Gearlight-Labs/PrivacyWarden

# PrivacyWarden [](LICENSE) [](https://privwarden.org) [](https://privwarden.org) [](https://privwarden.org) [](CHANGELOG.md) [](collections/windows.yaml) **由 Aya Yoki (AyaYokiVT) 制作 — [Gearlight Labs](https://github.com/Gearlight-Labs)** ## 这是什么？ 我制作 PrivacyWarden 是因为我找到的每一份“Windows 加固指南”都是为 IT 管理员编写的，而不是为那些向数千人直播、并且其真实姓名和城市信息在 Discord 私信中到处流传的人编写的。 当你是一名 streamer 或 VTuber 时，威胁模型是不同的。你担心的不是国家级行为者。你担心的是你聊天室里的人扔出一个 IP 抓取链接、一个附带 RAT 的虚假品牌赞助，或者一个跟踪狂通过直播元数据拼凑出你的位置。通用的加固指南并不涵盖这些。但这份指南涵盖了。 **工作原理：** 前往 [privwarden.org](https://privwarden.org)，选择一个适合你情况的配置文件，下载一个 PowerShell 脚本，并以管理员身份运行它。就这样。脚本代码直接来自本仓库的 [`collections/windows.yaml`](collections/windows.yaml) ——没有任何隐藏内容。 ## 快速开始 ### 选项 1：网站（最简单） 1. 前往 **[privwarden.org](https://privwarden.org)** 2. 选择一个配置文件——如果你清楚自己在做什么，也可以逐步执行各个步骤 3. 选择 Apply、Audit 或 Undo 4. 下载脚本并以管理员身份运行 ### 选项 2：直接运行 ``` # 运行标准配置文件 — 在运行时从 GitHub 获取最新的 YAML irm https://raw.githubusercontent.com/Gearlight-Labs/PrivacyWarden/main/scripts/Setup-PrivacyWarden-Hardening.ps1 | iex ``` ### 选项 3：克隆到本地运行 ``` git clone https://github.com/Gearlight-Labs/PrivacyWarden.git cd PrivacyWarden .\scripts\Setup-PrivacyWarden-Hardening.ps1 -Local ``` ## 涵盖范围 | 类别 | 步骤 | 实际作用 | |---|---|---| | 网络隐私 | NET01–NET11 | 禁用 LLMNR、NetBIOS、WPAD、IPv6 隧道，强制使用 Quad9 DNS | | 遥感与隐私 | TEL01–TEL09 | 禁用 DiagTrack、Advertising ID、Cortana、Recall AI、遥测任务 | | 系统核心 | SYS01–05, SYS08–09, SYS11 | ASLR/DEP, SEHOP, LSA 保护, SMBv1, UAC, ASR 规则, 剪贴板历史记录, 远程协助 | | 恶意软件防护 | MAL01–MAL08 | WSH, AutoRun, 危险文件扩展名, Office 宏, Defender 加固 | | OBS 与 Streamlabs | OBS01–03, OBS05 | 加固 OBS 设置和 Streamlabs 配置 | | Discord 安全 | DIS01–07 | 加固 Discord 隐私、安全设置和应用程序权限 | | 浏览器加固 | BRW01–05 | 收紧浏览器安全设置和跟踪保护 | | 高级加固 | ADV01–ADV11 | 受控文件夹访问, 远程注册表, WinRM, RDP, 打印后台处理服务, HVCI | | 威胁拦截 | THR01–THR12 | IP 抓取器, KiwiFarms 镜像, 人肉搜索网站, 监控软件 C2 域名 | | IRL 直播 | IRL01–IRL07 | 定位服务, EXIF 剥离, 网络发现, Wi-Fi 暴露, 直播密钥缓存 | **总计：81 个步骤。** ## 配置文件 选择一个适合你的。不要全选。 | 配置文件 | 步骤 | 适用人群 | |---|---|---| | 推荐 | 50 | 适合大多数人的良好起点 | | Streamer | 70 | 活跃的 streamer——不会破坏 OBS 或直播工具 | | VTuber 游戏玩家 | 70 | 也玩游戏的 VTuber——涵盖 Discord, 浏览器, 身份, 反作弊安全 | | IRL Streamer | 77 | IRL/户外 streamer——增加定位、Wi-Fi、EXIF 和直播密钥保护 | | 竞技玩家 | 60 | 竞技类游戏玩家——反作弊安全，与 Gaming 配置文件不同，保持 HVCI 开启 | | 极度偏执 | 73 | 除 IRL 特定步骤外的所有内容。兼容虚拟机——请先在 VirtualBox, VMware 或 Hyper-V 中测试。注意：HVCI (ADV11) 需要嵌套虚拟化——在 Hyper-V 中有效，在 VMware 中部分有效，VirtualBox 不支持。 | | 网络与隐私 | 19 | 仅包含网络和遥测步骤 | | 游戏玩家 | 59 | 反作弊安全——见下文 | | 最小化 | 7 | 绝对的最低限度——仅包含最关键的步骤 | ## Gaming 配置文件 (反作弊安全) Gaming 配置文件跳过了已知会与反作弊软件或直播工具冲突的步骤。其他所有内容（59 个步骤）仍然适用。 ### 兼容 | 反作弊 | 游戏 | |---|---| | Easy Anti-Cheat (EAC) | Fortnite, Apex Legends, Rust, Dead by Daylight, 200+ 其他游戏 | | BattlEye | PUBG, Rainbow Six Siege, DayZ, Arma 3 | | GameGuard | MapleStory, Phantasy Star Online 2 | | HoYoKProtect | Genshin Impact, Honkai: Star Rail, Zenless Zone Zero | | Vanguard | Valorant | | FACEIT | CS2 on FACEIT | ### 跳过内容及原因 Gaming 配置文件排除了 OBS/Discord 应用程序步骤（因为每个人的游戏设置各不相同）、IRL 步骤（不相关），以及以下对反作弊敏感的步骤： | 步骤 | 名称 | 原因 | |---|---|---| | ADV01 | 受控文件夹访问 | 会阻止游戏存档文件和着色器缓存——可能导致反作弊验证失败 | | ADV05 | 禁用打印后台处理服务 | 某些反作弊驱动程序需要它 | | ADV11 | 启用 HVCI / 内存完整性 | 可能与较旧的反作弊内核驱动程序冲突 | | MAL08 | 禁用 DCOM | Vanguard 和其他一些反作弊系统需要它 | | SYS08 | 禁用剪贴板历史记录 | 与某些游戏覆盖层剪贴板集成冲突 | 如果在应用 Gaming 配置文件后游戏仍然无法启动，请运行 Audit 模式以确定是哪个步骤导致了冲突。 ## 执行模式 ``` .\Setup-PrivacyWarden-Hardening.ps1 # Apply (interactive menu) .\Setup-PrivacyWarden-Hardening.ps1 -Profile recommended # Apply a specific profile .\Setup-PrivacyWarden-Hardening.ps1 -Profile gaming # Apply gaming profile .\Setup-PrivacyWarden-Hardening.ps1 -Check # Audit — no changes .\Setup-PrivacyWarden-Hardening.ps1 -Undo # Undo everything .\Setup-PrivacyWarden-Hardening.ps1 -Local # Use local YAML (offline) ``` Undo 模式会将每个注册表项、服务和策略更改还原为 Windows 默认设置。这并不完美——如果在 Apply 和 Undo 之间有其他程序更改了你的系统，它无法处理这些情况。 ## YAML 的工作原理 [`collections/windows.yaml`](collections/windows.yaml) 中的每个步骤都有三个代码块： ``` - id: NET01 name: "Disable LLMNR" description: "Stops LLMNR broadcast queries that can be used to capture credentials on shared networks." phase: network recommend: standard code: | # PowerShell to apply this step checkCode: | # PowerShell to verify this step (read-only) revertCode: | # PowerShell to undo this step ``` 网站会在运行时读取此文件并据此生成你的脚本。当你直接运行它时，PS1 包装器也会执行相同的操作。脚本本身没有任何硬编码内容。 想要添加步骤？编辑 YAML 并提交 PR。请参阅 [CONTRIBUTING.md](docs/CONTRIBUTING.md)。 ## 仓库结构 ``` collections/ windows.yaml ← All 81 hardening steps docs/ USER_GUIDE.md FAQ.md SECURITY.md CONTRIBUTING.md scripts/ Setup-PrivacyWarden-Hardening.ps1 ← YAML-driven wrapper src/ PrivacyWarden/ ← C# tray app (Mullvad VPN auto-switcher, companion tool) ``` ## 安全与隐私 不收集数据。没有账户。无遥测。脚本是在你的浏览器中根据本仓库中的 YAML 生成的。运行 `-Check` 可在不进行任何更改的情况下进行审核。运行 `-Undo` 可进行还原。该集合在加载前会进行完整性验证——如果在传输过程中被篡改，网站将拒绝使用它。 网站本身也进行了加固——严格的内容安全策略、完整的跨源隔离，以及一个 `Integrity-Policy` 标头，用于阻止任何不带有已验证哈希值的外部脚本或样式表。实际上没有任何外部内容需要拦截，因为一切都是自托管的，但该标头的存在可以确保它始终保持这种状态。 详情请见 [SECURITY.md](docs/SECURITY.md)。 ## 问题 提交一个 [GitHub issue](https://github.com/Gearlight-Labs/PrivacyWarden/issues) 或发送邮件至 gearlightlabs@gmail.com。 **集合 v3.8.0 · 81 个步骤 · 由 Aya Yoki (AyaYokiVT) 制作 · [@AyaYokiVT](https://twitter.com/AyaYokiVT)** [MIT License](LICENSE)

标签：AI合规, GitHub Advanced Security, IPv6, PowerShell, 主播防开盒, 安全加固, 系统配置, 网络安全, 隐私保护