1 台のマシンに、別々のパーティションまたは別々の物理ドライブに 2 つの Windows 10 をインストールしたいと考えています。
これまで自己暗号化ドライブを使用したことがないので、これが可能かどうかはわかりませんが、各自己暗号化ハード ドライブを個別のパスワードで起動し、1 つの Windows インストール/ドライブから他の自己暗号化ドライブ/Windows インストールにある使用可能なデータにアクセスできないようにしたいと考えています。残念ながら、最大限のハードウェア パフォーマンスとドライバー サポートが必要なため、仮想化では私のニーズを満たすことはできません。
どうすればいいでしょうか? UEFI モード BIOS で、自己暗号化 SSD ドライブごとに個別のブート パスワードを作成できますか? または、どちらかの Windows インストールで Bitlocker を有効にするだけでうまくいくでしょうか? どちらかの Windows インストールでもう一方のドライブを初期化しなければ十分でしょうか?
私は、1 つの Windows インストール/ドライブで本格的な作業を行いながら、もう 1 つのドライブでさまざまな安全でないソフトウェアを試してみようと考えています。そのため、安全でないソフトウェアをインストールするドライブにインストールするものが、仕事用のドライブと Windows インストールへのデータに悪影響を与える (読み取りまたは書き込みを行う) ことは避けたいと考えています。
答え1
「安全でないソフトウェア」(Windows 10 以外)に「最大限のハードウェアとドライバー」が必要だなんて信じられません。
これは通常、前述のようにサンドボックス/バーナー/VM の状況で処理されます。
そうは言っても、物理マシンにアクセスできるものはすべて、そのマシンにアクセスできます。Win10 には UEFI フックがあるため、マシンは依然として UEFI の脆弱性にさらされることになります。
暗号化が最善策ですが、暗号化されたデータが再暗号化される身代金攻撃や、低レベルのキーロガーなどを軽減することはできません。
答え2
オペレーティング システムや疑わしいソフトウェアを試してみたい場合、デュアル ブートや個別のディスクを使用することは非常に非効率的です。
実験環境に入るには再起動する必要があり、その後、壊れた場合は再構築する必要があります。非常に時間がかかります。
適切な最新のマシン (特に SSD ドライブ搭載) を使用すると、非常に優れたパフォーマンスを発揮する仮想マシンを構築できます。私はここで常に VM で作業しています。
Windows Pro ホストをセットアップしてから、VMware Workstation Pro (非常に柔軟) または Hyper-V (Windows Pro に付属、まあまあだが VMware ほど柔軟ではない) を使用します。私は 2 台の異なるホスト コンピューターに両方をインストールしています。柔軟性が気に入っているので、主に VMware Workstation を使用しています。
実験に関しては、VM のバックアップを作成し、必要に応じて実験し、完了したらバックアップを復元することができます。
これについては2つのことが言えます:
(A)疑わしいソフトウェアがネットワーク対応である場合は、ホストのみVM をメイン ホストから分離するための接続。
(B) 実験が短期的な性質のものである場合、Windows Sandbox の使用も検討してください。これは、ホストから分離された一時的な Windows マシンであり、ホストの再起動時に消えます。
サンドボックスは Hyper-V で最も効果的に機能しますが、最新バージョンの VMware Workstation Pro および Windows 11 Pro でも機能するはずです。
サンドボックスはホスト マシンと同じ OS です (つまり、ホストが Windows 10 の場合は Windows 10、ホストが Windows 11 の場合は Windows 11)。Windows 11 ホストを使用している場合は、Windows 10 (またはそれ以下) の VM が必要になることがあります。つまり、仮想マシンの柔軟性を意味します。
答え3
安全でないソフトウェアにはさまざまな意味があり、必ずしもここで説明したものとは限りません。競合するドライバー、同じプログラムの複数のバージョンなどはすべて安全でない可能性があり、別の環境で実行しないと操作や生産性に影響を与える不安定性が生じる可能性があります。
また、VM を使用しないことには十分な理由もあります (ほとんどのシナリオには当てはまりませんが)。その 2 つは、PCI デバイスをパススルーする必要がある場合にメモリ割り当てがロックされること、暗号化されたファイルシステムを使用する場合のパフォーマンス/ディスク使用量 (すべてのスペースが割り当てられ、システム イメージが迅速にバックアップされるなど) です。
たとえば、私は 1 年以上もの間、BitLocker を備えた独立した Windows システムを備えた 2 つの NVME を作ろうと苦労してきました。1 つは企業発行の Windows イメージをホストし、もう 1 つは私の個人用 OS です。両方のドライブを完全に独立させたいので、何が起こっても次のことが可能になります。
- 個人用のドライブ/イメージを削除した後、システムを元のドライブ/イメージとともに会社に返却する
- 何らかの理由で自分の NVME を削除した場合でも、別のコンピューターに自分の NVME をインストールしてアクセスでき、同時にラップトップを紛失した場合に備えて暗号化された状態を維持できます。
両方のドライブを物理的にインストールした手順は次のとおりです。
- ドライブ 0 に corp イメージを展開します。winPE 中に、ドライブ 1 に割り当てられたドライブ文字を削除しました。corp ポリシーにより、削除できないものはすべて暗号化されます。
- BIOS に移動し、ドライブ 0 を無効にして (システムではまったく認識されません)、個人用イメージをインストールします (Windows が他のインストール/ブート マネージャーを検出するのではなく、独立して検出するようにするため)。
長い間、起動時に BitLocker がキーを要求するという問題がありました。2 枚のカードを備えた外付け Thunderbolt PCIe エンクロージャを使用し、TB プリブートを有効にしていたためだと理解するのにしばらく時間がかかりました。インストールされている PCIe デバイス (ドッキング/ドッキング解除) の変更により、TPM -> BitLocker がトリガーされます。
しかし、今でも TB の PCIe プリブートを無効にしていますが、これは私の個人用イメージで発生し続けており、その理由を本当に理解できません。
元の投稿者/著者の言うとおり、毎回 BIOS に入り、非テスト パーティションを有効/無効にして「安全でない」パーティションから見えなくしない限り (できる場合)、できることはほとんどありません。暗号化により、安全でないディスクのソフトウェアが安全なディスクのデータを読み取ることは防止されますが、上書きすることはできません。