단일 컴퓨터에 별도의 파티션이나 별도의 물리적 드라이브에 두 개의 Windows 10을 설치하고 싶습니다.
이전에 자체 암호화 드라이브를 사용해 본 적이 없어서 이 작업을 허용할지 확실하지 않지만 별도의 비밀번호를 사용하여 각 자체 암호화 하드 드라이브로 부팅하고 액세스가 불가능한지 확인하고 싶습니다. 한 Windows 설치/드라이브의 사용 가능한 데이터는 다른 자체 암호화 드라이브/Windows 설치에 있습니다. 슬프게도 저는 최대의 하드웨어 성능과 드라이버 지원을 원하기 때문에 가상화가 제 요구 사항을 충족시키지 못할 것입니다.
이 문제를 어떻게 해결할까요? 각 자체 암호화 SSD 드라이브에 대해 UEFI 모드 BIOS에서 별도의 부팅 비밀번호를 생성할 수 있습니까? 아니면 Windows 설치 중 하나에서 Bitlocker를 활성화하는 것이 가장 좋습니까? 그러면 문제가 해결됩니까? 아마도 Windows 설치에서 다른 드라이브를 초기화하지 않으면 충분할까요?
한 Windows 설치/드라이브에서 진지한 작업을 수행하는 동시에 다른 Windows에서는 안전하지 않은 다양한 소프트웨어를 실험하려고 합니다. 따라서 나는 업무용 드라이브 및 Windows 설치의 데이터를 손상(읽기 또는 쓰기)하기 위해 안전하지 않은 소프트웨어를 설치할 드라이브에 아무것도 설치하는 것을 원하지 않습니다.
답변1
"안전하지 않은 소프트웨어"(Windows 10 제외)에 "최대 하드웨어 및 드라이버"가 필요하다는 것을 믿을 수 없습니까?
이는 위에서 언급한 것처럼 일반적으로 sandbox/burner/vm 상황에서 처리됩니다.
즉, 물리적 머신에 액세스할 수 있는 모든 것은 머신에 액세스할 수 있습니다. 나는 win10에 uefi 후크가 있다고 생각하므로 여전히 컴퓨터가 어떤 공격에도 취약해질 수 있습니다.
암호화가 최선의 방법이겠지만 암호화된 데이터가 다시 암호화되는 몸값 공격이나 낮은 수준의 키로거 또는 또는 또는 또는을 완화할 수는 없습니다.
답변2
운영 체제와 의심스러운 소프트웨어를 실험하려는 경우 이중 부팅이나 별도의 디스크를 사용하는 것은 매우 비효율적입니다.
실험 환경에 들어가려면 다시 시작해야 하고, 중단되면 다시 빌드해야 합니다. 아주 느린.
괜찮은 최신 머신(특히 SSD 드라이브 포함)을 사용하면 성능이 매우 뛰어난 가상 머신을 구축할 수 있습니다. 저는 항상 VM에서 일합니다.
Windows Pro 호스트를 설정한 다음 VMware Workstation Pro(매우 유연함) 또는 Hyper-V(Windows Pro와 함께 제공되며 괜찮지만 VMware만큼 유연하지는 않음)를 사용하세요. 두 대의 서로 다른 호스트 컴퓨터에 둘 다 있습니다. 저는 유연성이 좋아서 주로 VMware Workstation을 사용합니다.
실험 측면에서 VM을 백업하고 원하는 대로 실험한 후 완료되면 백업을 복원할 수 있습니다.
이에 대한 두 가지 사항:
(A) 의심스러운 소프트웨어가 네트워크를 지원하는 경우호스트만VM을 기본 호스트에서 분리하기 위한 연결입니다.
(B) 실험이 단기적인 성격이라면 Windows Sandbox 사용도 고려해 보세요. 이는 호스트에서 격리된 임시 Windows 시스템이며, 호스트를 다시 시작하면 사라집니다.
Sandbox는 최신 버전의 VMware Workstation Pro 및 Windows 11 Pro에서도 작동해야 하지만 Hyper-V에서 가장 잘 작동합니다.
Sandbox는 호스트 시스템과 동일한 OS입니다(따라서 호스트가 Windows 10이면 Windows 10이고 호스트가 Windows 11이면 Windows 11입니다). Windows 11 호스트를 사용하는 경우 Windows 10 이하 VM이 필요할 수 있습니다. 이는 가상 머신의 유연성을 의미합니다.
답변3
안전하지 않은 소프트웨어는 많은 것을 의미할 수 있지만 반드시 묘사된 것은 아닙니다. 충돌하는 드라이버, 동일한 프로그램의 여러 버전은 모두 안전하지 않을 수 있습니다. 즉, 별도의 환경에서 수행하지 않으면 운영/생산성에 영향을 미칠 수 있는 불안정성을 초래할 수 있습니다.
그리고 (대부분의 시나리오에 적용되지 않더라도) VM을 사용하지 않는 데는 매우 타당한 이유도 있습니다. 몇 가지: PCI 장치를 통과해야 하는 경우 메모리 할당이 잠기고 암호화된 파일 시스템을 사용할 때 성능/디스크 사용량(모든 공간 할당, 시스템 이미지의 신속한 백업 등)
예를 들어 저는 비트로커가 포함된 독립적인 Win 시스템을 갖춘 2개의 별도 NVME를 갖기 위해 1년 이상 애썼습니다. 하나는 회사에서 발행한 Windows 이미지를 호스팅하고, 두 번째는 내 개인 OS를 호스팅합니다. 나는 두 드라이브가 완전히 독립적이기를 원하므로 어떤 일이 일어나더라도 다음을 수행할 수 있습니다.
- 개인 드라이브/이미지를 제거한 후 원래 드라이브/이미지와 함께 시스템을 회사에 반환합니다.
- 어떤 이유로든 제거해야 하는 경우 다른 컴퓨터에 내 개인 nvme를 설치하고 액세스할 수 있으며 동시에 노트북을 분실할 경우를 대비해 암호화된 상태로 유지할 수 있습니다.
두 드라이브를 물리적으로 설치하는 방법은 다음과 같습니다.
- 드라이브 0에 회사 이미지를 배포합니다. winPE 중에 드라이브 1에 할당된 드라이브 문자를 제거했습니다. 회사 정책은 제거할 수 없는 모든 것을 암호화합니다.
- BIOS로 이동하여 드라이브 0을 비활성화하고(시스템에 전혀 표시되지 않음) 개인 이미지를 설치합니다(창에서 다른 설치/부팅 관리자를 감지하지 않고 대신 독립적이기를 원함).
오랫동안 Bitlocker가 부팅 시 키를 묻는 문제가 있었습니다. 2개의 카드가 포함된 외부 Thunderbolt PCIe 인클로저를 사용하고 TB 사전 부팅이 활성화되었기 때문에 이를 이해하는 데 시간이 좀 걸렸습니다. 설치된 PCIe 장치(도킹/도킹 해제)를 변경하면 TPM->BitLocker가 트리거됩니다.
하지만 지금도 개인 이미지에서 계속 발생하는 TB의 PCIe 사전 부팅을 비활성화했는데 그 이유를 정말 이해할 수 없습니다.
원래 게시물/작성자를 애완동물로 삼아: (가능한 경우) 매번 BIOS로 가서 비테스트 파티션을 활성화/비활성화하여 "안전하지 않은" 파티션에 보이지 않게 만드는 경우를 제외하고는 할 수 있는 일이 거의 없습니다. 암호화는 소프트웨어가 안전하지 않은 디스크에서 안전한 디스크의 데이터를 읽는 것을 방지하지만 덮어쓰지는 않습니다.