首先要有一個觀念
不要認為任何一個防護機制都是妥當的
絕對要有備案

我建議至少要有這幾個要件

1. 備份
本地至少一份，遠端也至少一份

2. 至少win7以上的windows x64
先天防護效果win8以上強過win7太多了
ASLR, DEP跟UAC效果也有明顯差別

3. 防毒軟體
如果你堅持內建windows defender不夠的話
建議使用KIS, CIS, sandboxie, defensewall
防毒軟體被針對是有可能的
所以你需要其他備案

看是要防毒軟體搭配額外sandbox
還是防毒軟體搭影子系統
不建議兩套以上防毒軟體
因為會有SSDT hook衝突問題
有時候表面上相安無事
但有些功能其實已經工作不正常

或者是防毒軟體搭sandbox
我個人是推薦defensewall
比sandboxie更強的防護
它的組策略防護效果
比sandboxie能防更多的威脅
不過如果你只要防加密勒索行為
sandboxie其實也夠了