Est-il possible de protéger mon métal nu contre les compromis, de sorte que je puisse être assez confiant que, par exemple, la restauration d'une image système VHDX tous les mois me garde propre? Si c'est le cas, comment?
Je construis un nouveau PC plutôt coûteux. Je souhaite isoler autant que possible mes microprogrammes de développement et mes environnements de jeu, notamment pour des raisons de sécurité (par exemple, les kits de démarrage et les rootkits de microprogrammes). Chaque jour, je m'inquiète davantage de faire confiance au logiciel requis.
Configuration actuelle:
- Environnements: Jeu (Steam, Oculus) et Développement (Visual Studio)
- Windows 10 Professional, licences multiples
- Vous avez acheté un support d'installation de système d'exploitation récemment emballé pour vous assurer qu'il est propre
- Exécution du développement à partir d'un VHDX via Hyper-V
- L’environnement de jeu bénéficie d’un GPU direct, donc moins utile via Hyper-V
- J'ai le démarrage sécurisé activé
- Le système prend en charge TPM, souhaitant installer et activer
- Ne pas utiliser BitLocker, mais prêt à
Les vulnérabilités liées à une seule instance (par exemple, compromettre un mot de passe d'un compte bancaire ou filtrer un processeur graphique aujourd'hui) me tiennent moins à coeur que les problèmes à long terme (par exemple, un kit de démarrage qui, pendant les quatre prochaines années de la vie de ce PC, rend tous les mots de passe changements inefficaces, ou exploite continuellement la crypto-monnaie).
Le souhait d'isolement est également lié à des raisons de performances banales (par exemple, séparer SQL Server du téléchargeur Steam), mais une attention semblable à celle d'un faucon sur des processus en cours ou simplement une adresse à double amorçage.
Une question connexe, le double amorçage est-il plus sûr que d'avoir un seul système d'exploitation installé? , soulève le problème de menace à long terme, mais ne le résout pas. De plus, j’ai le sentiment que la réponse acceptée sous-estime l’intérêt pour les attaquants de compromettre une grande quantité de PC non remarquables, et sous-estime donc la probabilité que cela se produise.