Изолировать (обезопасить) несколько загрузочных образов от нанесения вреда моему ПК

444
shannon

Можно ли защитить мой «голый металл» от компромисса, чтобы я мог быть уверен, что (например) восстановление образа системы VHDX каждый месяц будет держать меня в чистоте? Если так, то как?

Я строю довольно дорогой новый ПК. Я хотел бы максимально изолировать среду разработки и игры от встроенного программного обеспечения, особенно по соображениям безопасности (например, буткиты и руткиты встроенного ПО). Каждый день я больше беспокоюсь о доверии моему необходимому программному обеспечению.

Текущая конфигурация:

  • Среды: игра (Steam, Oculus) против разработки (Visual Studio)
  • Windows 10 Professional, несколько лицензий
  • Куплен новый упакованный установочный носитель ОС, чтобы убедиться, что он чистый
  • Запуск разработки с VHDX через Hyper-V
  • Игровая среда выигрывает от прямого GPU, поэтому менее полезна через Hyper-V
  • У меня включена безопасная загрузка
  • Система поддерживает TPM, желает установить и включить
  • Не использует BitLocker, но готов

Меня меньше заботят уязвимости одного экземпляра (например, взлом одного пароля к банковскому счету или вымывание некоторых графических процессоров сегодня), чем проблемы долгосрочного характера (например, буткит, который в течение следующих четырех лет жизни этого компьютера отдает все пароли изменения неэффективны или постоянно копают криптовалюту).

Желание изоляции также обусловлено обыденными соображениями производительности (например, отделение SQL Server от загрузчика Steam), но ястребиальным вниманием к запущенным процессам или просто с двойной загрузкой адресов.

Смежный вопрос: является ли двойная загрузка более безопасной, чем установка одной операционной системы? , поднимает, но не решает проблему долгосрочной угрозы. Кроме того, я считаю, что принятый ответ недооценивает ценность для злоумышленников компрометации большого количества непримечательных ПК и, следовательно, недооценивает вероятность того, что это произойдет.

0
Безопасная загрузка и шифрование FDE, реализованные в каждой виртуальной операционной системе, практически предотвратят 99% злонамеренных атак. * Между прочим, вы можете загружаться напрямую на виртуальные машины Hyper-V. * Вы не упоминаете процессор, но чтобы воспользоваться преимуществами загрузки на виртуальную машину и использовать подключенное оборудование, вам нужны специальные функции виртуализации. Что эти функции хорошо документированы. Конечно, то, как вы защищаете себя от руткитов и других вредоносных программ, не имеет ничего общего с виртуальными машинами и безопасной загрузкой, вы предотвращаете их с помощью поведения пользователя. Ramhound 6 лет назад 0
Спасибо Ramhound. Я понимаю (я думаю), что ваш комментарий означает, что FDE в разделах, относящихся к среде (OS / Data), защищает ОС друг от друга, в то время как Secure Boot обеспечивает безопасность среды, предшествующей ОС, таким образом, охватывая большинство векторов дисковых атак. Если это так, 1) необходим ли для этого TPM, и 2) создает ли загрузка VHDX дополнительные векторы? Наконец, я предполагаю, что вся моя система все еще будет уязвима для уязвимостей, подобных Спекуляции / Расплавлению? shannon 6 лет назад 0
Кроме того, я не хочу спорить, но мое поведение уже осторожно, и я говорю, что хочу пойти дальше. В этом смысл моего вопроса. Я ищу решения для дальнейшей защиты системы от руткитов и другого вредоносного программного обеспечения. Логически возможно, что такие инструменты существуют, и поэтому я спрашиваю, есть ли они. shannon 6 лет назад 0
Каждое действие по обеспечению безопасности предполагает баланс между удобством использования и безопасностью. Если вы хотите полностью обезопасить свой компьютер, оставьте его отключенным от сети и отключите питание на аппаратном уровне, но, конечно, это бесполезно, за исключением корневых центров сертификации, где вы время от времени включаете компьютер для обновления авторитетные сертификаты. Для компьютера ежедневного пользования вы должны принять определенный риск. Различные методы обеспечения безопасности компьютера для обычного использования хорошо известны, и вы просто должны признать, что они не идеальны. music2myear 6 лет назад 0
Спасибо music2myear, я понимаю ваш комментарий и, будучи 25-летним консультантом по информационным системам, знаком с маловероятностью получения всего, что мы хотим. Однако я также знаю, что с тех пор, как я в последний раз изучал основы безопасности вычислительных систем Intel, было представлено много технологий, связанных с этой темой (например, UEFI, TXT, SGX и т. Д.). Я думаю, что было бы справедливо сказать, что некоторые из этих технологий недостаточно известны относительно аудитории, которая будет искать здесь (в SuperUser) информацию. Я надеюсь, что другие желают расширить любые полезные связанные решения моего вопроса. shannon 6 лет назад 0
Вы абсолютно не упомянули о Spectre / Meltdown, но они были исправлены Microsoft для большинства продуктов Intel, выпущенных за последнее десятилетие. Если ваша уязвимость будет полностью зависеть от оборудования. Spectre / Meltdown требует, чтобы ваша система была заражена вредоносным программным обеспечением, и вне пределов доказательства зачатия не уверен, что вам следует беспокоиться об уязвимостях, подобных Spectre, поскольку, если вы не готовы ждать 18 месяцев, любое оборудование будет уязвимо. Даже если аппаратное обеспечение не является особо уязвимым, для решения этих инженерных задач потребуются десятилетия. Ramhound 6 лет назад 0
Спасибо, Ramhound, ты прав; Я не упомянул Призрак или Расплавление по имени в моем вопросе. У меня не было намерения конкретно обратиться к ним, предоставить исчерпывающий список всех прошлых и будущих уязвимостей или попросить найти решение для всех существующих или будущих уязвимостей. Я только спрашивал об этих уязвимостях, чтобы лучше понять ваш комментарий. shannon 6 лет назад 0

0 ответов на вопрос

Похожие вопросы