У меня есть ноутбуки с Windows 7 и Windows 10. Я думаю опуленепробиваемыйспособ защитить компьютеры от сетевых угроз, таких как атаки программ-вымогателей, которые участились в последние несколько дней и месяцев.
Я думаю о том, как использовать оригинальную операционную систему Windows ноутбуков только для управления оборудованием — дисплеем, клавиатурой, мышью и звуком, — но ограничить сетевое взаимодействие только какой-то изолированной средой внутри машины — виртуальной машиной или чем-то вроде этого.
В идеале Windows не должна видеть никаких сетевых подключений — не было бы ни входа, ни выхода. Но сетевое взаимодействие было бы возможно изнутри виртуальной машины. Тогда, если бы туда проникла какая-нибудь программа-вымогатель вроде Petya или Wannacry или что-то в этом роде, она бы уничтожила только виртуальную машину, а не реальное оборудование.
Как этого можно добиться? Единственная идея, которая пришла мне в голову, — это открыть последовательный порт для VirtualBox и использовать его для создания PPP-подключения к Linux-боксу, который выступает в качестве сетевого сервера. Или использовать последовательный порт с древним внешним телефонным модемом.
Защитит ли это ПК Win10 от атак программ-вымогателей? Может кто-нибудь придумать что-то более практичное?
решение1
Вы рассматриваете это как средство, которое позволяет предотвратить вирусы-вымогатели и другие угрозытолькопроисходят через Интернет. Первым шагом атаки должен быть антивирус.
Первое, что я бы посоветовал, это включить "Теневое копирование (VSS)" на вашем ПК и иметь активное решение для резервного копирования, даже на локальный диск с разрешениями.
Во-вторых, это зависит от того, насколько далеко вы хотите зайти в решении вашей сетевой проблемы. Например, если вы хотите снизить угрозы атак на ПК, первым шагом будет ограничение прав доступа пользователя, под которым вы вошли в систему и используете его runasдля выполнения административных функций.
Теперь, что касается метода ограничения доступа к Интернету, Virtual Box должен будет использовать NIC Pass-through или прямой NAT; этот вопрос кажется достаточным -VirtualBox: настройка сетевого адаптера для эксклюзивного использования гостевой виртуальной машинойв котором говорится следующее:
Я настроил конфигурацию Virtualbox гостевой виртуальной машины, установил сетевой режим «Мост» и подключился к локальной сети моего хоста.
На хосте я отключил все, кроме «VirtualBox Bridged Networking Driver» в списке свойств подключения.
Впоследствии мне удалось получить доступ к Интернету с гостевой ОС, но не с хостовой.
Другой способ настройки — настроить файл хоста на блокировку всех сетевых подключений (например, перенаправить на 127.0.0.1), не препятствуя при этом сетевому подключению Virtual Box (если только вы не используете мостовое соединение).
Как бы я подошел к вашей проблеме
Теперь, чтобы помочь смягчить угрозы, которые вас беспокоят, у меня есть одно предложение:
Уделяйте больше внимания восстановлению, если произойдет определенное событие, а не его предотвращению
Теперь я говорю это, потому что естьнет такой вещикак пуленепробиваемая система. Вам нужен запасной план.
- Включить VSS для резервного копирования файлов в случае повреждения;
- Запустите строгий процесс резервного копирования данных (предпочтительно на локальном NAS);
- Убедитесь, что вы используете хороший антивирус (желательно с встроенным брандмауэром) и регулярно обновляйте его;
- Ограничьте права доступа пользователя в случае попытки запуска вируса и, наконец;
- Зашифруйте свои файлы с помощью такой программы, как AxCrypt.
Установка ОС на современном ПК занимает всего 15 минут, но восстановление всех данных, резервная копия которых не была создана, может занять больше времени.
Атаки на защищенные сети
Опять же, такого нет. Однако, если вашему хост-компьютеру нужен доступ только к очень небольшому подмножеству веб-сайтов, я бы рекомендовал:
- Разместите файл всего содержимого и добавьтеТолько ваштребуемые веб-сайты в список исключений;
- Используя брандмауэр Windows или другое приложение, создайте специальные правила для доступа к URL-адресам, IP-адресам и портам.
Если вас беспокоят только сетевые атаки на среду Windows, возможно, вы используете Linuxдвойная загрузкаэто более безопасный для вас метод, если это возможно.
В целом, это всего лишь предложения и мнения, здесь нет «правильного» или «неправильного» ответа на ваше мнение, так что удачи.