Kérdés:
A virtuális gép, például a Virtualbox lenne a legjobb megoldás a mindennapi biztonsághoz munka közben?
user151357
2017-06-21 09:36:22 UTC
view on stackexchange narkive permalink

Kisvállalkozást vezetek ki az otthonomból, és valójában nem csinálok semmi munkaigényes dolgot, játékot, és nem vágok semmilyen kódot vagy hasonló jellegű dolgot. Sokat csinálok telefonos alapú értékesítésből, ezért alapvetően csak a webes munkahelyi Gmail-fiókomhoz férek hozzá, PDF-szerződéseket küldök e-aláírásra, tárolom azokat felhőalapú meghajtón, és rengeteg információt tallózok, megtalálok vezet stb.

Valószínűleg megúszhatnék egy vékony klienst, de most vettem egy olcsó laptopot, és kíváncsi vagyok, hogy jó úton járok-e itt, ha arra gondolok, hogy a Virtualbox a mindennapi üzleti élethez a legjobb megoldás a biztonság és a használhatóság érdekében csak egy Windows 10 rendszert futtató asztalon (és ha igen, akkor talán könnyebb operációs rendszert kellene használnom).

mitől akarja magát megvédeni *?
Miért nem csak közvetlenül használja a Windows 10 rendszert, annak használatára?
Érdemes megnéznie a [Qubes OS] oldalt (https://en.wikipedia.org/wiki/Qubes_OS).Ennek a projektnek jó dokumentációja van arról, hogyan kell szétválasztani a feladatokat különböző virtuális gépekre.
Ezenkívül egy virtuális gépben készíthet pillanatképeket, amelyek lehetővé teszik egy korábbi állapot helyreállítását, és nem érhetők el az ügyfél operációs rendszeréből.
Használ olyan programokat, amelyekhez Windows szükséges?
Ahogy a [help / on-topic] mondja: "A biztonság nagyon kontextuális téma: a környezetében fontosnak ítélt fenyegetések mások számára nem lehetnek következményesek, és fordítva. Megpróbálsz valami globális értéket megvédeni az Advanced Persistent ellenFenyegetések? Vagy alacsony költségű kisvállalkozások számára keres költséghatékony megközelítést? A leghasznosabb válaszok megadásához mondja el nekünk: [...] ki használja a megvédeni kívánt eszközt, és kiszerintem visszaélni akarna vele (és miért), [...] "- lásd a teljes árajánlatot.Szerkesztheti ennek megfelelően a kérdést?
ha valaki nyomon akarja követni a böngészést / beolvasni a billentyűzet bemenetét, akkor nem lehet nagy különbség a natív és a virtuális operációs rendszer között.Valójában, ha egy rosszindulatú program jó kódolású, akkor egyáltalán nem lehet nagy különbség.
Hat válaszokat:
John Deters
2017-06-21 09:53:49 UTC
view on stackexchange narkive permalink

Ha ugyanazt a virtuális gépet használja böngészéshez, szöveges dokumentumokhoz és e-mailekhez, akkor az összes adatot azonos kockázati szintnek teszi ki.

Ehelyett, hogy az összes tevékenységet elvégezné a virtuális gépen, fontolja meg a böngészést és az e-mailt a virtuális gépen, de a szerződéses munkát és a könyvelést a fogadó operációs rendszeren. Így, ha adathalászat érkezik, a támadás a virtuális gépre korlátozódik, és nem tud igazán csúnya dolgokat végrehajtani, például titkosítani a dokumentumokat és váltságdíjért tartani őket.

csak győződjön meg arról, hogy nem oszt meg mappákat vagy meghajtókat a gazdagép és a virtuális gép között - vagy ha valóban muszáj, akkor csak ideiglenes mappaként használja (másolja be és költözzön el)
Az e-mail használata virtuális gépben és a dokumentummunka a gazdagépen fájlmegosztás nélkül nagyon praktikusnak tűnik.
@zakinster és a biztonság a használhatóság árán gyakran kerül a biztonságba?Valami ilyesmi, amennyire emlékszem.
John Deters tanácsai mellett készítsen pillanatképet a gépről, miután azt telepítették vagy frissítették a legújabb javításra.Ne felejtsen el visszatérni a nap végén, a hét végén, vagy csak valami gyanús dolog elvégzése után, például egy ismeretlen szoftver futtatása vagy egy elrugaszkodott webhely felkeresése után.
Biztos, hogy a második bekezdésben az * adathalászatra gondol?Az adathalászat társadalmi mérnöki támadás.Ez az egyik fenyegetés, ahol a virtuális gép * nem * nyújt sok védelmet.
@Philipp, ha az adathalász támadás meggyőz egy olyan dögös fájl letöltéséről, amely megpróbálja váltságdíjként tartani a rendszert, az végül a vendég virtuális gépet fogja túszként, nem pedig a gazdagép virtuális gépét.Ha mégis hamis webhelyre jelentkezel be, és megadod banki hitelesítő adataidat, az nem segít ellene;)
Fel akartam szavazni, de aztán eszembe jutott [makrók a Windows-ban] (https://security.stackexchange.com/q/98224/89949).A virtuális gépében nem tehetnek semmit, de a Windows könyvelési rendszergazdai fiókjában néma "halálos" sztrájkot okozhat.A [qubes (ahogyan azt egy másik válasz javasolja)] (https://security.stackexchange.com/a/162426/89949) használatával egyetlen dokumentum megnyitása esetén is "Office-app" virtualizáció lenne, amely állítólag nemSemmilyen más dokumentumot nem érinthet.
@Armfoot, sok részletességi szintet fel tudtam volna venni ezzel a válaszsal.Ahelyett, hogy azt mondtam volna neki, hogy bűvészkedjen meg három virtuális géppel, ami összetett, zavaros felhasználói élményt eredményezne számára, egyetlen virtuális gépet javasoltam a felhasználó által végzett legmagasabb kockázatú tevékenységekhez, és a fogadó operációs rendszert a legfontosabb adatok elkülönítésére a legnagyobb kockázattal.veszteség.Úgy tűnt, hogy ez a legegyszerűbb válasz, amely megfelelő szintű védelmet nyújt számára, miközben működőképes élményt nyújt.
@Mołot Az [Avid használhatósági szabályára] gondolsz (https://security.stackexchange.com/a/6116/46979).
Hozzáteszem, hogy a Microsoft ingyenes OS képeket bocsát ki tesztelési célokra telepített webböngészőkkel.Használhatja ezeket természetesen.
Egyébként megoszthatja a mappákat, ha a mappák csak olvashatók, nem?
@zakinster ez nem így van.Mivel mindkét gép rendelkezik webeléréssel, felhőszolgáltatással szinkronizálhatja a fájlokat közöttük.Csak válasszon egyet, amelyik verzióvezérléssel rendelkezik.További bónuszként egyes felhőszolgáltatások víruskeresést végeznek a feltöltött fájlokon.
@Mindwin Azt állíthatnánk, hogy a felhő-szinkronizálás valamiféle fájlmegosztás.Különben is, azt várva, hogy egy fájl szinkronizálódjon a felhőn, majd visszaszinkronizálva legyen a virtuális gépre, mielőtt e-mail mellékletként használná, pontosan úgy hívom, hogy "nagyon nem praktikus".
William Sandin
2017-06-21 10:01:47 UTC
view on stackexchange narkive permalink

A Windows telepítésével összefüggésben egy olyan hipervizor, mint a VirtualBox, a VMware segít elkülöníteni vendégeit a hoszttól (az operációs rendszer fő telepítése).

Ez megfontolt lépés a biztonság szempontjából, ha olyan tevékenységekkel vagy fájlokkal / szoftverekkel foglalkozik, amelyek kockázatot jelentenek az adatok veszélyeztetésére. Az egyik példa a biztonsági elemzőkre vonatkozik, akik napi szinten elemzik a rosszindulatú programokat.

Tehát, ha ez az Ön üzleti számítógépe: Lehetséges, hogy van értelme telepíteni egy telepítést egy virtuális gépbe, ha valaha kölcsönadna számítógépét, hogy valaki használhassa, aláíratlan szoftvereket vagy torrenteket töltsön le / telepítsen stb. A virtuális gépből való kitörés nagyon kifinomult támadásokat igényel, és a 0 napos piacon nagyra értékelt kihasználás.

Ez a vendég, akit el akarsz választani a gazdagéptől, és nem fordítva.

Van néhány operációs rendszer, például a Qubes ( https://www.qubes-os.org/ ), aki az alkalmazás virtualizálását végzi - ami azt jelenti, hogy minden egyes alkalmazás saját elszigetelt példányban fut.

A napi használat leírása alapján meglehetősen alacsony kockázatú felhasználó vagy.

  • Csak megnyitott fájlokat, megbízható entitásoktól származó e-maileket kap.

  • Rendeljen egyedi jelszavakat, majd rendszeresen cserélje azokat. Figyelje a feltört webhelyekről érkező szivárgásokat, amelyeken regisztrálhatta magát a haveibeenpwned.com oldalon

  • Mindig használja a böngésző legújabb verzióját, az Adobe PDF-et, a Java-t és Flash, ha egyáltalán szükség van rájuk.

  • Legyen óvatos a böngészőbővítményekkel kapcsolatban.

  • Ne telepítsen aláíratlan, elavultt. vagy kalózszoftver.

  • Engedélyezze a kétfaktoros hitelesítést olyan kulcsfontosságú fiókoknál, mint a Gmail, a Facebook stb.

  • Titkosítás a biztonsági másolatok, ha vannak ilyenek ( pull ).

  • Legyen körültekintő a virtuális gépek felosztásának módjával kapcsolatban.

  • Állítsa be a virtuális gépeket a mappákhoz stb. korlátlan hozzáféréssel vagy korlátozott hozzáféréssel a gazdagépén.

  • Számtalan olyan szoftver létezik a keményítéshez a Windows rendszerben, mint az EMET ( The Enhanced Mitigation Experience Toolkit ), a Microsoft Security Essentials és a Windows Defender.

  • Ha Linux alapú telepítést futtat a virtuális gépében, azt javasoljuk, hogy telepítsen egy támogatott kiadást, és engedélyezze a felügyelet nélküli biztonsági frissítéseket, indítsa újra a szervert, ha új kernel van telepítve .

Ezek a lépések jelentősen javítják az átlagos felhasználói információbiztonságot.

MEGJEGYZÉS: Ne felejtsük el, hogy a virtuális gép, csak az elválasztás enyhít bizonyos fenyegetéseket és támadó vektorokat. Sokkal több szempontot kell figyelembe venni, hogy a biztonsággal kapcsolatos összes bevált gyakorlat érvényesüljön.

Köszönöm szépen a srácokat - csak egy pillantást vetettem a qubes-re, és tényleg azt hiszem, hogy ez nekem is beválhat.Az a kérdésem, amikor kisvállalkozásokra vadászok, általában összekuszálódom a reklámprogramokban, különösen akkor, ha lelkileg kimerült vagyok.Tehát valójában csak azt keresem, hogyan lehet a lehető legzökkenőmentesen elkülöníteni a böngészést minden mástól.Ezúton is köszönöm a nagyszerű javaslatokat
Javaslat a biztonsági mentések utolsó pontjára - győződjön meg arról, hogy a PULL biztonsági másolatot olyan rendszeren állítja be, amely önmagában fejetlenül fut, és hogy a fő számítógépe nem férhet hozzá művelet - SSH-kulcs vagy jelszó - kezdeményezése nélkül.
Sas3
2017-06-21 10:49:09 UTC
view on stackexchange narkive permalink

A virtuális gépek egyedüli biztonsági intézkedésként történő használata nem elegendő. Azonban egy biztonságtudatos személy számára, aki már más biztonsági higiéniát folytat, a virtuális gépek használata további biztonság érdekében jól működik.

Így használom a VirtualBoxot a napi rutin használatra. Fontolja meg a használatát, és szabja azt a saját céljának megfelelően.

  • Válasszon külön virtuális gépeket külön célokra. pl. A külső forrásokból érkezett / azokra kerülő dokumentumok, amelyeket le kell töltenem és fel kell használnom, egy virtuális gépbe kerülnek. Az online vásárlások és a banki szolgáltatások külön ideiglenes virtuális gépbe.
  • A virtuális gépek frissítésével a legfrissebb javításokkal / frissítésekkel járni kell. A minimális szinten tartáshoz virtuális gép sablonokat használok - virtuális gépeket, amelyeket nem használok közvetlenül, csak a frissítések futtatásához. Ha szükséges, ezeket a virtuális gépeket klónozom, és a klónokat ideiglenes virtuális gépként használom. Használat után törölje (általában 1 órától 1 hétig, soha többé).
  • Amennyire lehetséges, hagyja a mellékleteket és dokumentumokat online (pl. használja a Chrome böngészőjében lévő PDF-megjelenítőt / dokumentumnézőt). Ez akkor működik, ha nem aggódik a dokumentum szivárgása miatt, de el akarja kerülni a külső dokumentumok által okozott rosszindulatú programokat.
  • Használja az uBlock Origin és az uMatrix böngészőbővítményeket még a virtuális gépeken belül is, hogy minimalizálja a virtuális gépek szennyeződését a böngésző útvonalán keresztül.
  • Egy virtuális gépet tartanak fenn, ahol a legtöbb „félig parmanánosan bejelentkezett a közösségi média fiókokban” Használja ezt a virtuális gépet ritkábban, mint mások - havonta körülbelül egyszer. Legyen különös figyelmeztetés ezzel a kockázattal.
  • Beállíthatja a megosztott mappákat, hogy megbizonyosodjon arról, hogy a szükséges fájlok elérhetőek-e az egyes virtuális gépeknél, de a hozzáférés minimálisra korlátozódjon (csak a szükséges könyvtárra van szükség). Egy időszak alatt ez egy mintába esik, és kezelhetővé válik. Eleinte fájdalom.
  • A fogadó gépen egyáltalán nem működik. Az ötlet az, hogy a gazdát a legkevesebb kockázattal kell megtartani. Ha ez elmúlt, akkor minden eltűnt.

Remélem, ez segít.

Ha attól tart, hogy egy rosszindulatú PDF veszélyeztetheti olvasóját, miért gondolja, hogy biztonságos a böngészővel történő megnyitás?
Jó megállapítás.A kihasználások általában szoftverspecifikusak.Ha a böngésző PDF-olvasóját célozzuk meg, akkor a megközelítés nem fog működni.Mégis, ha a Chrome (és más böngészők) jól megvalósítja a homokozóját, akkor is megvan az a különálló réteg.
Az FYI, a PDF-olvasók a [sandboxing] -ot (https://www.adobe.com/devnet-docs/acrobatetk/tools/AppSec/protectedmode.html) is használják.
@DmitryGrigoryev Az Adobe Reader régóta elismert hírneve, hogy rendkívül bizonytalan, és az Adobe nem látszólag aggódik.A Chrome egy edzett PDF-olvasót tartalmaz, amelyet homokozó környezetben jól figyelembe vesznek.Sok online felhőszolgáltatás valójában képpé konvertált PDF-eket is megjelenít.
@BaileyS Igaz, de a gyakorlatban a látszólagos biztonság fordítottan arányos az SW népszerűségével.Ha az Adobe azt állítja, hogy hozzáadott egy homokozót, akkor nem látok okot az igényükkel való bizalmatlanságra, hacsak nem fedeznek fel egy biztonsági rést ebben a homokozóban.
@DmitryGrigoryev Valójában azt gondolom, hogy az Adobe az elmúlt években jelentősen megtisztította a biztonságot érintő intézkedéseit, és most sokkal jobban bízik termékeiben.A Reader jobb frissítése hatalmas lépés volt.A Chrome nagyon népszerű szoftver, tiszteletre méltóbb és beváltabb homokozó-környezettel.
Kaël
2017-06-21 12:54:08 UTC
view on stackexchange narkive permalink

Rövid válasz itt: ha mindent egy virtuális gépen belül csinál, akkor a kockázat pontosan ugyanaz, mintha mindent azon kívül tenne. Ha a virtuális gépe veszélybe kerül, akkor a számítógépén kívül mindent elveszített.

Amint mások elmondták, csak néhány dologhoz használjon virtuális gépet, különösen olyan munkákhoz, amelyekhez általában kockázatos webhelyekhez / forrásokhoz / internethez van szükség. Ily módon korlátoz néhány kockázatot azzal, amit a számítógépen a virtuális gépen kívül tartalmaz.

Ne feledje azonban, hogy egy ressource letöltése a virtuális gépre, mielőtt a saját számítógépén futtatná (például egy potenciális rosszindulatú makróval rendelkező PDF-fájl), nem 100% -osan biztonságos. Egyes rosszindulatú programokat úgy terveztek, hogy elkerüljék a homokozós megoldásokat, így azok csak akkor aktiválódnak, ha egy virtuális gépen / tesztkörnyezeten kívül vannak.

Armfoot
2017-06-23 01:34:47 UTC
view on stackexchange narkive permalink

mitől akarsz védekezni? - schroeder

Ha erre a kérdésre a válasza valami hasonló lenne:

Meg akarom védeni a vállalkozásomat az emberektől ez elég határozott lehet ahhoz, hogy kárt okozzak, vagy ellophassam a számítógépemben őrzött szerződéses és kutatási dokumentumaimat.

Ezután qubes használatával, ahogy említette William egy korábbi válaszában virtualizálja az ugyanazon dokumentumok elérésére használt alkalmazásokat, ezáltal csökkentve a legtöbb támadási vektort, amelyet csak a megnyitásuk okozhat.

Sokan alapértelmezés szerint használják a Windows rendszert. Az adminisztrátori fiók és / vagy alacsony szintű UAC-beállításokkal rendelkezik. Ha ez az Ön esete, akkor van egy apró lehetőség arra, hogy az egyik "jól szándékolt" és határozottabb "ügyfelünk" elküldjön Önnek egy nem feltűnő word / excel dokumentumot, amelyet egy "barát, aki csodákat tud tenni a dokumentumokkal", hogy amikor megnyitja a Windows 10 makrókat hajt végre, csendes és "halálos" sztrájkot okoz.

Ha a számítógépén nincsenek a minimális követelmények a qubes számára vagy egyszerűen csak úgy érzi, hogy túl nagy gond ezt megtenni, akkor talán megfordítanám János javaslatát abban az értelemben, hogy csak titkosított virtuális gépben kell megőriznie, hozzáférnie és módosítania a dokumentumait gyakran frissített linuxos operációs rendszerrel (korlátozva ezeknek a támadásoknak a lehetőségét), miközben aprítja a dokumentumokat a Windows operációs rendszerről.

Gyakran készítsen biztonsági másolatot erről a virtuális gépről, és ha szeretné menj egy kicsit tovább, majd használj egy másik virtuális gépet csak a levelek és a munkahelyi webhelyek eléréséhez (ahogyan a SaS3 javasolta), és továbbítsd a dokumentumokat egy megosztott flash meghajtón vagy mappán keresztül, amelynek fájlokat, amelyeket a napi munka után aprított.

ez úgy néz ki, mint az összes többi válasz összefoglalása
Köszönjük az előző észrevételt @schroeder.Egyetértek azzal, hogy a korábbi válaszok egyike sem említette a makrókat, a virtuális gépek titkosítását, a dokumentumok kizárólagos tárolását és manipulálását a virtuális gépben, és különösen azt, hogy az adatokra / üzleti szempontból érzékeny kockázatok közvetlenül származhatnak az ügyfelektől.
salomondeep
2017-06-22 03:18:33 UTC
view on stackexchange narkive permalink

Ha van vállalkozása, az üzemidő kritikus, akkor ajánlok egy olyan hipervizort, mint az ESXi vagy a XenServer, ahol külön virtuális gépeket használhat különböző célokra, és kezelheti a hálózatokat a hipervizoron belül. Ahhoz, hogy a hipervizoron belüli virtuális gépek kommunikáljanak a külvilággal (az internet többi részével), javaslom egy tűzfalat, például a PFsense-t, amely tűzfalként / útválasztóként működik a hipervizorban lévő belső hálózatoknál.

Ha igazán nagyra akarsz menni, és a lehető legnagyobb üzemidőt szeretnénk biztosítani, akkor javaslom 2 fizikai gépet, amelyek között hídkapcsolat van, mindegyik számítógépen legyen egy hipervizor (kompatibilitási célból ugyanattól a cégtől) és élő migrációs rendszerrel hely, ha valami történik, például nincs elég memória vagy egy számítógép elveszíti az áramellátását, de a másik életben van. Az élő migráció azt jelenti, hogy a hipervizor a virtuális gépet a másik számítógépre költözteti (továbbítja) és folyamatosan bekapcsolva tartja. Nagyon klassz.

Úgy érzem, hogy ez nem igazán válaszol a kérdésben említett konkrét helyzetre.Mivel a kérdés azt mondja: "Kisvállalkozást vezetek ki az otthonomból ...", "Most vettem egy olcsó laptopot ...", stb. Valahogy azt gondolom, hogy vállalati szintű megoldásokat javasolok, több szerverrel a fizikai redundancia érdekében,Nem igazán erre a kérdésre szabott.
Haha és természetesen egy 2 meghajtó a Raid 1-ben + egy gépenként biztonsági másolat :)


Ezt a kérdést és választ automatikusan lefordították angol nyelvről.Az eredeti tartalom elérhető a stackexchange oldalon, amelyet köszönünk az cc by-sa 3.0 licencért, amely alatt terjesztik.
Loading...