¿Cómo puedo tener dos instalaciones de Windows en unidades separadas y asegurarme de que una instalación de Windows no pueda acceder a los archivos de la otra unidad?

Question 1

No puedo creer que el "software inseguro" (aparte de Windows 10) necesite "el máximo de hardware y controladores".

Esto normalmente se manejaría en una situación de sandbox/burner/vm como se mencionó anteriormente.

Dicho esto, cualquier cosa que tenga acceso a la máquina física, tiene acceso a la máquina. Creo que win10 tiene ganchos uefi, por lo que aún haría que su máquina sea susceptible a cualquier exploit allí.

El cifrado sería su mejor opción, pero eso no mitigaría un ataque de rescate, donde sus datos cifrados se vuelven a cifrar, ni un registrador de teclas de bajo nivel, o, o, o.

Answer

No puedo creer que el "software inseguro" (aparte de Windows 10) necesite "el máximo de hardware y controladores".

Esto normalmente se manejaría en una situación de sandbox/burner/vm como se mencionó anteriormente.

Dicho esto, cualquier cosa que tenga acceso a la máquina física, tiene acceso a la máquina. Creo que win10 tiene ganchos uefi, por lo que aún haría que su máquina sea susceptible a cualquier exploit allí.

El cifrado sería su mejor opción, pero eso no mitigaría un ataque de rescate, donde sus datos cifrados se vuelven a cifrar, ni un registrador de teclas de bajo nivel, o, o, o.

Question 2

Si desea experimentar con sistemas operativos y software cuestionable, utilizar arranque dual o discos separados será muy ineficaz.

Debe reiniciar para ingresar al entorno experimental y luego, si se rompe, debe reconstruirlo. Muy lento.

Con una máquina moderna decente (y especialmente con unidades SSD) puedes construir máquinas virtuales que funcionen muy bien. Trabajo aquí en una máquina virtual todo el tiempo.

Configure su host Windows Pro, luego use VMware Workstation Pro (muy flexible) o Hyper-V (viene con Windows Pro y es decente, pero no tan flexible como VMware). Tengo ambos en dos computadoras host diferentes. Utilizo principalmente VMware Workstation porque me gusta la flexibilidad.

En términos de experimentación, puede hacer una copia de seguridad de la VM, experimentar como desee y restaurar la copia de seguridad cuando haya terminado.

Dos cosas sobre esto:

(A) Si el software cuestionable es compatible con la red, utilice unSólo anfitriónconexión para que su VM se aísle de su host principal.

(B) Si la experimentación es de corta duración, considere también utilizar Windows Sandbox. Esta es una máquina Windows temporal, aislada del host y luego desaparece al reiniciar el host.

Sandbox funciona mejor con Hyper-V, aunque también debería funcionar con la versión más reciente de VMware Workstation Pro y Windows 11 Pro.

Sandbox es el mismo sistema operativo que la máquina host (por lo tanto, Windows 10 si el host es Windows 10 y Windows 11 si el host es Windows 11). Es posible que necesite una máquina virtual con Windows 10 (o inferior) si está utilizando un host de Windows 11. Eso significa la flexibilidad de las máquinas virtuales.

Answer

Si desea experimentar con sistemas operativos y software cuestionable, utilizar arranque dual o discos separados será muy ineficaz.

Debe reiniciar para ingresar al entorno experimental y luego, si se rompe, debe reconstruirlo. Muy lento.

Con una máquina moderna decente (y especialmente con unidades SSD) puedes construir máquinas virtuales que funcionen muy bien. Trabajo aquí en una máquina virtual todo el tiempo.

Configure su host Windows Pro, luego use VMware Workstation Pro (muy flexible) o Hyper-V (viene con Windows Pro y es decente, pero no tan flexible como VMware). Tengo ambos en dos computadoras host diferentes. Utilizo principalmente VMware Workstation porque me gusta la flexibilidad.

En términos de experimentación, puede hacer una copia de seguridad de la VM, experimentar como desee y restaurar la copia de seguridad cuando haya terminado.

Dos cosas sobre esto:

(A) Si el software cuestionable es compatible con la red, utilice unSólo anfitriónconexión para que su VM se aísle de su host principal.

(B) Si la experimentación es de corta duración, considere también utilizar Windows Sandbox. Esta es una máquina Windows temporal, aislada del host y luego desaparece al reiniciar el host.

Sandbox funciona mejor con Hyper-V, aunque también debería funcionar con la versión más reciente de VMware Workstation Pro y Windows 11 Pro.

Sandbox es el mismo sistema operativo que la máquina host (por lo tanto, Windows 10 si el host es Windows 10 y Windows 11 si el host es Windows 11). Es posible que necesite una máquina virtual con Windows 10 (o inferior) si está utilizando un host de Windows 11. Eso significa la flexibilidad de las máquinas virtuales.

Question 3

El software inseguro puede significar muchas cosas y no necesariamente lo que se ha descrito: controladores en conflicto, múltiples versiones del mismo programa, pueden ser todos inseguros, lo que significa que pueden crear inestabilidad que afectaría las operaciones/productividad si no se realiza en un entorno separado.

Y también hay muy buenas razones (aunque no se aplican en la mayoría de los escenarios) para no utilizar una máquina virtual. Algunos de ellos son: asignación de memoria bloqueada en caso de que sea necesario pasar a través de un dispositivo PCI y rendimiento/uso del disco cuando se utiliza un sistema de archivos cifrado (todo el espacio asignado, copia de seguridad rápida de la imagen del sistema, etc.)

Por ejemplo, he estado luchando durante más de 1 año tratando de tener 2 NVME separados con sistemas Win independientes, ambos con bitlocker: uno aloja una imagen de Windows emitida por la empresa y el segundo, mi sistema operativo personal. Quiero que ambas unidades sean completamente independientes para que, pase lo que pase, pueda:

Devolver el sistema a la empresa con su unidad/imagen original después de eliminar la mía personal.
Poder instalar y acceder a mi nvme personal en otra computadora si lo elimino por cualquier motivo y al mismo tiempo mantenerlo encriptado en caso de que se pierda la computadora portátil.

Así es como procedí con ambas unidades instaladas físicamente:

Implemente la imagen de la empresa en la unidad 0. Durante winPE eliminé la letra de unidad asignada a la unidad 1: la política de la empresa cifra todo lo que no sea extraíble.
Vaya al BIOS, desactive la unidad 0 (el sistema no la ve en absoluto), instale la imagen personal (no quería que Windows detectara otro administrador de instalación/arranque, sino que fuera independiente).

Durante mucho tiempo tuve problemas con Bitlocker solicitando la clave al arrancar; Me tomó un tiempo entender que era porque uso un gabinete PCIe Thunderbolt externo con 2 tarjetas y tenía activado el prearranque de TB: un cambio en los dispositivos PCIe instalados (acoplados/desacoplados) activa el TPM->BitLocker.

Pero incluso ahora desactivé el prearranque PCIe de TB que sigue sucediendo en mi imagen personal y realmente no puedo entender por qué.

COMO acariciar la publicación/autor original: a menos que (si puede) quiera ir al BIOS cada vez y habilitar/deshabilitar su partición que no es de prueba para hacerla invisible para la "insegura", hay poco que pueda hacer. El cifrado evitará que el software del disco no seguro lea los datos del disco seguro pero no los sobrescriba.

Answer

El software inseguro puede significar muchas cosas y no necesariamente lo que se ha descrito: controladores en conflicto, múltiples versiones del mismo programa, pueden ser todos inseguros, lo que significa que pueden crear inestabilidad que afectaría las operaciones/productividad si no se realiza en un entorno separado.

Y también hay muy buenas razones (aunque no se aplican en la mayoría de los escenarios) para no utilizar una máquina virtual. Algunos de ellos son: asignación de memoria bloqueada en caso de que sea necesario pasar a través de un dispositivo PCI y rendimiento/uso del disco cuando se utiliza un sistema de archivos cifrado (todo el espacio asignado, copia de seguridad rápida de la imagen del sistema, etc.)

Por ejemplo, he estado luchando durante más de 1 año tratando de tener 2 NVME separados con sistemas Win independientes, ambos con bitlocker: uno aloja una imagen de Windows emitida por la empresa y el segundo, mi sistema operativo personal. Quiero que ambas unidades sean completamente independientes para que, pase lo que pase, pueda:

Devolver el sistema a la empresa con su unidad/imagen original después de eliminar la mía personal.
Poder instalar y acceder a mi nvme personal en otra computadora si lo elimino por cualquier motivo y al mismo tiempo mantenerlo encriptado en caso de que se pierda la computadora portátil.

Así es como procedí con ambas unidades instaladas físicamente:

Implemente la imagen de la empresa en la unidad 0. Durante winPE eliminé la letra de unidad asignada a la unidad 1: la política de la empresa cifra todo lo que no sea extraíble.
Vaya al BIOS, desactive la unidad 0 (el sistema no la ve en absoluto), instale la imagen personal (no quería que Windows detectara otro administrador de instalación/arranque, sino que fuera independiente).

Durante mucho tiempo tuve problemas con Bitlocker solicitando la clave al arrancar; Me tomó un tiempo entender que era porque uso un gabinete PCIe Thunderbolt externo con 2 tarjetas y tenía activado el prearranque de TB: un cambio en los dispositivos PCIe instalados (acoplados/desacoplados) activa el TPM->BitLocker.

Pero incluso ahora desactivé el prearranque PCIe de TB que sigue sucediendo en mi imagen personal y realmente no puedo entender por qué.

COMO acariciar la publicación/autor original: a menos que (si puede) quiera ir al BIOS cada vez y habilitar/deshabilitar su partición que no es de prueba para hacerla invisible para la "insegura", hay poco que pueda hacer. El cifrado evitará que el software del disco no seguro lea los datos del disco seguro pero no los sobrescriba.

¿Cómo puedo tener dos instalaciones de Windows en unidades separadas y asegurarme de que una instalación de Windows no pueda acceder a los archivos de la otra unidad?

Respuesta1

Respuesta2

Respuesta3

información relacionada