Isolieren Sie mehrere Boot-Images (sicher) vor Schäden am PC

484
shannon

Ist es möglich, mein Bare-Metal vor Kompromissen zu schützen, sodass ich ziemlich sicher sein kann, dass (z. B.) ein VHDX-System-Image jeden Monat wiederhergestellt wird? Wenn das so ist, wie?

Ich baue einen ziemlich teuren neuen PC. Ich möchte meine Entwicklungs- und Spielumgebungen vor allem aus Sicherheitsgründen (z. B. Bootkits und Firmware-Rootkits) so weit wie möglich von der Firmware isolieren. Ich mache mir jeden Tag mehr Sorgen, wenn ich meiner benötigten Software vertraue.

Aktuelle Konfiguration:

  • Umgebungen: Spiel (Steam, Oculus) vs. Entwicklung (Visual Studio)
  • Windows 10 Professional, mehrere Lizenzen
  • Erworbene, neu gepackte Betriebssystem-Installationsmedien, um sicherzustellen, dass sie sauber sind
  • Entwicklung von einem VHDX über Hyper-V ausführen
  • Die Spielumgebung profitiert von einer direkten GPU, die über Hyper-V weniger nützlich ist
  • Ich habe Secure Boot aktiviert
  • Das System unterstützt TPM, das bereit ist zu installieren und zu aktivieren
  • Nicht mit BitLocker, aber bereit

Es geht mir weniger um Single-Instance-Schwachstellen (z. B. das Kompromittieren eines Kontos eines Bankkontos oder das Auswaschen einiger GPUs heute) als um langfristige Probleme (z. B. ein Bootkit, das in den nächsten vier Lebensjahren dieses PCs alle Passwörter wiedergibt.) Änderungen unwirksam oder mines Kryptowährung mines)

Der Isolationswunsch ist auch aus banalen Leistungsgründen (z. B. getrennter SQL Server vom Steam-Downloader), aber hawkähnliche Aufmerksamkeit auf laufende Prozesse oder einfach auf Dual-Boot-Adressen gerichtet.

Eine verwandte Frage: Ist Dual-Booting sicherer als die Installation eines einzelnen Betriebssystems? , wirft auf, löst jedoch nicht die langfristige Bedrohung. Ich habe außerdem das Gefühl, dass die akzeptierte Antwort den Wert von Angreifern für die Beeinträchtigung einer großen Anzahl von unauffälligen PCs unterschätzt und somit die Wahrscheinlichkeit, dass dies geschieht, unterschätzt.

0
Sicherer Start und FDE-Verschlüsselung, die in jedem virtuellen Betriebssystem implementiert sind, würden praktisch 99% böswilliger Angriffe verhindern. * Sie können übrigens direkt von virtuellen Hyper-V-Maschinen aus booten. * Sie erwähnen nicht den Prozessor, aber um das Booten auf einer virtuellen Maschine zu nutzen und die angeschlossene Hardware zu verwenden, benötigen Sie bestimmte Virtualisierungsfunktionen. Was sind diese Funktionen gut dokumentiert. Wie Sie sich vor Rootkit und anderer schädlicher Software schützen, hat natürlich nichts mit VMs und Secure Boot zu tun. Sie verhindern dies durch das Benutzerverhalten. Ramhound vor 5 Jahren 0
Danke, Ramhound. Ich verstehe (ich glaube) Ihren Kommentar, der besagt, dass FDE bei umweltspezifischen Partitionen (Betriebssystem / Daten) die Betriebssysteme voneinander absichert, während Secure Boot die Umgebung vor Betriebssystemen schützt und somit die meisten Angriffsvektoren für Festplatten abdeckt. Wenn ja, 1) ist TPM dafür erforderlich, und 2) erstellt das Booten einer VHDX zusätzliche Vektoren? Schließlich gehe ich davon aus, dass mein gesamtes System immer noch anfällig für Spectre / Meltdown-ähnliche Sicherheitsanfälligkeiten ist. shannon vor 5 Jahren 0
Ich möchte auch nicht streitsüchtig sein, aber mein Verhalten ist bereits vorsichtig, und ich sage, dass ich noch weiter gehen möchte. Das ist der Punkt meiner Frage. Ich suche nach Lösungen, um ein System weiter vor Rootkits und anderer schädlicher Software zu schützen. Es ist logisch möglich, dass solche Werkzeuge existieren, und ich frage sie, ob sie vorhanden sind. shannon vor 5 Jahren 0
Jede Sicherheitsmaßnahme beinhaltet ein Gleichgewicht zwischen Benutzerfreundlichkeit und Sicherheit. Wenn Sie Ihren Computer vollständig absichern möchten, lassen Sie ihn von jedem Netzwerk aus lückenlos abschalten und auf Hardwareebene ausschalten. Dies ist jedoch natürlich nicht nützlich, außer bei Stammzertifizierungsstellen, bei denen Sie den Computer gelegentlich zum Aktualisieren ausschalten maßgebliche Zertifikate. Für einen täglich verwendbaren Computer müssen Sie ein gewisses Risiko eingehen. Die verschiedenen Methoden zur Sicherung eines Computers für den normalen Gebrauch sind allgemein bekannt, und Sie müssen nur akzeptieren, dass sie nicht perfekt sind. music2myear vor 5 Jahren 0
Vielen Dank an music2myear. Ich verstehe Ihren Kommentar. Da ich seit 25 Jahren Berater für Informationssysteme bin, kenne ich die Unwahrscheinlichkeit, alles zu haben, was wir wünschen. Ich weiß jedoch auch, dass seit ich die grundlegende Sicherheit von Intel-Computersystemen zuletzt untersucht habe, viele mit diesem Thema verbundene Technologien eingeführt wurden (z. B. UEFI, TXT, SGX usw.). Ich denke, es ist richtig zu sagen, dass einige dieser Technologien im Verhältnis zum Publikum, das hier (auf SuperUser) nach Informationen sucht, nicht gut bekannt sind. Ich hoffe, dass andere bereit sind, hilfreiche verwandte Lösungen für meine Frage zu erweitern. shannon vor 5 Jahren 0
Sie haben absolut nichts von Spectre / Meltdown erwähnt, aber diese wurden von Microsoft für die Mehrheit der Intel-Produkte des letzten Jahrzehnts gepatcht. Ob Ihre Schwachstelle völlig von der Hardware abhängt. Specter / Meltdown setzt voraus, dass Ihr System mit bösartiger Software infiziert ist und sich außerhalb des Konzepts für den Nachweis der Konzeptsicherheit nicht sicher ist, dass Sie sich um Specter-ähnliche Schwachstellen sorgen sollten, da Ihre Hardware sonst 18 Monate warten muss. Selbst wenn Hardware nicht besonders anfällig ist, dauert es jahrzehntelang, bis die technischen Probleme gelöst sind. Ramhound vor 5 Jahren 0
Danke, Ramhound, du hast recht. Ich habe Specter oder Meltdown in meiner Frage nicht namentlich erwähnt. Es war nicht meine Absicht, diese spezifisch anzusprechen, eine umfassende Liste aller vergangenen und zukünftigen Schwachstellen bereitzustellen oder nach einer Lösung für alle gegenwärtigen oder zukünftigen Schwachstellen zu fragen. Ich habe nur nach diesen Schwachstellen gefragt, um Ihren Kommentar besser zu verstehen. shannon vor 5 Jahren 0

0 Antworten auf die Frage

Verwandte Probleme