Question:
Une VM telle que Virtualbox serait-elle ma meilleure option pour la sécurité au quotidien tout en travaillant?
user151357
2017-06-21 09:36:22 UTC
view on stackexchange narkive permalink

Je dirige une petite entreprise hors de chez moi et je ne fais pas vraiment de travail, pas de jeux et je ne coupe aucun code ou quoi que ce soit de cette nature. Une grande partie de ce que je fais est des ventes par téléphone, donc j'accède simplement à mon compte gmail de travail basé sur le Web, j'envoie des contrats PDF à signer électroniquement et je les stocke sur un lecteur cloud et je recherche beaucoup d'informations conduit etc.

Je pourrais probablement m'en tirer avec un client léger, mais je viens d'acheter un ordinateur portable bon marché, et je suis curieux de savoir si je suis sur la bonne voie en pensant que Virtualbox pour les affaires quotidiennes est ma meilleure option pour la sécurité et la convivialité pour un seul bureau exécutant Windows 10 (et si oui, je devrais peut-être opter pour un système d'exploitation plus léger).

de quoi voulez-vous vous protéger *?
Pourquoi n'utilisez-vous pas simplement Windows 10 directement, comme il est censé être utilisé?
Vous voudrez peut-être jeter un œil à [Qubes OS] (https://en.wikipedia.org/wiki/Qubes_OS).Ce projet contient une bonne documentation sur la façon de séparer vos tâches en différentes machines virtuelles.
En outre, dans une machine virtuelle, vous pouvez prendre des instantanés qui vous permettent de restaurer à un état antérieur et ils ne sont pas accessibles à partir du système d'exploitation client.
Utilisez-vous des programmes qui nécessitent Windows?
Comme le dit notre [help / on-topic], "La sécurité est un sujet très contextuel: les menaces jugées importantes dans votre environnement peuvent être sans conséquence chez quelqu'un d'autre, et vice versa. Essayez-vous de protéger quelque chose de valeur globale contre Advanced PersistentMenaces? Ou recherchez-vous une approche rentable pour une petite entreprise discrète? Pour obtenir les réponses les plus utiles, vous devez nous dire: [...] qui utilise l'actif que vous essayez de protéger et qui vouspense que vous voudrez peut-être en abuser (et pourquoi), [...] "- voir ici pour une citation complète.Pouvez-vous modifier la question en conséquence?
si quelqu'un veut suivre votre navigation / lecture des entrées du clavier, il ne devrait pas y avoir beaucoup de différence entre le système d'exploitation natif et virtuel.En fait, si un malware est correctement codé, il ne devrait pas y avoir beaucoup de différence.
Six réponses:
John Deters
2017-06-21 09:53:49 UTC
view on stackexchange narkive permalink

En utilisant la même VM pour la navigation, les documents Word et les e-mails, vous exposez toutes vos données au même niveau de risque.

Au lieu de faire toute cette activité dans la VM, envisagez de faire votre navigation et vos e-mails dans la VM, mais le travail du contrat et la comptabilité sur le système d'exploitation hôte. De cette façon, si vous êtes hameçonné, l'attaque est limitée à la VM et ne peut pas faire de choses vraiment désagréables comme crypter vos documents et les conserver contre une rançon.

assurez-vous simplement de ne pas partager de dossiers ou de lecteurs entre l'hôte et la machine virtuelle - ou si vous devez vraiment le faire, utilisez-le simplement comme dossier temporaire (copiez et sortez)
L'utilisation du courrier électronique dans la machine virtuelle et du travail de document sur l'hôte sans partage de fichiers semble très peu pratique.
@zakinster et la sécurité au détriment de la convivialité coûtent souvent la sécurité?Quelque chose comme ça, pour autant que je me souvienne.
En plus des conseils de John Deters, vous devez créer un instantané de la machine juste après son installation ou sa mise à niveau vers le dernier correctif.N'oubliez pas d'y revenir à la fin de la journée, à la fin de la semaine ou juste après avoir fait quelque chose de suspect, comme exécuter un logiciel inconnu ou visiter un site douteux.
Êtes-vous sûr de vouloir dire * phishing * dans le deuxième paragraphe?Le phishing est une attaque d'ingénierie sociale.C'est l'une des menaces pour lesquelles une machine virtuelle * n'offre pas * beaucoup de protection.
@Philipp si l'attaque de phishing vous convainc de télécharger un fichier douteux qui tente ensuite de retenir votre système contre une rançon, il finira par retenir la VM invitée en otage plutôt que la VM hôte.Si vous vous connectez à un faux site et entrez vos identifiants bancaires, cela ne vous aidera pas;)
J'allais voter pour, mais je me suis ensuite souvenu des [macros sous Windows] (https://security.stackexchange.com/q/98224/89949).Dans sa VM, ils peuvent ne rien faire, mais dans son compte administrateur Windows, il peut provoquer une grève "mortelle" silencieuse.En utilisant [qubes (comme suggéré dans une autre réponse)] (https://security.stackexchange.com/a/162426/89949), même lors de l'ouverture d'un seul document, il y aurait une virtualisation "office-app", quine pourra affecter aucun autre document.
@Armfoot, il y a de nombreux niveaux de détail que j'aurais pu aborder avec cette réponse.Plutôt que de lui dire de jongler avec trois machines virtuelles, ce qui se traduirait par une expérience utilisateur complexe et déroutante pour lui, j'ai suggéré une seule machine virtuelle pour les activités les plus risquées que l'utilisateur effectue, et le système d'exploitation hôte pour isoler les données les plus importantes les plus exposées au risque.perte.Cela semblait être la réponse la plus simple qui lui donnerait un niveau de protection raisonnable tout en lui offrant une expérience pratique.
@Mołot Vous pensez à la [Règle d'utilisation d'Avid] (https://security.stackexchange.com/a/6116/46979).
J'ajouterais que Microsoft publie des images de système d'exploitation gratuites avec des navigateurs Web installés à des fins de test.Vous pouvez bien sûr les utiliser.
Au fait, il pourrait partager des dossiers si les dossiers sont en lecture seule, n'est-ce pas?
@zakinster ce n'est donc pas le cas.Étant donné que les deux machines ont un accès Web, on peut utiliser un service cloud pour synchroniser les fichiers entre elles.Choisissez-en un qui dispose d'un contrôle de version.En prime, certains services cloud effectuent une analyse antivirus sur les fichiers téléchargés.
@Mindwin On pourrait soutenir que la synchronisation dans le cloud est une sorte de partage de fichiers.Quoi qu'il en soit, attendre qu'un fichier soit synchronisé sur le cloud, puis synchronisé à nouveau sur la VM avant de l'utiliser comme pièce jointe à un e-mail est précisément ce que j'appelle «très peu pratique».
William Sandin
2017-06-21 10:01:47 UTC
view on stackexchange narkive permalink

Dans le cadre d'une configuration Windows, un hyperviseur tel que VirtualBox, VMware permet d'isoler votre invité de l'hôte (l'installation principale de votre OS).

Il s'agit d'un geste réfléchi en termes de sécurité, si vous avez affaire à des activités ou à des fichiers / logiciels qui présentent un risque de compromettre vos données. Un exemple serait pour les analystes de sécurité, qui analysent quotidiennement les logiciels malveillants.

Donc, s'il s'agit de votre ordinateur professionnel: il peut être judicieux d'encapsuler une installation dans une machine virtuelle si jamais vous prêtez votre ordinateur pour que quelqu'un l'utilise, télécharger / installer des logiciels ou des torrents non signés, etc. Sortir d'une machine virtuelle nécessite des attaques très sophistiquées, et est un exploit très apprécié sur le marché des 0 jours.

C'est l'invité que vous souhaitez isoler de l'hôte et non l'inverse.

Il existe certains systèmes d'exploitation tels que Qubes ( https://www.qubes-os.org/ ), qui fait la virtualisation des applications - ce qui signifie que chaque application s'exécute dans sa propre instance isolée.

À en juger par votre description de l'utilisation quotidienne, vous êtes un utilisateur à risque assez faible.

  • N'ouvrez que les fichiers, les e-mails provenant d'entités de confiance.

  • Ayez des mots de passe uniques, et changez-les régulièrement. Surveillez les fuites de sites piratés sur lesquels vous vous êtes enregistré via haveibeenpwned.com

  • Utilisez toujours la dernière version de votre navigateur Web, Adobe PDF, Java et Flash si vous en avez besoin.

  • Soyez prudent avec les extensions de navigateur.

  • N'installez pas non pas signé, obsolète ou des logiciels piratés.

  • Activez l'authentification à 2 facteurs pour vos comptes cruciaux tels que GMail, Facebook, etc.

  • Crypter vos sauvegardes, le cas échéant ( pull ).

  • Soyez attentif à la façon dont vous choisissez de diviser vos machines virtuelles.

  • Configurez vos machines virtuelles avec un accès nul ou limité aux dossiers, etc. sur votre machine hôte.

  • Il existe une myriade de logiciels de renforcement dans Windows tels que EMET ( The Enhanced Mitigation Experience Toolkit ), Microsoft Security Essentials et Windows Defender.

  • Si vous exécutez une installation basée sur Linux dans votre machine virtuelle, je vous suggère d'installer une version prise en charge et d'activer les mises à niveau de sécurité sans assistance, redémarrez le serveur chaque fois qu'un nouveau noyau est installé .

Ces étapes amélioreront considérablement la sécurité des informations des utilisateurs moyens.

REMARQUE: N'oubliez pas que la machine virtuelle, séparation uniquement atténue certaines menaces et vecteurs d'attaque. Il y a beaucoup plus à prendre en compte pour mettre en place toutes les bonnes pratiques en matière de sécurité.

Merci beaucoup les gars, je viens de jeter un oeil à qubes et je pense vraiment que cela peut fonctionner pour moi.Mon problème est que lorsque je recherche des pistes pour les petites entreprises, je finis généralement par m'emmêler dans les logiciels publicitaires, surtout lorsque je suis mentalement fatigué.Je cherche donc simplement un moyen de séparer la navigation de tout le reste de manière aussi transparente que possible.Merci encore de bonnes suggestions
Suggestion pour votre dernier point sur les sauvegardes - assurez-vous de configurer une sauvegarde PULL sur un système qui s'exécute sans tête par lui-même, et auquel votre ordinateur principal ne peut pas accéder sans que vous n'ayez lancé une action - une clé SSH ou un mot de passe.
Sas3
2017-06-21 10:49:09 UTC
view on stackexchange narkive permalink

Il ne suffit pas d'utiliser les VM comme mesure de sécurité unique. Cependant, pour une personne soucieuse de la sécurité qui pratique déjà une autre hygiène de sécurité, l'utilisation de machines virtuelles pour une sécurité supplémentaire fonctionne bien.

Voici comment j'utilise VirtualBox pour une utilisation quotidienne de routine. Vous devez considérer votre utilisation et l'adapter à vos besoins.

  • Séparez les VM à des fins distinctes. Par exemple, les documents reçus de / allant vers des sources externes que je dois télécharger et utiliser vont dans une VM. Achats et opérations bancaires en ligne dans une VM temporaire distincte.
  • Garder les VM à jour avec les derniers correctifs / mises à jour est une corvée. Pour le réduire au minimum, j'utilise des modèles de VM - des VM que je n'utilise pas directement, à part pour exécuter des mises à jour. Je clone ces machines virtuelles si nécessaire et j'utilise les clones comme machines virtuelles temporaires. Supprimer après utilisation (généralement 1 heure à 1 semaine, jamais plus).
  • Dans la mesure du possible, laissez les pièces jointes et les documents en ligne (par exemple, utilisez la visionneuse PDF / la visionneuse de documents dans le navigateur de Chrome). Cela fonctionne lorsque vous ne vous inquiétez pas des fuites de documents, mais que vous souhaitez éviter les infections de logiciels malveillants à partir de documents externes.
  • Utilisez les plug-ins de navigateur uBlock Origin et uMatrix même dans les machines virtuelles pour minimiser la contamination des machines virtuelles via l'itinéraire du navigateur.
  • Une VM sur laquelle la plupart des "comptes de réseaux sociaux connectés de manière semi-parmanente" sont conservés. Recyclez cette machine virtuelle moins fréquemment que d'autres, environ une fois par mois. Soyez plus vigilant avec celui-ci en raison des risques supplémentaires.
  • Configurez les dossiers partagés pour vous assurer que les fichiers nécessaires sont disponibles dans chaque machine virtuelle, mais gardez l'accès au minimum (uniquement le répertoire spécifique nécessaire). Sur une période, cela s'inscrit dans un schéma et devient gérable. Au début, c'est pénible.
  • Absolument aucun travail sur la machine hôte. L'idée est de garder l'hôte avec le plus faible risque de tous. Si c'est parti, alors tout est parti.

J'espère que cela vous aidera.

Si vous craignez qu'un PDF malveillant puisse compromettre votre lecteur, pourquoi pensez-vous qu'il est sûr de l'ouvrir avec un navigateur?
Bon point.Les exploits sont généralement spécifiques au logiciel.Si le lecteur PDF du navigateur est ciblé, l'approche ne fonctionnera pas.Pourtant, si Chrome (et d'autres navigateurs) implémentent correctement leur sandbox, il y a toujours cette couche supplémentaire.
Pour info, les lecteurs PDF utilisent également [sandboxing] (https://www.adobe.com/devnet-docs/acrobatetk/tools/AppSec/protectedmode.html).
@DmitryGrigoryev Adobe Reader a la réputation de longue date et bien méritée d'être très peu sûr et peu préoccupé par Adobe.Chrome contient un lecteur PDF renforcé dans un environnement sandbox bien considéré.De nombreux services cloud en ligne affichent également des fichiers PDF convertis en images.
@BaileyS C'est vrai, mais en pratique, la sécurité apparente est inversement proportionnelle à la popularité des logiciels.Si Adobe prétend avoir ajouté un bac à sable, je ne vois aucune raison de se méfier de leur affirmation à moins qu'une vulnérabilité dans ce bac à sable ne soit découverte.
@DmitryGrigoryev Je pense en fait qu'Adobe a considérablement amélioré son action en matière de sécurité ces dernières années et fait beaucoup plus confiance à ses produits maintenant.Le meilleur programme de mise à jour pour Reader a été une étape importante.Chrome est également un logiciel très populaire avec un environnement sandbox plus vénérable et éprouvé.
Kaël
2017-06-21 12:54:08 UTC
view on stackexchange narkive permalink

Une réponse courte ici: si vous faites tout dans une machine virtuelle, le risque est exactement le même que si vous faisiez tout en dehors. Si votre machine virtuelle est compromise, vous avez tout perdu sauf votre ordinateur.

Comme d'autres l'ont dit, vous ne devriez utiliser une VM que pour certaines choses, en particulier pour les travaux nécessitant un accès à des sites Web / ressources / Internet à risque en général. De cette façon, vous limitez certains risques sur ce que vous avez sur votre ordinateur en dehors de la machine virtuelle.

Cependant, gardez à l'esprit que des choses comme le téléchargement d'une ressource dans votre machine virtuelle avant de l'exécuter sur votre propre ordinateur (comme un PDF avec une macro potentiellement malveillante) ne sont pas sécurisées à 100%. Certains logiciels malveillants ont été conçus pour échapper aux solutions de sandbox, de sorte qu'ils ne se déclenchent que lorsqu'ils sont en dehors d'une machine virtuelle / d'un environnement de test.

Armfoot
2017-06-23 01:34:47 UTC
view on stackexchange narkive permalink

De quoi voulez-vous vous protéger? - schroeder

Si votre réponse à cette question serait quelque chose de similaire à:

Je souhaite protéger mon entreprise des personnes qui peut être suffisamment déterminé pour causer des dommages ou voler mes documents contractuels et de recherche que je garde dans mon ordinateur.

Puis en utilisant qubes, comme mentionné par William dans une réponse précédente, virtualise les applications qui sont utilisées pour accéder à ces mêmes documents, réduisant ainsi la plupart des vecteurs d'attaque qui peuvent être causés simplement en les ouvrant.

De nombreuses personnes utilisent Windows avec la valeur par défaut Le compte administrateur et / ou ont des paramètres UAC de bas niveau. Si tel est votre cas, il y a peut-être une infime possibilité pour l'un de vos "clients" "bien intentionnés" et plus déterminés de vous envoyer un document Word / Excel peu visible, produit par un "ami qui peut faire des merveilles avec les documents" lorsqu'il est ouvert sur votre Windows 10 exécute des macros, provoquant une grève silencieuse et "mortelle".

Si votre ordinateur n'a pas la configuration minimale requise pour qubes ou si vous pensez que c'est trop compliqué de le faire, alors j'inverserais peut-être la suggestion de John, en ce sens que vous ne devriez conserver, accéder et modifier vos documents que dans une VM chiffrée avec un système d'exploitation Linux fréquemment mis à jour (limitant la possibilité de ces attaques) tout en déchiquetant les documents de votre système d'exploitation Windows.

Sauvegardez cette image de VM fréquemment et si vous le souhaitez allez un peu plus loin puis utilisez une autre VM juste pour accéder à vos sites Web de messagerie et de travail (comme SaS3 suggéré) et transférez vos documents via un lecteur flash partagé ou un dossier dont fichiers que vous déchiquetez après votre travail quotidien.

cela ressemble à un résumé de toutes les autres réponses
Merci pour ton commentaire précédent @schroeder.Je suis d'accord, sauf qu'aucune des réponses précédentes ne mentionnait les macros, le cryptage de VM, le stockage exclusif et la manipulation de documents dans une VM et, en particulier, que les risques liés aux données / aux entreprises peuvent provenir directement des clients.
salomondeep
2017-06-22 03:18:33 UTC
view on stackexchange narkive permalink

Si vous avez une entreprise où la disponibilité est critique, je recommande un hyperviseur tel que ESXi ou XenServer où vous pouvez avoir des VM distinctes à des fins différentes et gérer les réseaux à l'intérieur de l'hyperviseur. Pour que les VM à l'intérieur de l'hyperviseur communiquent avec le monde extérieur (reste d'Internet), je recommande un pare-feu, par exemple PFsense, qui fonctionne comme un pare-feu / routeur pour les réseaux internes que vous pouvez avoir dans l'hyperviseur.

Si vous voulez aller vraiment grand et fournir le maximum de disponibilité possible, je suggère 2 machines physiques avec une connexion de pont entre elles, un hyperviseur sur chaque ordinateur (de la même entreprise à des fins de compatibilité) et avec un système de migration en direct en place au cas où quelque chose se passe, par exemple pas assez de mémoire ou un ordinateur a perdu de la puissance mais l'autre est en vie. Ce que fait la migration en direct, c'est que l'hyperviseur migre (transfère) la machine virtuelle toujours active vers l'autre ordinateur et la maintient à tout moment. C'est vraiment cool.

J'ai l'impression que cela ne répond pas vraiment à la situation spécifique mentionnée dans la question.Comme la question dit "Je dirige une petite entreprise hors de chez moi ...", "Je viens d'acheter un ordinateur portable bon marché ...", etc.pas vraiment adapté à cette question particulière.
Haha et bien sûr un 2 disques en Raid 1 + une sauvegarde par machine :)


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...