我建议使用 VirtualPC 在 Win7 中运行 Win7，并在浏览前后恢复到原始快照。我使用 EMET 进一步锁定 Win7，CIS 基准测试也值得研究。将 BitLocker 与 TPM 芯片组板一起使用不仅有利于机密性（使用全磁盘加密），而且有利于文件完整性。

没有安装 Flash、Silverlight 或 Java 并运行 NoScript（但已调整）的 Firefox 在您将要浏览的时间段内运行良好。如果您要运行 Flash（例如 YouTube 或 Flash 电影）或 Java 小程序，请打开 Chrome，观看它，然后关闭所有实例。您可能应该在浏览器、浏览器插件和常见的系统托管代码 VM（例如 JVM、Flash 引擎和 .NET CLR）上使用文件完整性监控。

如果您有工作连接，请避免使用 VPN，而是使用仅 SSL 的 Outlook Anywhere（不是 OWA），在邮件级别使用 S/MIME 加密，并将 OST 存储在 BitLocker、Truecrypt 或类似卷上。除非您是系统管理员并且经常执行需要 VPN 的任务，否则请不要登录。如果您从不使用 VPN，对您和每个人都会更安全。如果您确实需要，我可能会建议创建一个特殊的 VM 来宾或专门用于 VPN 的笔记本电脑。与商业产品相比，带有客户端证书的 OpenVPN 可能是一个相当不错的 VPN 解决方案，商业产品同样糟糕，并且促进了安全性。

防病毒代理是浪费时间/资源（并且可能会使您的安全性降低），但偶尔使用外部扫描仪扫描 VM 来宾或主机操作系统可能是个好主意，而赛门铁克对于这个目的，尽管我看到的一些信息让我相信卡巴斯基、Avira、NOD32、Gdata 和 Sophos 有时更胜一筹（请参阅http://av-comparatives.org）。这里也有很多安全剧院。

这对于移动安全来说听起来真的很疯狂，但我想我建议买一个（非 GSM，非 iDEN）黑莓，但用 BES Express 设置你自己的 Windows SBS 机器（所有这些都带有 CIS-benchmark/etc 强化指南删除黑莓离线备份等内容）。最好不要在 BES 服务器或 Blackberry 上使用您的真实姓名，并且尽可能地以某种方式掩盖您所有联系人的真实姓名（名字，姓氏的首字母都可以，对吗？）。这里的替代方案是使用 CIS 基准测试和内置 iOS 全盘加密、S/MIME 用于邮件、不要使用完整实名等的 iPhone 3GS，但请注意，与 GSM 网络相比，GSM 网络相当不安全，美国 Sprint 或 Verizon 的网络。如果您将 iPhone 与 iTunes 同步，