我有 Windows 7 和 Windows 10 筆記型電腦。我正在考慮一個防彈保護電腦免受網路威脅(例如過去幾天和幾個月裡猖獗的勒索軟體攻擊)的方法。
我正在考慮一種方法,使用筆記型電腦的原始 Windows 作業系統來處理硬體 - 顯示器、鍵盤、滑鼠和音訊 - 但將網路限制為機器內部的某些隔離環境 - 虛擬機器或類似的東西。
理想情況下,Windows 不應看到任何類型的網路連線 - 沒有進路也沒有出路。但從虛擬機器內部聯網是可能的。然後,如果像 Petya 或 Wannacry 這樣的勒索軟體進入,它只會破壞虛擬機,而不是真正的硬體。
如何才能實現這個目標?我自己想到的唯一想法是向 VirtualBox 公開一個串行端口,並使用它與充當網頁伺服器的 Linux 盒子建立 PPP 互聯網連接。或使用帶有古老的外部電話調製解調器的串行端口。
這能保護 Win10 PC 免受勒索軟體攻擊嗎?誰能想到更實用的東西嗎?
答案1
您認為這意味著勒索軟體和其他威脅僅有的透過互聯網發生。攻擊的第一步應該是防毒。
我建議的第一件事是啟用“影集副本 (VSS)「在您的 PC 上,並擁有主動備份解決方案,甚至可以備份到具有權限的本機磁碟機。
其次,這取決於您希望解決網路問題的程度。例如,如果您想減輕 PC 上的攻擊威脅,第一步是限制您登入的使用者的權限,並用於runas執行管理功能。
現在,對於限制存取網路的方法,Virtual Box將需要使用NIC Pass-through或直接NAT;這個問題似乎就夠了 -VirtualBox:設定網路介面卡專用於Guest VM其中規定如下:
我設定了來賓虛擬機器的 Virtualbox 配置,將網路模式設為“橋接”,並連接到主機的 LAN 連線。
在主機上,我停用了連線屬性清單中除「VirtualBox 橋接網路驅動程式」之外的所有內容。
隨後我可以從我的客戶作業系統存取互聯網,但不能從主機存取互聯網。
另一種字串方法可能是設定您的主機檔案以阻止所有網路連線(如重新路由到127.0.0.1),同時不阻止 Virtual Box 的網路連線(除非您橋接連線)。
我將如何處理你的問題
現在,為了幫助減輕您擔心的威脅,我有一個建議:
更專注於發生設定事件時的恢復,而不是阻止它
現在我這麼說是因為有沒有這樣的事作為防彈系統。你需要一個後備計劃。
- 啟用 VSS 以進行損壞的檔案到檔案備份;
- 運行嚴格的資料備份流程(最好備份到現場 NAS);
- 確保您使用合適的防毒軟體(最好有捆綁的防火牆)並保持最新狀態;
- 如果病毒試圖運行,則限制使用者權限;
- 使用 AxCrypt 等程式加密您的檔案。
在現代 PC 上安裝作業系統需要 15 分鐘,但恢復所有備份失敗的資料可能需要更多時間。
防彈網路攻擊
再說一遍,不存在這樣的事情。但是,如果您的主機 PC 僅需要訪問一小部分網站,我建議:
- 託管所有內容並添加只有你的需要將網站列入例外清單;
- 使用 Windows 防火牆或其他應用程序,制定應用程式特定的存取 URL、IP 和連接埠的規則
如果您只關心 Windows 環境(也許運行 Linux)上的網路攻擊雙啟動如果可能的話,對您來說是一種更安全的方法。
總而言之,這些都是建議和意見,您的意見沒有“正確或錯誤”的答案,所以祝您好運。