VMとデュアルブートの使用によるセキュリティへの影響
メインコンピューターとWindowsインストールを使用して、重要なデータを(自分にとって)処理します。私はこの環境を安全に保ちますが、制限を緩めた場所が必要です。単一のマシンを使用してこれを行う2つの可能な方法を考えました
- 単にVMを作成して使用する
- セカンダリドライブを使用して、Windowsをインストールします。メインのWindowsインストールではドライブ全体にBitlockerを使用するため(TPMは私のmoboでサポートされていないため、パスフレーズを使用)、ウイルスがメインのWindows上のファイルを書き換えることは不可能です。私がよくわからないのは、UEFI virus の可能性です。これは、ブートプロセスを危険にさらし、パスフレーズと基礎となるシステムへのアクセスを取得します。
これらの解決策のいずれかは合理的に安全ですか? (私はある種の高官ではなく、大企業で働いている人でもないので、私が扱うデータは私たちにとって重要ですが、私は誰かのターゲットではないので、「合理的に安全」だと思います)
仮想マシンは分離された環境(ディスク、メモリ、CPU、ネットワークなど)を持っているため、より安全で信頼性の高いオプションです。いつでも開始、停止、削除できます。 。そこにウイルスをインストールし、デバッガをVMにアタッチして調査することができます。ただし、ホストマシンのリソースの一部を使用するため、ホストがそうでない場合、強力です。長所:セキュリティ、cons:パフォーマンス。
Windowsのインストールalongsideは、両方のオペレーティングシステムがディスクを共有するため、セキュリティの面から少し危険ですが、パフォーマンスに影響はありません。 長所:パフォーマンス、cons:セキュリティ。
PD:おそらく、BitLockerに対するブートキット攻撃と、データの整合性またはデータの機密性につながる任意のVM脆弱性の悪用)の間のトレードオフを評価したいデータの整合性:データが書き換えられた場合整合性が損なわれます。データが暗号化されている場合でも、変更を加えると侵害されます。VMの内部からホストの暗号化されたディスクの整合性を攻撃する長いチェーンがあるため、VMはこの場合より安全です(VMエスケープは簡単な作業ではありません)。
データの機密性を気にする場合:どちらの場合も2つの手順が必要です-ブートキット攻撃とVM脆弱性exploitationその後reading暗号化されていないデータですが、両方のケースの攻撃の難しさを評価して比較することは困難です。