Ich möchte zwei Windows 10-Installationen auf einer einzigen Maschine haben, entweder auf separaten Partitionen oder sogar auf separaten physischen Laufwerken.
Ich habe noch nie selbstverschlüsselnde Laufwerke verwendet, daher bin ich mir nicht sicher, ob ich das tun darf, aber ich möchte jede selbstverschlüsselnde Festplatte mit einem separaten Passwort booten und sicherstellen, dass es unmöglich ist, von einer Windows-Installation/einem Windows-Laufwerk auf verwendbare Daten auf dem anderen selbstverschlüsselnden Laufwerk/Windows-Installation zuzugreifen. Virtualisierung reicht für meine Zwecke leider nicht aus, da ich maximale Hardwareleistung und Treiberunterstützung möchte.
Wie würde ich dabei vorgehen? Könnte ich im UEFI-Modus-BIOS für jedes selbstverschlüsselnde SSD-Laufwerk separate Startkennwörter erstellen? Oder ist es am besten, Bitlocker einfach bei einer der Windows-Installationen zu aktivieren, und das würde den Zweck erfüllen? Vielleicht würde es ausreichen, wenn ich das andere Laufwerk bei keiner der Windows-Installationen initialisiere?
Ich möchte auf einer Windows-Installation/einem Laufwerk ernsthaft arbeiten und auf dem anderen mit verschiedenen unsicheren Programmen experimentieren. Daher möchte ich nicht, dass irgendetwas, das ich auf dem Laufwerk installiere, auf dem ich unsichere Software installiere, Daten auf meinem arbeitsorientierten Laufwerk und meiner Windows-Installation kompromittiert (Lesen oder Schreiben).
Antwort1
Ich kann nicht glauben, dass die „unsichere Software“ (abgesehen von Windows 10) „maximale Hardware und Treiber“ benötigt?
Dies würde normalerweise in einer Sandbox-/Burner-/VM-Situation gehandhabt, wie oben erwähnt.
Das heißt, jeder, der Zugriff auf die physische Maschine hat, hat auch Zugriff auf die Maschine. Ich glaube, Win10 hat UEFI-Hooks, sodass Ihre Maschine dort immer noch anfällig für Exploits wäre.
Die beste Lösung wäre die Verschlüsselung, aber das würde weder einen Lösegeldangriff abschwächen, bei dem Ihre verschlüsselten Daten erneut verschlüsselt werden, noch einen Keylogger auf niedriger Ebene, oder, oder, oder.
Antwort2
Wenn Sie mit Betriebssystemen und fragwürdiger Software experimentieren möchten, ist die Verwendung eines Dual-Boot-Systems oder separater Festplatten sehr ineffizient.
Sie müssen neu starten, um in die experimentelle Umgebung zu gelangen, und wenn diese dann abstürzt, müssen Sie sie neu aufbauen. Sehr langsam.
Mit einer anständigen modernen Maschine (und insbesondere mit SSD-Laufwerken) können Sie virtuelle Maschinen erstellen, die sehr gut funktionieren. Ich arbeite hier ständig in einer VM.
Richten Sie Ihren Windows Pro-Host ein und verwenden Sie dann VMware Workstation Pro (sehr flexibel) oder Hyper-V (wird mit Windows Pro geliefert und ist anständig, aber nicht so flexibel wie VMware). Ich habe beide auf zwei verschiedenen Hostcomputern. Ich verwende hauptsächlich VMware Workstation, weil mir die Flexibilität gefällt.
Zum Experimentieren können Sie eine Sicherungskopie der VM erstellen, nach Belieben experimentieren und die Sicherungskopie anschließend wiederherstellen.
Zwei Dinge dazu:
(A) Wenn die fragliche Software netzwerkfähig ist, verwenden Sie eineNur HostVerbindung, um Ihre VM von Ihrem Haupthost zu isolieren.
(B) Wenn das Experiment nur von kurzer Dauer ist, sollten Sie auch die Verwendung von Windows Sandbox in Betracht ziehen. Dabei handelt es sich um eine temporäre Windows-Maschine, die vom Host isoliert ist und beim Neustart des Hosts verschwindet.
Sandbox funktioniert am besten mit Hyper-V, sollte aber auch mit der neuesten Version von VMware Workstation Pro und Windows 11 Pro funktionieren.
Sandbox verwendet dasselbe Betriebssystem wie die Host-Maschine (also Windows 10, wenn der Host Windows 10 ist, und Windows 11, wenn der Host Windows 11 ist). Sie benötigen möglicherweise eine VM mit Windows 10 (oder niedriger), wenn Sie einen Windows 11-Host verwenden. Das bedeutet die Flexibilität virtueller Maschinen.
Antwort3
Unsichere Software kann vieles bedeuten und muss nicht unbedingt das sein, was hier dargestellt wird: widersprüchliche Treiber oder mehrere Versionen desselben Programms können alle unsicher sein, d. h., sie können zu Instabilitäten führen, die sich auf den Betrieb bzw. die Produktivität auswirken würden, wenn dies nicht in einer separaten Umgebung geschieht.
Und es gibt auch sehr gute Gründe (auch wenn sie in den meisten Szenarien nicht zutreffen), keine VM zu verwenden. Einige davon sind: Speicherzuweisung gesperrt, falls ein PCI-Gerät durchgeleitet werden muss, und Leistung/Festplattennutzung bei Verwendung eines verschlüsselten Dateisystems (der gesamte Speicherplatz ist zugewiesen, das Systemabbild wird schnell gesichert usw.).
Ich versuche beispielsweise seit über einem Jahr, zwei separate NVMEs mit unabhängigen Win-Systemen zu haben, beide mit Bitlocker: eines hostet ein vom Unternehmen herausgegebenes Windows-Image, das zweite mein persönliches Betriebssystem. Ich möchte, dass beide Laufwerke völlig unabhängig sind, damit ich, was auch immer passieren mag, Folgendes tun kann:
- das System mit dem Originallaufwerk/-image an die Firma zurückgeben, nachdem ich mein persönliches entfernt habe
- Ich kann mein persönliches NVMe auf einem anderen Computer installieren und darauf zugreifen, falls ich es aus irgendwelchen Gründen entferne, und es gleichzeitig verschlüsselt halten, falls der Laptop verloren geht.
So bin ich vorgegangen, als beide Laufwerke physisch installiert waren:
- Stellen Sie das Firmenimage auf Laufwerk 0 bereit. Während WinPE habe ich den zugewiesenen Laufwerksbuchstaben für Laufwerk 1 entfernt: Die Firmenrichtlinie verschlüsselt alles, was nicht entfernbar ist.
- Gehen Sie zum BIOS, deaktivieren Sie Laufwerk 0 (es wird vom System überhaupt nicht erkannt) und installieren Sie ein persönliches Image (ich wollte nicht, dass Windows andere Installations-/Bootmanager erkennt, sondern dass es unabhängig ist).
Ich hatte lange Zeit Probleme damit, dass Bitlocker beim Booten nach dem Schlüssel fragte. Es dauerte eine Weile, bis ich verstand, dass dies daran lag, dass ich ein externes Thunderbolt-PCIe-Gehäuse mit 2 Karten verwende und TB Preboot aktiviert hatte: Eine Änderung der installierten PCIe-Geräte (angedockt/abgedockt) löst TPM->BitLocker aus.
Aber selbst jetzt habe ich den PCIe-Preboot von TB deaktiviert, der bei meinem persönlichen Image immer wieder passiert, und ich kann wirklich nicht verstehen, warum.
Wie der ursprüngliche Beitrag/Autor es formuliert: es sei denn (falls Sie das können) möchten Sie jedes Mal ins BIOS gehen und Ihre Nicht-Testpartition aktivieren/deaktivieren, um sie für die „unsichere“ unsichtbar zu machen, dann können Sie nicht viel tun. Die Verschlüsselung verhindert, dass Software von einer unsicheren Festplatte die Daten einer sicheren Festplatte liest, sie aber nicht überschreibt.