):
防病毒软件更加危险,因为它会在高度特权的上下文中解析复杂的攻击者控制的数据。这是特权升级漏洞的秘诀。因此,老练的攻击者经常可以滥用防病毒程序来获得系统权限。这不是罕见的事件,也不是只有强大政府的敌人才会遇到的问题。反病毒软件充斥着提权漏洞。快速查看任何流行软件的CVE列表中漏洞的严重性,至少可以对问题的范围有一点了解。
有必要了解您自己的威胁模型。一个人的情况可能表明 AV 是有害的,而另一个人的情况可能表明它是有益的。能够了解适用于您的风险以及您所拥有的对手对于能够做出任何与安全相关的决定至关重要,尤其是那些不一定非黑即白的决定。
AV 在以下情况下可能是有益的:
计算机被很容易被骗安装恶意软件的人使用。
计算机将处理用户提交的数据,这些数据可能会重新分发给其他人。
你下载了很多不可信的程序,比如warez。
在以下情况下,AV 可能有害:
你的对手至少是中等老练的,或者特别针对你。
您是您计算机的唯一用户,请勿下载未签名的程序。
您使您的软件保持最新状态,并且不希望人们在您身上刻录 0days。
您的威胁模型决定了您是否应该使用反病毒软件。我个人的建议是,假设您不打算下载随机的 dolphin 屏幕保护程序并且您的软件是最新的,您可能想要使用一个简单的默认程序,例如 Windows Defender,并且仅在您明确需要时才使用它。每次您要求它扫描硬盘驱动器时,您都相信它不会受到它可能偶然发现的任何特制恶意软件的危害。相反,如果您在执行之前针对您下载的特定程序时使用它,则可以大大降低风险。
如果您不需要下载不受信任的软件,而是只使用来自官方来源的受信任、签名的可执行文件,那将是更好的选择。这对于希望以管理员身份运行的文件尤其重要,因为这些文件最有可能损坏您的安装。确保他们签名!永远不要假设你自己的意志力足以防止你在运行新程序时出错。这就是木马开发者所依赖的!
为了进一步减少意外运行未签名或不可信的可执行文件的机会,您可以配置安全策略,使未签名的可执行文件无法运行。这将确保任何恶意软件都需要具有由受信任的 CA 签名的有效签名。虽然签署恶意文件显然是可能的,但要困难得多,如果您是特定目标而不仅仅是机会主义受害者,这往往会成为一个更大的问题。
如果您进一步限制该策略,只允许由 Microsoft 自己签名的可执行文件(而不仅仅是 Microsoft 信任的 CA),您可以有效地消除任何感染木马的可能性。在这种情况下,让程序执行的唯一方法是利用操作系统中的 0day,或破坏 Microsoft 的内部签名密钥(这些都属于高级国家支持的参与者的能力范围)。这有助于防止恶意代码进入受信任开发人员的存储库的罕见(但并非不存在)情况。
在 Windows 10 之前的系统上,您可以使用增强的缓解体验工具包 (EMET)来增强系统的安全性,而不会显着增加攻击面,但请注意,EMET 将不会在更长时间内接收更新。EMET 的工作原理是向进程注入代码,使它们免受利用,从而增加利用尝试导致目标应用程序崩溃而不是被成功利用的机会。如果您使用的是 Windows 10,则这些安全功能中的大部分将本机存在。这使其成为迄今为止最安全的 Windows 版本,尽管它可能存在潜在的隐私问题。
您还可以禁用不必要的服务(尤其是网络服务,例如EternalBlue所利用的服务),使用AppLocker并阅读 Microsoft 提供的安全指南,以进一步提高系统的安全性。系统强化的主题非常广泛。
这更多的是意见而不是事实,但答案是肯定的“也许!”
让我们暂时将范围缩小到 Windows,因为它是最大的反病毒市场。
Windows Defender(默认的 Microsoft AV)相当不错;Windows Defender 确实可以抵御大多数(但不是全部!)威胁。但事情是这样的——没有 AV 可以抵御所有威胁。您仍然必须依靠常识和其他一些保护措施。
去年,我们看到卡巴斯基的文件上传功能被俄罗斯政府黑客滥用,虽然这是一个很少有人会成为受害者的威胁行为者,但它仍在发生。
今年,我们看到一些 AV 确实弄乱了为 Meltdown 和 Spectre 打补丁的 Windows 更新。
这种废话“可能”不会来自 Windows Defender,因为他们可以用他们的 AV 测试他们的操作系统并确保一切正常(希望如此!)。
但是,使用 Windows Defender 并不是最终的解决方案,您仍然应该:
备份,备份,我忘了告诉你备份!勒索软件仍然很常见,拥有良好的备份策略是避免成为受害者的唯一真正方法。备份到异地位置,一个带有版本控制的位置——我使用 Dropbox!正确执行此操作,以使勒索软件也不会加密您的备份。
确保你的软件是最新的,不要安装太多垃圾。您机器上的应用程序越多,其中一个就越有可能出错。在您拿到笔记本电脑时立即刷新 Windows,删除所有过时的软件,并确保您下载的所有内容都处于自动更新状态——也不从狡猾的供应商处下载软件也是一个好的开始。
为您的浏览器使用 NoScript/Ad Blocker,在 Javascript 上运行的加密矿工赚的钱并不像您预期的那样多,但它们仍然存在。
EMET 会很好,Windows Defender 也是如此。
我有没有提到备份!
使用非管理员用户作为您的默认用户——创建一个单独的非管理员用户,并将其用于日常使用。
不过为了绝对安全——断开您的计算机与互联网的连接,然后躲在山洞里!:)
作为一个经常反对 AV 的人,我可以说他们都很糟糕。很多事情取决于安全水平与您可以生活的舒适程度。
知识就是力量 我推荐的第一个工具是教育。知道你去的网站是一个很大的帮手。避免不受信任的网站。这包括流媒体网站和洪流。操作系统补丁是必须的,及时了解最新的威胁,禁用闪存。我强迫组织使用 noscript 等的问题是,用户最终只会点击全部启用。
使用保存状态的 VM 作为替代方案,我喜欢使用方便的 VM 来测试文件。您可以将大部分操作系统保留在 VM 中。我在一个我们都在虚拟机中工作的网络中工作,当它们起作用时,单击恢复并完成。
Deepfreeze 多年前 我在我们的大学使用过deepfreeze ,效果非常好。您只需设置它,您的操作系统每次都会恢复到原始状态。我启动了 petya 蠕虫,让它加密磁盘并重新启动机器,但什么也没有。优秀的工具!
单独的网络 在家里,我为“客人”保留单独的网络。他们可以带来他们的东西,我不必担心它会进入我的网络部分。
拥有更安全的操作系统 我真的不喜欢使用 Windows,因为我觉得它可以立即执行所有操作。这显然不是完美的,因为 OSX 和 Linux 一直被黑客入侵,但我觉得拥有一些你可以控制的东西很好。您可以禁用宏,并且仍然可以从那里的一些漏洞中获取代码执行。
当他们想到时,我会添加更多。
归根结底,没有什么是完美的。但这些东西可以提供帮助。
防病毒软件很好 - 它是“我们所拥有的”
只是不要指望它能保护你免受一切伤害——什么都不会。否则,如果你想在没有 AV 的情况下保护自己,你将不得不跳过很多圈来强化你的机器。