È possibile proteggere il mio bare-metal dal compromesso, così posso essere abbastanza sicuro che (ad esempio) il ripristino di un'immagine del sistema VHDX ogni mese mi tiene pulito? Se é cosi, come?
Sto costruendo un nuovo PC piuttosto costoso. Mi piacerebbe isolare il mio sviluppo e gli ambienti di gioco dal firmware il più possibile, soprattutto per motivi di sicurezza (ad esempio bootkits e firmware rootkit). Ogni giorno mi preoccupo di più di aver fiducia nel mio software richiesto.
Configurazione corrente:
- Ambienti: Game (Steam, Oculus) vs. Development (Visual Studio)
- Windows 10 Professional, più licenze
- Acquistato il supporto di installazione del SO appena impacchettato per assicurarsi che sia pulito
- Esecuzione dello sviluppo da VHDX tramite Hyper-V
- L'ambiente di gioco beneficia della GPU diretta, quindi meno utile tramite Hyper-V
- Ho attivato Secure Boot
- Il sistema supporta TPM, disposto ad installare e abilitare
- Non usare BitLocker, ma è disposto a farlo
Mi interessa meno delle vulnerabilità a singola istanza (ad esempio compromettere la password di un conto bancario o lisciviare alcune GPU oggi) rispetto a problemi a lungo termine (ad esempio un bootkit che, per i prossimi quattro anni di vita di questo PC, rende tutte le password cambiamenti inefficaci o miniere continuamente criptovaluta).
Il desiderio di isolamento è anche per motivi di prestazioni banali (ad esempio, SQL Server separato dal downloader di Steam), ma attenzione hawk-like ai processi in esecuzione o semplicemente agli indirizzi dual-boot che.
Una domanda correlata, Il doppio avvio è più sicuro rispetto all'installazione di un singolo sistema operativo? , solleva ma non risolve il problema delle minacce a lungo termine. Inoltre, ritengo che la risposta accettata sottovaluti il valore per gli aggressori di compromettere una grande quantità di PC insignificanti, sottovalutando così la probabilità che ciò accada.