状況:
- 企業が管理する XP デスクトップ (ロックダウンされ、定期的にパッチが適用され、ユーザー権限が制限され、SW、AV などの手動インストールがない) を備えた企業環境
要件:
- VMWare Workstation を使用して、特定のテスト目的でサンドボックス イメージ (XP も) を実行します (ゲスト VM の管理者権限を使用)。ネットワーク接続は必要ありません。ネットワークから切断された独立した物理ワークステーションは使用できません。
(ちなみに、これは合法かつ認可された要件であり、企業の制限を回避しようとしているわけではありません。)
チャレンジ:
- できるだけ安全な方法でこれを行ってください。
提案された解決策:
- ホストオンリーネットワークでイメージを作成します。
- 仮想イーサネット アダプターを削除したほうがよいかもしれません (基本的な VMWare 機能に必要かどうかはわかりません)。
質問(最後に):
- どのような潜在的なリスクが残っていますか (そして、それを最も効果的に軽減するにはどうすればよいですか)?
課題の 1 つは、ゲスト VM 自体が管理対象ワークステーションではないため、パッチ適用や AV などが保証されないことです (皮肉なことに、提案されたソリューションを考えると、実際には多少困難になります)。
答え1
基本的に、ネットワークから切断された独立した物理ワークステーションを使用する場合と同じリスクがあります。つまり、仮想マシンはホスト コンピューターや企業ネットワークに直接脅威を与えることはありませんが、仮想マシンは通常のあらゆる種類の悪意のあるソフトウェアに感染する可能性があります。また、プログラムやドキュメントが企業コンピューターと交換される場合 (たとえば、ホスト ファイル システムをゲスト VM に公開したり、USB 経由で)、これらの悪意のあるソフトウェアが拡散する可能性があります。
通常のリスク軽減戦略が適用されます: ウイルス チェック、信頼できるソフトウェアのみのインストール、...