Frage:
Wäre eine VM wie Virtualbox meine beste Option für die tägliche Sicherheit während der Arbeit?
user151357
2017-06-21 09:36:22 UTC
view on stackexchange narkive permalink

Ich leite ein kleines Unternehmen von zu Hause aus und mache eigentlich nichts arbeitsintensives, keine Spiele und schneide keinen Code oder ähnliches. Vieles, was ich mache, ist telefonischer Verkauf, also greife ich im Grunde nur auf mein webbasiertes Google Mail-Konto für die Arbeit zu, sende PDF-Verträge zur elektronischen Signatur aus und speichere diese auf einem Cloud-basierten Laufwerk Leads usw.

Ich könnte wahrscheinlich mit einem Thin Client davonkommen, aber ich habe gerade einen billigen Laptop gekauft, und ich bin gespannt, ob ich hier auf dem richtigen Weg bin, wenn ich denke, dass Virtualbox für das tägliche Geschäft geeignet ist Meine beste Option für Sicherheit und Benutzerfreundlichkeit für nur einen Desktop unter Windows 10 (und wenn ja, sollte ich vielleicht ein leichteres Betriebssystem verwenden).

wovor willst du dich * vor * sichern?
Warum verwenden Sie Windows 10 nicht direkt so, wie es verwendet werden soll?
Vielleicht möchten Sie einen Blick auf [Qubes OS] werfen (https://en.wikipedia.org/wiki/Qubes_OS).Dieses Projekt enthält eine gute Dokumentation zum Aufteilen Ihrer Aufgaben in verschiedene VMs.
Außerdem können Sie in einer VM Snapshots erstellen, mit denen Sie den vorherigen Status wiederherstellen können und auf die vom Client-Betriebssystem aus nicht zugegriffen werden kann.
Verwenden Sie Programme, die Windows erfordern?
In unserer [Hilfe / zum Thema] heißt es: "Sicherheit ist ein sehr kontextbezogenes Thema: Bedrohungen, die in Ihrer Umgebung als wichtig erachtet werden, können für andere Personen keine Rolle spielen und umgekehrt. Versuchen Sie, etwas von globalem Wert vor Advanced Persistent zu schützenBedrohungen? Oder suchen Sie nach einem kostengünstigen Ansatz für ein unauffälliges kleines Unternehmen? Um die hilfreichsten Antworten zu erhalten, sollten Sie uns sagen: [...] wer verwendet den Vermögenswert, den Sie schützen möchten, und wen SieIch denke, ich möchte es missbrauchen (und warum), [...] "- siehe dort für ein vollständiges Zitat.Können Sie die Frage entsprechend bearbeiten?
Wenn jemand Ihre Browsing- / Lese-Tastatureingaben verfolgen möchte, sollte es keinen großen Unterschied zwischen nativem und virtuellem Betriebssystem geben.In der Tat, wenn eine Malware gut codiert ist, sollte es überhaupt keinen großen Unterschied geben.
Sechs antworten:
John Deters
2017-06-21 09:53:49 UTC
view on stackexchange narkive permalink

Wenn Sie dieselbe VM zum Durchsuchen, für Word-Dokumente und für E-Mails verwenden, setzen Sie alle Ihre Daten demselben Risiko aus.

Anstatt all diese Aktivitäten in der VM auszuführen, sollten Sie in Betracht ziehen, in der VM zu surfen und E-Mails zu versenden, aber die Vertragsarbeit und die Buchhaltung auf dem Host-Betriebssystem. Auf diese Weise ist der Angriff auf die VM beschränkt, wenn Sie Phishing bekommen, und kann keine wirklich bösen Dinge wie das Verschlüsseln Ihrer Dokumente und das Halten als Lösegeld tun.

Stellen Sie einfach sicher, dass Sie keine Ordner oder Laufwerke zwischen dem Host und der VM freigeben. Wenn Sie dies wirklich müssen, verwenden Sie es einfach als temporären Ordner (kopieren und verschieben).
Die Verwendung von E-Mail in VMs und Dokumentarbeiten auf dem Host ohne Dateifreigabe erscheint äußerst unpraktisch.
@zakinster und Sicherheit auf Kosten der Benutzerfreundlichkeit kosten oft Sicherheit?Soweit ich mich erinnere, so etwas.
Zusätzlich zu den Ratschlägen von John Deters sollten Sie direkt nach der Installation oder Aktualisierung auf den neuesten Patch einen Snapshot des Computers erstellen.Denken Sie daran, am Ende des Tages, am Ende der Woche oder kurz nachdem Sie etwas Verdächtiges getan haben, wie das Ausführen einer unbekannten Software oder den Besuch einer zwielichtigen Site, darauf zurückzugreifen.
Sind Sie sicher, dass Sie im zweiten Absatz * Phishing * meinen?Phishing ist ein Social-Engineering-Angriff.Dies ist eine der Bedrohungen, bei denen eine virtuelle Maschine * nicht * viel Schutz bietet.
@Philipp Wenn der Phishing-Angriff Sie dazu verleitet, eine zweifelhafte Datei herunterzuladen, die dann versucht, Ihr System als Lösegeld zu halten, wird die Gast-VM als Geisel und nicht als Host-VM gehalten.Wenn Sie sich jedoch auf einer gefälschten Website anmelden und Ihre Bankdaten eingeben, hilft dies nicht weiter;)
Ich wollte upvoten, aber dann erinnerte ich mich an [Makros in Windows] (https://security.stackexchange.com/q/98224/89949).In seiner VM tun sie möglicherweise nichts, aber in seinem Windows-Verwaltungskonto kann ein stiller "tödlicher" Streik verursacht werden.Bei Verwendung von [qubes (wie in einer anderen Antwort vorgeschlagen)] (https://security.stackexchange.com/a/162426/89949) würde es auch beim Öffnen eines einzelnen Dokuments eine "Office-App" -Virtualisierung geben, die dies angeblich nicht tun würdekann kein anderes Dokument beeinflussen.
@Armfoot, Es gibt viele Detailebenen, auf die ich mit dieser Antwort hätte eingehen können.Anstatt ihn zu bitten, drei VMs zu jonglieren, was zu einer komplexen, verwirrenden Benutzererfahrung für ihn führen würde, schlug ich eine einzelne VM für die Aktivitäten mit dem höchsten Risiko vor, die der Benutzer ausführt, und das Host-Betriebssystem, um die wichtigsten Daten mit dem größten Risiko zu isolierenVerlust.Es schien die einfachste Antwort zu sein, die ihm ein angemessenes Schutzniveau bieten und gleichzeitig eine praktikable Erfahrung bieten würde.
@Mołot Sie denken an [Avids Usability-Regel] (https://security.stackexchange.com/a/6116/46979).
Ich möchte hinzufügen, dass Microsoft kostenlose Betriebssystem-Images mit zu Testzwecken installierten Webbrowsern veröffentlicht.Sie können diese natürlich verwenden.
Übrigens könnte er Ordner freigeben, wenn die Ordner schreibgeschützt sind, nicht wahr?
@zakinster das ist SO nicht der Fall.Da beide Computer über einen Webzugriff verfügen, können Sie einen Cloud-Dienst verwenden, um Dateien zwischen ihnen zu synchronisieren.Wählen Sie einfach eine mit Versionskontrolle.Als zusätzlichen Bonus führen einige Cloud-Dienste Virenscans für hochgeladene Dateien durch.
@Mindwin Man könnte argumentieren, dass Cloud-Synchronisierung eine Art Dateifreigabe ist.Das Warten darauf, dass eine Datei in der Cloud synchronisiert und dann wieder mit der VM synchronisiert wird, bevor sie als E-Mail-Anhang verwendet wird, ist genau das, was ich als "höchst unpraktisch" bezeichne.
William Sandin
2017-06-21 10:01:47 UTC
view on stackexchange narkive permalink

Im Kontext eines Windows-Setups, eines Hypervisors wie VirtualBox, hilft VMware dabei, Ihren Gast vom Host zu isolieren (die Hauptinstallation Ihres Betriebssystems).

Dies ist ein rücksichtsvoller Schritt in Bezug auf die Sicherheit. Wenn Sie mit Aktivitäten oder Dateien / Software zu tun haben, bei denen das Risiko besteht, dass Ihre Daten gefährdet werden. Ein Beispiel wären Sicherheitsanalysten, die täglich Malware analysieren.

Wenn dies also Ihr Geschäftscomputer ist: Es könnte sinnvoll sein, eine Installation in einer virtuellen Maschine zu kapseln, wenn Sie jemals Kredite vergeben würden Ihr Computer, damit jemand ihn verwenden, nicht signierte Software oder Torrents herunterladen / installieren usw. Das Ausbrechen einer virtuellen Maschine erfordert einige hochentwickelte Angriffe und ist ein hoch angesehener Exploit auf dem 0-Tage-Markt.

Es ist der Gast, den Sie vom Host isolieren möchten und nicht umgekehrt.

Es gibt einige Betriebssysteme wie Qubes ( https://www.qubes-os.org/ ), der die App-Virtualisierung durchführt - was bedeutet, dass jede einzelne Anwendung in einer eigenen isolierten Instanz ausgeführt wird.

Nach Ihrer Beschreibung des täglichen Gebrauchs sind Sie ein Benutzer mit relativ geringem Risiko.

  • Öffnen Sie nur Dateien, E-Mails von vertrauenswürdigen Entitäten.

  • Verfügen Sie über eindeutige Kennwörter und ändern Sie diese dann regelmäßig. Überwachen Sie Lecks von gehackten Websites, auf denen Sie sich möglicherweise über haveibeenpwned.com registriert haben.

  • ​​Verwenden Sie immer die neueste Version Ihres Webbrowsers, Adobe PDF, Java und Flash, wenn Sie sie überhaupt benötigen.

  • Gehen Sie mit Browsererweiterungen konservativ um.

  • Installieren Sie keine nicht signierten, veralteten oder Raubkopien.

  • Aktivieren Sie die 2-Faktor-Authentifizierung für Ihre wichtigen Konten wie GMail, Facebook usw.

  • Verschlüsseln Ihre Backups, falls vorhanden ( pull ).

  • Überlegen Sie, wie Sie Ihre virtuellen Maschinen aufteilen möchten.

  • Konfigurieren Sie Ihre virtuellen Maschinen ohne oder mit eingeschränktem Zugriff auf Ordner usw. auf Ihrem Host-Computer.

  • In Windows gibt es eine Vielzahl von Software zum Härten, z. B. EMET ( The Enhanced Mitigation Experience Toolkit ), Microsoft Security Essentials und Windows Defender.

  • Wenn Sie eine Linux-basierte Installation in Ihrem virtuellen Computer ausführen, empfehlen wir Ihnen, eine unterstützte Version zu installieren und unbeaufsichtigte Sicherheitsupgrades zu aktivieren. Starten Sie den Server neu, wenn ein neuer Kernel installiert ist .

Diese Schritte verbessern die durchschnittliche Informationssicherheit der Benutzer erheblich.

HINWEIS: Vergessen Sie nicht, dass die virtuelle Maschine nur getrennt ist mildert bestimmte Bedrohungen und Angriffsmethoden. Es ist noch viel mehr zu berücksichtigen, um alle bewährten Sicherheitsmethoden zu implementieren.

Vielen Dank Jungs - ich habe mir nur qubes angesehen und ich denke wirklich, dass das für mich funktionieren könnte.Mein Problem ist, wenn ich nach Leads für kleine Unternehmen suche, gerate ich normalerweise in Adware, besonders wenn ich geistig müde bin.Ich suche also wirklich nur nach einer Möglichkeit, das Surfen so nahtlos wie möglich von allem anderen zu trennen.Nochmals vielen Dank tolle Vorschläge
Vorschlag für Ihren letzten Punkt bei Sicherungen: Stellen Sie sicher, dass Sie eine PULL-Sicherung auf einem System einrichten, das von selbst kopflos ausgeführt wird, und dass Ihr Hauptcomputer nicht darauf zugreifen kann, ohne dass Sie eine Aktion einleiten - einen SSH-Schlüssel oder ein Kennwort.
Sas3
2017-06-21 10:49:09 UTC
view on stackexchange narkive permalink

Die Verwendung von VMs als alleinige Sicherheitsmaßnahme reicht nicht aus. Für eine sicherheitsbewusste Person, die bereits andere Sicherheitshygien praktiziert, funktioniert die Verwendung von VMs für zusätzliche Sicherheit jedoch gut.

So verwende ich VirtualBox für den täglichen Routineeinsatz. Sie sollten Ihre Verwendung in Betracht ziehen und sie für Ihren Zweck anpassen.

  • Separate VMs für separate Zwecke. Beispielsweise werden Dokumente, die von externen Quellen empfangen / an externe Quellen gesendet werden, die ich herunterladen und verwenden muss, in eine VM übertragen. Online-Einkäufe und Banking in einer separaten temporären VM.
  • Es ist mühsam, VMs mit den neuesten Patches / Updates auf dem neuesten Stand zu halten. Um dies auf ein Minimum zu beschränken, verwende ich VM-Vorlagen - VMs, die ich nur zum Ausführen von Updates direkt verwende. Ich klone diese VMs bei Bedarf und verwende die Klone als temporäre VMs. Nach Gebrauch löschen (normalerweise 1 Stunde bis 1 Woche, nie länger).
  • Lassen Sie Anhänge und Dokumente so weit wie möglich online (z. B. verwenden Sie den PDF-Viewer / Dokument-Viewer im Browser von Chrome). Dies funktioniert, wenn Sie sich keine Sorgen über Dokumentlecks machen, aber Malware-Infektionen durch externe Dokumente vermeiden möchten.
  • Verwenden Sie die Browser-Plugins uBlock Origin und uMatrix auch innerhalb der VMs, um die Kontamination der VMs über die Browser-Route zu minimieren.
  • Eine VM, auf der die meisten "semi-parmanent angemeldeten Social Media-Konten" verwaltet werden. Recyceln Sie diese VM seltener als andere - etwa einmal im Monat. Seien Sie wegen des zusätzlichen Risikos besonders aufmerksam.
  • Richten Sie freigegebene Ordner ein, um sicherzustellen, dass die erforderlichen Dateien in jeder VM verfügbar sind, aber beschränken Sie den Zugriff auf ein Minimum (nur das spezifische Verzeichnis, das benötigt wird). Im Laufe der Zeit fällt dies in ein Muster und wird überschaubar. Zuerst ist es ein Schmerz.
  • Auf dem Host-Computer gibt es überhaupt keine Arbeit. Die Idee ist, den Host mit dem geringsten Risiko von allen zu halten. Wenn das weg ist, ist alles weg.

Hoffe, das hilft.

Wenn Sie befürchten, dass eine schädliche PDF-Datei Ihren Leser gefährden könnte, warum ist es Ihrer Meinung nach sicher, sie mit einem Browser zu öffnen?
Guter Punkt.Exploits sind normalerweise softwarespezifisch.Wenn der PDF-Reader des Browsers als Ziel ausgewählt ist, funktioniert der Ansatz nicht.Wenn Chrome (und andere Browser) ihr Sandboxing jedoch gut implementieren, gibt es immer noch diese zusätzliche Ebene.
Zu Ihrer Information, PDF-Reader verwenden auch [Sandboxing] (https://www.adobe.com/devnet-docs/acrobatetk/tools/AppSec/protectedmode.html).
@DmitryGrigoryev Adobe Reader hat den langjährigen und wohlverdienten Ruf, sehr unsicher zu sein, ohne dass Adobe Bedenken hat.Chrome enthält einen gehärteten PDF-Reader in einer Sandbox-Umgebung, die sehr geschätzt wird.Viele Online-Cloud-Dienste zeigen auch PDFs an, die in Bilder konvertiert wurden.
@BaileyS Stimmt, aber in der Praxis ist die scheinbare Sicherheit umgekehrt proportional zur SW-Popularität.Wenn Adobe behauptet, eine Sandbox hinzugefügt zu haben, sehe ich keinen Grund, ihrer Behauptung zu misstrauen, es sei denn, eine Sicherheitslücke in dieser Sandbox wurde entdeckt.
@DmitryGrigoryev Ich glaube tatsächlich, dass Adobe in den letzten Jahren die Sicherheitsmaßnahmen erheblich aufgeräumt hat, und vertraue ihren Produkten jetzt viel mehr.Der bessere Updater für Reader war ein großer Schritt.Chrome ist ebenfalls eine sehr beliebte Software mit einer ehrwürdigeren und bewährten Sandbox-Umgebung.
Kaël
2017-06-21 12:54:08 UTC
view on stackexchange narkive permalink

Eine kurze Antwort hier: Wenn Sie alles innerhalb einer virtuellen Maschine tun, ist das Risiko genau das gleiche, als ob Sie alles außerhalb tun würden. Wenn Ihre virtuelle Maschine kompromittiert wird, haben Sie alles außer Ihrem Computer verloren.

Wie bereits erwähnt, sollten Sie eine VM nur für bestimmte Aufgaben verwenden, insbesondere für Arbeiten, die den Zugriff auf riskante Websites / Ressourcen / das Internet im Allgemeinen erfordern. Auf diese Weise begrenzen Sie einige Risiken für das, was Sie außerhalb der virtuellen Maschine auf Ihrem Computer haben.

Beachten Sie jedoch, dass Dinge wie das Herunterladen einer Ressource in Ihre virtuelle Maschine, bevor Sie sie auf Ihrem eigenen Computer ausführen (wie eine PDF-Datei mit potenziell schädlichem Makro), nicht 100% sicher sind. Einige Malware-Programme wurden entwickelt, um Sandbox-Lösungen auszuweichen, sodass sie nur ausgelöst werden, wenn sie sich außerhalb einer virtuellen Maschine / Testumgebung befinden.

Armfoot
2017-06-23 01:34:47 UTC
view on stackexchange narkive permalink

Wovor möchten Sie sich schützen? - schroeder

Wenn Ihre Antwort auf diese Frage ähnlich wäre wie:

Ich möchte mein Unternehmen vor Menschen schützen Dies kann so bestimmt sein, dass es Schäden verursacht oder meine Vertrags- und Forschungsdokumente stiehlt, die ich auf meinem Computer aufbewahre.

Verwenden Sie dann qubes, wie von erwähnt William hat in einer früheren Antwort die Apps virtualisiert, die für den Zugriff auf dieselben Dokumente verwendet werden, wodurch die meisten Angriffsmethoden reduziert werden, die möglicherweise nur durch Öffnen verursacht werden.

Viele Benutzer verwenden standardmäßig Windows Das Administratorkonto und / oder haben UAC-Einstellungen auf einem niedrigen Niveau. Wenn dies Ihr Fall ist, besteht möglicherweise eine winzige Möglichkeit, dass einer Ihrer "gut gemeinten" und entschlosseneren "Kunden" Ihnen ein unauffälliges Wort- / Excel-Dokument sendet, das von einem "Freund erstellt wurde, der mit Dokumenten Wunder vollbringen kann" Beim Öffnen auf Ihrem Windows 10 werden Makros ausgeführt, was zu einem stillen und "tödlichen" Treffer führt.

Wenn Ihr Computer nicht die Mindestanforderungen für Qubes erfüllt oder Sie haben einfach das Gefühl, dass es zu viel Mühe ist, dies zu tun, dann würde ich vielleicht Johns Vorschlag in dem Sinne umkehren, dass Sie Ihre Dokumente nur in einer verschlüsselten VM mit einem häufig aktualisierten Linux-Betriebssystem (das die Möglichkeit dieser Angriffe einschränkt), während die Dokumente von Ihrem Windows-Betriebssystem gelöscht werden.

Sichern Sie dieses VM-Image häufig und wenn Sie möchten Gehen Sie etwas weiter und verwenden Sie eine andere VM, um auf Ihre E-Mail- und Arbeitswebsites zuzugreifen (wie von SaS3 vorgeschlagen), und übertragen Sie Ihre Dokumente über ein freigegebenes Flash-Laufwerk oder einen Ordner, dessen Dateien, die Sie nach Ihrer täglichen Arbeit vernichten.

Dies sieht aus wie eine Zusammenfassung aller anderen Antworten
Vielen Dank für Ihren vorherigen Kommentar @schroeder.Ich stimme zu, außer dass in keiner der vorherigen Antworten Makros, VM-Verschlüsselung, ausschließliche Speicherung und Bearbeitung von Dokumenten in einer VM erwähnt wurden und insbesondere, dass daten- / geschäftsrelevante Risiken direkt von Kunden ausgehen können.
salomondeep
2017-06-22 03:18:33 UTC
view on stackexchange narkive permalink

Wenn Sie ein Unternehmen haben, bei dem die Verfügbarkeit von entscheidender Bedeutung ist, empfehle ich einen Hypervisor wie ESXi oder XenServer, mit dem Sie separate VMs für verschiedene Zwecke verwenden und Netzwerke innerhalb des Hypervisors verwalten können. Damit die VMs im Hypervisor mit der Außenwelt (dem Rest des Internets) kommunizieren können, empfehle ich eine Firewall, z. B. PFsense, die als Firewall / Router für die internen Netzwerke im Hypervisor fungiert.

Wenn Sie wirklich groß werden und eine maximale Betriebszeit wie möglich bieten möchten, empfehle ich 2 physische Maschinen mit einer Brückenverbindung zwischen ihnen, einen Hypervisor auf jedem Computer (aus Kompatibilitätsgründen von derselben Firma) und ein Live-Migrationssystem in Ort für den Fall, dass etwas passiert, zum Beispiel nicht genügend Speicher oder ein Computer hat die Stromversorgung verloren, aber der andere lebt. Bei der Live-Migration migriert (überträgt) der Hypervisor die noch eingeschaltete VM auf den anderen Computer und behält sie jederzeit bei. Es ist wirklich cool.

Ich habe das Gefühl, dass dies die in der Frage erwähnte spezifische Situation nicht wirklich beantwortet.Wie die Frage sagt "Ich leite ein kleines Unternehmen von zu Hause aus ...", "Ich habe gerade einen billigen Laptop gekauft ..." usw. Irgendwie denke ich, dass es nicht möglich ist, Lösungen auf Unternehmensebene mit mehreren Servern für physische Redundanz vorzuschlagennicht wirklich auf diese spezielle Frage zugeschnitten.
Haha und natürlich 2 Laufwerke in Raid 1 + ein Backup pro Maschine :)


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...