Birden çok önyükleme görüntüsünün bilgisayarıma zarar vermesini önle (güvenli)


0

Çıplak metalimi tehlikeden korumak mümkün mü, böylece VHDX sistem imajını her ay geri getirdiğimden (örneğin) her zaman temiz kalmam konusunda oldukça emin olabilir miyim? Öyleyse nasıl?

Oldukça pahalı yeni bir bilgisayar yapıyorum. Geliştirme ve oyun ortamlarımı özellikle güvenlik nedeniyle (örn. Bootkits ve firmware rootkit'leri) bellenimden mümkün olduğunca ayırmak istiyorum. Her gün, gerekli yazılımıma güvenmek konusunda daha fazla endişeleniyorum.

Geçerli yapılandırma:

  • Ortamlar: Oyun (Steam, Oculus) ve Geliştirme (Visual Studio)
  • Windows 10 Professional, birden fazla lisans
  • Temiz olduğundan emin olmak için yeni paketlenmiş işletim sistemi kurulum medyası satın alındı
  • Hyper-V üzerinden bir VHDX'ten geliştirme çalıştırılması
  • Oyun ortamı doğrudan GPU'dan yararlanır, Hyper-V ile daha az kullanışlı
  • Güvenli Önyükleme etkin
  • Sistem kurulumu ve etkinleştirmeye istekli TPM'yi destekliyor
  • BitLocker'ı kullanmıyor, ancak istekli

Uzun vadeli meseleler (örneğin, bir banka hesabı şifresinden ödün vermek veya bugün bazı GPU'lardan çıkmak) gibi tek örnek güvenlik açıklarını daha az umursuyorum (örneğin, bu bilgisayarın ömrünün dört yıl boyunca tüm şifresini veren bir bootkit) etkisiz olarak değişir veya sürekli olarak şifreleme para birimini mayınlar).

Yalıtım isteği ayrıca sıradan performans nedenlerinden dolayıdır (örneğin, Steam indiricisinden ayrı SQL Server), ancak çalışan işlemlere veya sadece çift önyüklemeli adreslere şahit oluncaya dikkat edin.

İlgili bir soru: İkili önyükleme, tek bir işletim sistemine sahip olmaktan daha mı güvenlidir? , uzun vadeli tehdit endişesini arttırıyor ancak çözemiyor. Ek olarak, kabul edilen cevabın, büyük miktarda dikkate alınamayan PC'den ödün vermeyen saldırganların değerini hafife aldığını ve bu nedenle de olma ihtimalini hafife aldığına inanıyorum.


Güvenli Önyükleme ve her sanal işletim sistemine uygulanan FDE şifreleme, kötü amaçlı saldırıların% 99'unu engeller. Bu arada doğrudan Hyper-V sanal makinelerine önyükleme yapabilirsiniz. İşlemciden hiç bahsetmiyorsunuz, ancak sanal bir makineye önyükleme yapmak ve ekli donanımı kullanmak için özel sanallaştırma özelliklerine ihtiyacınız var. Bu özelliklerin neler olduğu iyi belgelenmiştir. Elbette, kendinizi rootkit ve diğer zararlı yazılımlardan nasıl koruduğunuzun VM'ler ve Güvenli Önyükleme ile ilgisi yoktur, bunları kullanıcı davranışlarıyla önlersiniz.
Ramhound

Teşekkürler Ramhound. Çevreye özgü (OS / Veri) bölümlerde FDE'nin işletim sistemlerini güvende tutması anlamına gelirken Güvenli Önyükleme işletim sistemi öncesi ortamı güvende tutar, böylece çoğu disk saldırı vektörünü de kapsar. Eğer öyleyse, 1) bunun için TPM gerekli midir ve 2) bir VHDX’in başlatılması ek vektörler oluşturuyor mu? Son olarak, tüm sistemimin Spectre / Meltdown benzeri güvenlik açıklarına karşı hala savunmasız olacağını varsayıyorum?
shannon

Ayrıca tartışmacı olmak istemem, ama davranışım zaten temkinli ve daha ileri gitmek istediğimi söylüyorum. Sorum budur. Rootkitlerden ve diğer zararlı yazılımlardan kaynaklanan bir sistemi daha da sertleştirmek için çözümler arıyorum. Bu tür araçların olması mantıklı bir şekilde mümkün ve bu yüzden yapıp yapmadıklarını soruyorum.
shannon

Her güvenlik eylemi, kullanılabilirlik ve güvenlik arasında bir denge içerir. Bilgisayarınızı tamamen güvenceye almak istiyorsanız, herhangi bir ağdan hava açık kalmasını ve donanım düzeyinde kapatılmasını sağlar, ancak elbette bu bilgisayarı bir süre sonra yenilediğiniz Kök Sertifika Yetkilileri dışında yararlı değildir. yetkili sertifikalar. Günlük olarak kullanılabilir bir bilgisayar için belirli bir riski kabul etmeniz gerekir. Bir bilgisayarı normal kullanım için sabitlemenin çeşitli yöntemleri iyi bilinmektedir ve bunların mükemmel olmadığını kabul etmeniz gerekir.
music2myear

Teşekkür ederim music2myear, yorumunuzu anlıyorum ve 25 yıldır bilgi sistemleri danışmanı olmak, dilediğimiz her şeye sahip olmanın olanaksızlığını biliyorum. Bununla birlikte, temel Intel bilgi işlem sistemi güvenliğini en son çalıştığımdan beri, bu konuyla ilgili birçok teknolojinin (örneğin UEFI, TXT, SGX vb.) Tanıtıldığını da biliyorum. Bu teknolojilerden bazılarının burada (Süper Kullanıcı üzerinde) bilgi arayacak olan izleyicilere göre iyi bilinmediğini söylemenin adil olacağını düşünüyorum. Umarım diğerleri sorumla ilgili herhangi bir yararlı çözümü genişletmeye isteklidir.
shannon
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.