मेरे पीसी को नुकसान पहुंचाने से कई बूट छवियों को अलग (सुरक्षित) करें


0

क्या मेरी नंगे-धातु को समझौता से बचाने के लिए संभव है, ताकि मैं काफी आश्वस्त रह सकूं कि (उदाहरण के लिए) हर महीने एक वीएचडीएक्स सिस्टम छवि को बहाल करना मुझे साफ रखता है? यदि हां, तो कैसे?

मैं एक नया महंगा पीसी का निर्माण कर रहा हूँ। मैं अपने विकास और गेम के वातावरण को फर्मवेयर से अलग करना चाहूंगा, विशेष रूप से सुरक्षा कारणों (जैसे बूटकिट्स और फर्मवेयर रूटकिट्स) के लिए। मुझे अपने आवश्यक सॉफ़्टवेयर पर भरोसा करने के बारे में प्रत्येक दिन अधिक चिंता है।

वर्तमान कॉन्फ़िगरेशन:

  • वातावरण: खेल (स्टीम, ओकुलस) बनाम विकास (विजुअल स्टूडियो)
  • विंडोज 10 प्रोफेशनल, कई लाइसेंस
  • यह सुनिश्चित करने के लिए नया पैक किया गया OS स्थापना मीडिया साफ है
  • हाइपर- V के माध्यम से एक VHDX से विकास चलाना
  • गेम का पर्यावरण प्रत्यक्ष GPU से लाभान्वित होता है, इसलिए हाइपर-वी के माध्यम से कम उपयोगी होता है
  • मेरे पास सिक्योर बूट इनेबल है
  • सिस्टम TPM का समर्थन करता है, स्थापित करने और सक्षम करने के लिए तैयार है
  • BitLocker का उपयोग नहीं, लेकिन करने के लिए तैयार

मैं एकल-आवृत्ति भेद्यता के बारे में कम परवाह करता हूं (उदाहरण के लिए एक बैंक खाते के पासवर्ड से समझौता करना, या कुछ GPU का आज लीचिंग करना) जितना मैं एक दीर्घकालिक मुद्दों (जैसे एक बूटकिट) के बारे में करता हूं, जो इस पीसी के जीवन के अगले चार वर्षों के लिए सभी पासवर्ड का प्रतिपादन करता है। अप्रभावी, या लगातार खानों cryptocurrency में परिवर्तन)।

अलगाव की इच्छा सांसारिक प्रदर्शन के कारणों (जैसे स्टीम डाउनलोडर से अलग SQL सर्वर) के लिए भी है, लेकिन चलने वाली प्रक्रियाओं या बस दोहरे बूटिंग पते पर ध्यान देना।

एक संबंधित प्रश्न, क्या एकल ऑपरेटिंग सिस्टम स्थापित होने की तुलना में दोहरे बूटिंग अधिक सुरक्षित है? उठाता है, लेकिन दीर्घकालिक खतरे की चिंता को हल नहीं करता है। इसके अतिरिक्त, मुझे लगता है कि स्वीकार किए गए उत्तर को बड़ी मात्रा में निहत्थे पीसी से समझौता करने के हमलावरों के मूल्य को कम करके आंका जाता है, और इस प्रकार यह होने की संभावना को कम करके आंका जाता है।


प्रत्येक वर्चुअल ऑपरेटिंग सिस्टम के भीतर सिक्योर बूट, और FDE एन्क्रिप्शन लागू होता है, जो व्यावहारिक रूप से 99% दुर्भावनापूर्ण हमलों को रोक देगा। आप हाइपर-वी वर्चुअल मशीनों से सीधे बूट कर सकते हैं। आप प्रोसेसर का कोई उल्लेख नहीं करते हैं, लेकिन एक आभासी मशीन को बूट करने का लाभ उठाने के लिए और संलग्न हार्डवेयर का उपयोग करने के लिए, आपको विशिष्ट वर्चुअलाइजेशन सुविधाओं की आवश्यकता होती है। उन सुविधाओं को अच्छी तरह से प्रलेखित किया गया है। बेशक, आप अपने आप को रूटकिट से कैसे बचाते हैं और अन्य दुर्भावनापूर्ण सॉफ़्टवेयर का VMs और सिक्योर बूट से कोई लेना-देना नहीं है, आप उपयोगकर्ता के व्यवहार के माध्यम से उन्हें रोकते हैं।
Ramhound

धन्यवाद रामहाउंड। मैं समझता हूं (मुझे लगता है) आपकी टिप्पणी का मतलब यह है कि पर्यावरण-विशिष्ट (ओएस / डेटा) विभाजनों पर एफडीई ओएस को एक-दूसरे से सुरक्षित रखता है, जबकि सिक्योर बूट पूर्व-ओएस पर्यावरण को सुरक्षित रखता है, इस प्रकार अधिकांश डिस्क अटैक वैक्टर को कवर करता है। यदि ऐसा है, तो 1) TPM उसके लिए आवश्यक है, और 2) क्या VHDX को बूट करने से अतिरिक्त वैक्टर बनते हैं? अंत में, मुझे लगता है कि मेरा पूरा सिस्टम अभी भी स्पेक्टर / मेल्टडाउन जैसी कमजोरियों की चपेट में आ जाएगा?
shannon

इसके अलावा, मेरा तर्क से कोई मतलब नहीं है, लेकिन मेरा व्यवहार पहले से ही सतर्क है, और मैं कह रहा हूं कि मैं आगे जाना चाहता हूं। मेरे सवाल का यही मतलब है। मैं rootkits और अन्य दुर्भावनापूर्ण सॉफ़्टवेयर से एक सिस्टम को और सख्त करने के समाधान की तलाश कर रहा हूं। ऐसे उपकरणों का अस्तित्व में होना संभव है, और इसलिए मैं पूछ रहा हूं कि क्या वे ऐसा करते हैं।
shannon

प्रत्येक सुरक्षा कार्रवाई में प्रयोज्य और सुरक्षा के बीच एक संतुलन शामिल होता है। यदि आप अपने कंप्यूटर को पूरी तरह से सुरक्षित करना चाहते हैं, तो आप इसे किसी भी नेटवर्क से एयर-गेप छोड़ सकते हैं, और हार्डवेयर स्तर पर संचालित किया जा सकता है, लेकिन निश्चित रूप से रूट सर्टिफिकेट ऑथोरिटीज को छोड़कर उपयोगी नहीं है, जहाँ आप कंप्यूटर को रिफ्रेश करने के लिए एक बार में चालू कर देते हैं। आधिकारिक प्रमाण पत्र। दैनिक उपयोग करने योग्य कंप्यूटर के लिए आपको एक निश्चित मात्रा में जोखिम स्वीकार करना होगा। सामान्य उपयोग के लिए कंप्यूटर को सुरक्षित करने के विभिन्न तरीकों को अच्छी तरह से जाना जाता है, और आपको बस यह स्वीकार करना होगा कि वे सही नहीं हैं।
music2myear

धन्यवाद Music2myear, मैं आपकी टिप्पणी को समझता हूं, और 25 वर्षों से एक सूचना प्रणाली सलाहकार रहा हूं, हम जो कुछ भी चाहते हैं, उसकी अनैच्छिकता से परिचित हैं। हालाँकि, मुझे यह भी पता है कि जब से मैंने मौलिक इंटेल कंप्यूट सिस्टम सुरक्षा का अध्ययन किया है, इस विषय से संबंधित कई तकनीकों को पेश किया गया है (जैसे यूईएफआई, TXT, SGX, आदि)। मुझे लगता है कि यह कहना उचित है कि उन प्रौद्योगिकियों में से कुछ दर्शकों के सापेक्ष अच्छी तरह से ज्ञात नहीं हैं जो यहां (सुपरयूज़र पर) जानकारी के लिए खोज करेंगे। मुझे आशा है कि अन्य लोग मेरे प्रश्न के किसी भी सहायक संबंधित समाधान पर विस्तार करने के लिए तैयार हैं।
shannon
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.