Erillinen Windows epäilyttäville/riski ohjelmille

[Sally_Spectra]

Tein tuossa tripla boottiin erillisen windowsin erilliselle kovalevylle. Tarkoitus olisi tehdä tästä turvallinen ympäristö kaikkien epäilyttävien riski ohjelmien ajamiseen, niin että muu kone ei saastu. Tämän windowsin ohjelmilla ei saa olla missään tapauksessa pääsyä tai tietoa muiden kovalevyjen sisällöstä. Älkää ehdottako virtuaaliympäristöjä.

Mitä steppejä voin tehdä, että tämä toteuttuu?

 

[breez]

Tein tuossa tripla boottiin erillisen windowsin erilliselle kovalevylle. Tarkoitus olisi tehdä tästä turvallinen ympäristö kaikkien epäilyttävien riski ohjelmien ajamiseen, niin että muu kone ei saastu. Tämän windowsin ohjelmilla ei saa olla missään tapauksessa pääsyä tai tietoa muiden kovalevyjen sisällöstä. Älkää ehdottako virtuaaliympäristöjä.

Mitä steppejä voin tehdä, että tämä toteuttuu?

Muut kovalevyt ym. fyysisesti irti? Mikäs siellä muuten estäisi jonkun ransomwaren paskomasta kaikkia datoja...

 

[banaani]

Mikset vaan käytä Windowsin omaa sandbox ominaisuutta?

 

[maninthemoon]

Sanoit, että virtuaaliympäristöä ei saa suositella, mutta suosittelen microsoftin hiekkalaatikkoa, jos ei ole aikaisemmin tullut vastaan. Siis, jos löytyy windowsin Pro versio.

Windows Sandbox

Windows Sandbox is a new lightweight desktop environment tailored for safely running applications in isolation. How many times have you downloaded an executable file, but were afraid to run it? Have you ever been in a situation which required a clean installation of Windows, but didn’t want to...

techcommunity.microsoft.com

Muutaman sekunnin banaani oli nopeampi.

 

[banaani]

Tuo hiekkalaatikko on aivan mahtava koska se ei käytä yhtään enemä resursseja. Lisäks, jos on intoa seikkailla, voit kustomoida sen haluamasi näköiseksi: Playing in the (Windows) Sandbox - Check Point Research

Ja jos ei ole vielä Pro-versiota Windowsista, niin lämmin suositus päivittää.
Tulee myös tuki mm. Remote Desktopille ja Group Policylle. Että vois olla ihan hyvä tällaiseen kokeiluhenkiseen ympäristöön.

Mutta, jos nyt väkisin haluat ulkoiselta kovalevyltä bootata ja täten täydessä isolaatiossa pitää muita tallennusmedioita, niin ei mikään muu tule auttamaan kuin vaikka BIOS:ssa kaiken muun (SATA / M. 2) disablointi. Koska vaikka tekisit sellaiset boottiparametrit (mahdollista kyllä), ettei vaikka sisäinen M.2 SSD näy, niin se vaan ei ole silloin mountattu oletuksena. Sitä ei saisi kokonaan "pois näkyvistä". Jolloin hyvä rootkitti tms. tuhoaisi sen anyway.

 

[Sally_Spectra]

Löytyy windows Enterprise. Sandboxia koitin asentaa mutta ei löydö add or remove windows features listasta. Eikä se käsittääkseni edes tuo pysyviä asennuksia. Lisäksi ohjelmien pitäisi pyöriä lähes samalla tehokkuudella kuin natiivi windows ja niiden pitäisi pystyä käyttämään näyttistä.

 

[maninthemoon]

Löytyy windows Enterprise.


Tukeeko pysyviä asennuksia?

Ihan oletuksena kaikki häviää, jos sammutat tuon hiekkalaatikon. Eli kaikki on hävinnyt sieltä, kun seuraavan kerran pistät tulille.

 

[maninthemoon]

Tuo hiekkalaatikko on aivan mahtava koska se ei käytä yhtään enemä resursseja. Lisäks, jos on intoa seikkailla, voit kustomoida sen haluamasi näköiseksi: Playing in the (Windows) Sandbox - Check Point Research

Ja jos ei ole vielä Pro-versiota Windowsista, niin lämmin suositus päivittää.
Tulee myös tuki mm. Remote Desktopille ja Group Policylle. Että vois olla ihan hyvä tällaiseen kokeiluhenkiseen ympäristöön.

Mutta, jos nyt väkisin haluat ulkoiselta kovalevyltä bootata ja täten täydessä isolaatiossa pitää muita tallennusmedioita, niin ei mikään muu tule auttamaan kuin vaikka BIOS:ssa kaiken muun (SATA / M. 2) disablointi. Koska vaikka tekisit sellaiset boottiparametrit (mahdollista kyllä), ettei vaikka sisäinen M.2 SSD näy, niin se vaan ei ole silloin mountattu oletuksena. Sitä ei saisi kokonaan "pois näkyvistä". Jolloin hyvä rootkitti tms. tuhoaisi sen anyway.

Nykykoneilla resurssien syönti ei varmaan monestikaan muodosta ongelmaa virtualisoinnissa. Siksi itse olen tämän ajatellut niin, että jos haluaa testata jotain, niin käytää tuota hiekkalaatikkoa ja sitten, jos haluaa pysyvämpää, niin erikseen virtuaalikone. Toki itsellä käyttö tuolle ei ole kovin mahdoton, niin ehkä en osaa ajatella kaikkia mahdollisuuksia.

 

[banaani]

Joo, nykykoneissa käytännössä natiivi kaikki jos vaan prosessori tukee (Intel VT-x ja AMD SVM)

 

[Sally_Spectra]

Pitää pystyä tekemään pysyviä asennuksia. Sandbox ei siis ole vaihtoehto.

Virtuaaliympäristöistä ei kannata enää jatkaa. Pyysin tätä jo.

Vinkkejä oikeaan fyysiseen asennukseen.

Kytkin kovalevyjen väliin jolla valitaan mitkä levyt kytketty?

 

[banaani]

Mikset lue mun vastausta yllä tarkemmalla silmällä?

 

[=JP=]

Suosittelen hankkimaan toisen koneen tuota varten, menee melkoiseksi räpeltämiseksi yrittää yhdellä koneella saada täysin toisistaan irrallaan olevia käyttöjärjestelmäympäristöjä.
Tullut vastaan tapauksia, jossa BIOSista ns. disabloinu levyn, niin silti saattaa näkyä joissain tapauksissa, eli fyysisesti irroittamalla saa 100% varmuuden tuohonkin.

Eli, helposti ei onnistu, joutuu näkemään vaivaa joka kerta ku vaihtaa ympäristöä yhdellä koneella, joten jos useasti tuota teet, niin ei kyllä tee hyvää niille liittimille myöskään loppupeleissä. Ja jos siellä on NVME levyjä, niin siitä sitten ruuvailee aina irti...

 

[Ormu]

Saisikohan toisten Windowsien levyt BIOSin asetuksista pois käytöstä, niin ei tarvitsisi irrottaa johtoja? Automatisoitua ei tätäkään varmaan saa. Haittaohjelmia vastaan tämä antanee jo varsin hyvän suojan.

Tai levyjen virransyöttöön mekaaninen kytkin, jolla katkaistaan virrat ylimääräisiltä levyiltä? Mitähän BIOS tästä tykkää? Nykyajan NVMe ym. levyillä ei onnistu.

SATA-liitännän katkaisuun ei tavallinen kytkin välttämättä sovellukaan (suuritaajuinen signaali lakkaa etenemästä kunnolla), ja tarkoitukseen tehtyjä kytkimiä ei taida paljoa olla saatavilla. Eikä tämäkään onnistu nykyaikaisten levyjen kanssa.

Linux olisi siinä mielessä helpompi, että Windows ei ymmärrä sen käyttämiä tiedostojärjestelmiä, ja on epätodennäköistä, että mikään tavanomainen haittaohjelma sisältäisi oman ajurinsa esimerkiksi ext4:lle.

Saako Windowsissa estettyä levyaseman liittämisen ("mount") jotenkin? Tämä antaa vähän suojaa, mutta tarpeeksi ovelasti tehty haittaohjelma voi löytää liittämättömän levyn ja liittää sen itse. Ei ehkä todennäköistä, mutta vähän riskialtista kuitenkin.

e: Eri levyjen salaus eri avaimilla suojaa tiedostot käpälöinniltä, mutta esimerkiksi levyn käynnistyssektorille saattaa silti tapahtua jotain.

Samoin koko levyn alustaminen tai ylikirjoittaminen onnistuu riippumatta siitä, onko levy salattu vai ei tai mikä tiedostojärjestelmä siellä on, mutta haittaohjelmat harvemmin tekevät sellaista.

Joku koneenraato io-techin myyntiosastolta ei paljoa maksa eikä sellaisen kanssa tule ylimääräistä säätämistä.

 

[Sally_Spectra]

Onko mekaanisia kytkimiä tähän saatavilla? Joku hubi jossa vedetään kaapeleilla emosta hubiin ja hubista levyille.

Mikset lue mun vastausta yllä tarkemmalla silmällä?

Luin. Sandbox ei ole vaihtoehto ja en ala kaikkia kovoja johdosta irroittelemaan joka kerta.

 

[juhaa]

Levyille kelkat.

 

[Jamboa]

Saisikohan toisten Windowsien levyt BIOSin asetuksista pois käytöstä, niin ei tarvitsisi irrottaa johtoja? Automatisoitua ei tätäkään varmaan saa. Haittaohjelmia vastaan tämä antanee jo varsin hyvän suojan.

Tai levyjen virransyöttöön mekaaninen kytkin, jolla katkaistaan virrat ylimääräisiltä levyiltä? Mitähän BIOS tästä tykkää? Nykyajan NVMe ym. levyillä ei onnistu.

SATA-liitännän katkaisuun ei tavallinen kytkin välttämättä sovellukaan (suuritaajuinen signaali lakkaa etenemästä kunnolla), ja tarkoitukseen tehtyjä kytkimiä ei taida paljoa olla saatavilla. Eikä tämäkään onnistu nykyaikaisten levyjen kanssa.

Linux olisi siinä mielessä helpompi, että Windows ei ymmärrä sen käyttämiä tiedostojärjestelmiä, ja on epätodennäköistä, että mikään tavanomainen haittaohjelma sisältäisi oman ajurinsa esimerkiksi ext4:lle.

Saako Windowsissa estettyä levyaseman liittämisen ("mount") jotenkin? Tämä antaa vähän suojaa, mutta tarpeeksi ovelasti tehty haittaohjelma voi löytää liittämättömän levyn ja liittää sen itse. Ei ehkä todennäköistä, mutta vähän riskialtista kuitenkin.

e: Eri levyjen salaus eri avaimilla suojaa tiedostot käpälöinniltä, mutta esimerkiksi levyn käynnistyssektorille saattaa silti tapahtua jotain.

Samoin koko levyn alustaminen tai ylikirjoittaminen onnistuu riippumatta siitä, onko levy salattu vai ei tai mikä tiedostojärjestelmä siellä on, mutta haittaohjelmat harvemmin tekevät sellaista.

Joku koneenraato io-techin myyntiosastolta ei paljoa maksa eikä sellaisen kanssa tule ylimääräistä säätämistä.

Kytkin vain kovalevyn virtapiuhojen väliin. Itsellä oli joskus 1 SSD ja 1 HDD+1 SSD ja 1 HDD näin. Eli kone sammuksiin ja kytkin toiseen asentoon, niin eri kovalevyt saa virtaa. Niille mihin ei virtaa tule, ei yksikään hakkeri mene sisään!

 

[maninthemoon]

Levyille kelkat.

Ei sitä tämän vaikeammaksi kannata tehdä, jos ihan välttämättä haluaa samassa koneessa pyörittää eikä vallan eri koneessa. Kelkan saa aina virrattomomaksi napista ilman ihmeempiä kikkailuja. Eikä maksa paljoa.

 

[banaani]

BIOS-säätämistä ehdotin myös, mutta itse asiassa se auttaisi myös, jos AP kertoisi, millainen tietokone on kyseessä ja mitä muita levyjä on?

 

[Sally_Spectra]

Levyille kelkat.

Tämä voisi olla toimiva. Saako niihin ssd levyjä? Onko noita koteloita sellaisia, että saa dvd aseman sijaan vaikka kelkat siihen ja edestä vaan työntää levyn paikoilleen ja vetää irti kun lopettaa käytön?

 

[banaani]

Tämä voisi olla toimiva. Saako niihin ssd levyjä? Onko noita koteloita sellaisia, että saa dvd aseman sijaan vaikka kelkat siihen ja edestä vaan työntää levyn paikoilleen ja vetää irti kun lopettaa käytön?

kurkkaapa SilverStonen tarjontaa, heillä on nimenomaan mitä kysyt!

 

[juhaa]

Tämä voisi olla toimiva. Saako niihin ssd levyjä? Onko noita koteloita sellaisia, että saa dvd aseman sijaan vaikka kelkat siihen ja edestä vaan työntää levyn paikoilleen ja vetää irti kun lopettaa käytön?

Ihan esimerkkinä. DVD aseman paikalle 4x2,5” levyt.

CHIEFTEC 1x5.25in bay for 4x2.5in S-ATA HDD Hot-Swap Metal

Chieftec CMR-425. Malli: Liitinpaneeli, Tuettujen tallennusasemien korkeudet: 9.5 mm, Tuulettimien määrä: 1 tuuletin(ta). Tuotteen leveys: 146 mm, Tuotteen syvyys: 168 mm, Tuotteen korkeus: 42 mm. Sisältää johdot: SATA

www.vpd.fi

edit: paremmat kuvat ja halvempi

CHIEFTEC 1x5.25in bay for 4x2.5in S-ATA HDD Hot-Swap Metal (CMR-425)

Chieftec CMR-425 - Muistin mobiili teline - 2.5"

kauppa.cruzbroker.fi

 

[Sally_Spectra]

Kiitos vinkeistä kaikille. Näyttäisi nuo kotelon sisään tulevat telakat olevan se helpoin ja varmin tapa varmistaa, että yhdeltä levyltä ei ole pääsyä muihin (kun muut ei kiinni). Täytyy varmaan joulupukilta toivoa koteloa ja siihen sopivaa telakkaa.