Isoler (sécuriser) plusieurs images de démarrage pour ne pas nuire à mon PC

0

Est-il possible de protéger mon métal nu contre les compromis, de sorte que je puisse être assez confiant que, par exemple, la restauration d'une image système VHDX tous les mois me garde propre? Si c'est le cas, comment?

Je construis un nouveau PC plutôt coûteux. Je souhaite isoler autant que possible mes microprogrammes de développement et mes environnements de jeu, notamment pour des raisons de sécurité (par exemple, les kits de démarrage et les rootkits de microprogrammes). Chaque jour, je m'inquiète davantage de faire confiance au logiciel requis.

Configuration actuelle:

  • Environnements: Jeu (Steam, Oculus) et Développement (Visual Studio)
  • Windows 10 Professional, licences multiples
  • Vous avez acheté un support d'installation de système d'exploitation récemment emballé pour vous assurer qu'il est propre
  • Exécution du développement à partir d'un VHDX via Hyper-V
  • L’environnement de jeu bénéficie d’un GPU direct, donc moins utile via Hyper-V
  • J'ai le démarrage sécurisé activé
  • Le système prend en charge TPM, souhaitant installer et activer
  • Ne pas utiliser BitLocker, mais prêt à

Les vulnérabilités liées à une seule instance (par exemple, compromettre un mot de passe d'un compte bancaire ou filtrer un processeur graphique aujourd'hui) me tiennent moins à coeur que les problèmes à long terme (par exemple, un kit de démarrage qui, pendant les quatre prochaines années de la vie de ce PC, rend tous les mots de passe changements inefficaces, ou exploite continuellement la crypto-monnaie).

Le souhait d'isolement est également lié à des raisons de performances banales (par exemple, séparer SQL Server du téléchargeur Steam), mais une attention semblable à celle d'un faucon sur des processus en cours ou simplement une adresse à double amorçage.

Une question connexe, le double amorçage est-il plus sûr que d'avoir un seul système d'exploitation installé? , soulève le problème de menace à long terme, mais ne le résout pas. De plus, j’ai le sentiment que la réponse acceptée sous-estime l’intérêt pour les attaquants de compromettre une grande quantité de PC non remarquables, et sous-estime donc la probabilité que cela se produise.

virtual-machine disk-image secure-boot tpm rootkit Shannon
la source
Le démarrage sécurisé et le chiffrement FDE mis en œuvre au sein de chaque système d'exploitation virtuel empêcheraient pratiquement 99% des attaques malveillantes. Vous pouvez également démarrer directement sur des machines virtuelles Hyper-V. Vous ne faites aucune mention du processeur, mais pour tirer parti du démarrage sur une machine virtuelle et utiliser le matériel attaché, vous avez besoin de fonctionnalités de virtualisation spécifiques. Quelles sont ces fonctionnalités sont bien documentées. Bien sûr, la façon dont vous vous protégez contre les rootkit et autres logiciels malveillants n'a rien à voir avec les ordinateurs virtuels et le démarrage sécurisé, vous empêchez ces comportements par le comportement de l'utilisateur.
Ramhound
Merci Ramhound. Je comprends (je pense) que votre commentaire signifie que FDE sur des partitions (OS / Data) spécifiques à l’environnement protège les systèmes d’exploitation de manière sécurisée, tandis que Secure Boot protège l’environnement antérieur au système d’exploitation, couvrant ainsi la plupart des vecteurs d’attaque de disque. Si tel est le cas, 1) le TPM est-il nécessaire pour cela, et 2) le démarrage d'un VHDX crée-t-il des vecteurs supplémentaires? Enfin, je suppose que tout mon système serait toujours vulnérable aux vulnérabilités de type Spectre / Meltdown?
Shannon
De plus, je ne veux pas argumenter, mais mon comportement est déjà prudent, et je dis que je souhaite aller plus loin. C'est le but de ma question. Je cherche des solutions pour renforcer un système contre les rootkits et autres logiciels malveillants. Il est logiquement possible que de tels outils existent, et je demande donc s'ils existent.
Shannon
Chaque action de sécurité implique un équilibre entre convivialité et sécurité. Si vous souhaitez sécuriser totalement votre ordinateur, laissez-le isolé de tout réseau et mettez-le hors tension au niveau matériel, mais cela n’est bien sûr pas utile, sauf pour les autorités de certification racines, où vous allumez de temps en temps l'ordinateur pour l'actualiser. certificats faisant autorité. Pour un ordinateur utilisable quotidiennement, vous devez accepter un certain risque. Les différentes méthodes permettant de sécuriser un ordinateur pour une utilisation normale sont bien connues et il faut bien admettre qu’elles ne sont pas parfaites.
music2myear
Merci music2myear, je comprends votre commentaire. En tant que consultant en systèmes d’information depuis 25 ans, je suis conscient du fait qu’il est impossible de disposer de tout ce que nous souhaitons. Cependant, je sais aussi que depuis que j'ai étudié la sécurité fondamentale des systèmes de calcul Intel, de nombreuses technologies liées à ce sujet ont été introduites (par exemple, UEFI, TXT, SGX, etc.). Je pense qu’il est juste de dire que certaines de ces technologies ne sont pas bien connues du public qui chercherait ici (sur SuperUser) des informations. J'espère que d'autres voudront développer toute solution utile liée à ma question.
Shannon