Вопрос или проблема
Я хочу использовать свой ПК как для игр, так и для таких вещей, как хранение криптовалютных кошельков, интернет-банкинг и т.д. Мне нужно устанавливать игры с правами администратора, но, конечно, я не хочу, чтобы они могли получить доступ к данным моих кошельков, даже если у них есть кейлоггеры. Кроме того, игры требуют полной производительности. Единственный способ, который я вижу для достижения этого, — иметь 2 установки Windows в моей конфигурации загрузки:
- Не зашифрованная Windows для игр
- Зашифрованная Windows с криптовалютными кошельками
Проблема безопасности заключается в том, что приложения, работающие в не зашифрованных окна, могут изменить загрузчик VC, чтобы получить мой пароль. Есть ли способ предотвратить это? Есть ли какие-то другие проблемы?
Я знаю о холодных кошельках, пожалуйста, не советуйте их.
Проблема безопасности заключается в том, что приложения, работающие в не зашифрованных окна, могут изменить загрузчик VC, чтобы получить мой пароль. Есть ли способ предотвратить это? Есть ли какие-то другие проблемы?
При включенной функции Secure Boot (на любом компьютере x86-64, собранном за последние 10 лет) этого не произойдет.
Secure Boot был недавно взломан, так что вам стоит поддерживать свою BIOS и установку Windows в актуальном состоянии.
Честно говоря, мне даже не нравится идея потенциального вредоносного ПО, сосуществующего с вашей защищенной Windows установкой. Если бы я оказался в этой ситуации, я бы использовал два физических диска и переключался между ними по мере необходимости.
Современная Windows имеет несколько функций для защиты процесса загрузки.
Secure Boot. ПК с UEFI и модулем доверенной платформы (TPM) могут быть настроены на загрузку только доверенных загрузчиков ОС.
Trusted Boot. Windows проверяет целостность каждого компонента процесса запуска перед его загрузкой.
Early Launch Anti-Malware (ELAM). ELAM тестирует все драйверы перед их загрузкой и предотвращает загрузку недопустимых драйверов.
Measured Boot. Прошивка ПК фиксирует процесс загрузки, и Windows может отправить его на доверенный сервер, который может объективно оценить состояние ПК.
Вы также можете рассмотреть возможность создания виртуальной машины для ваших криптовалютных кошельков и запускать все криптовалютные операции в этой виртуальной машине, а игры запускать напрямую. Вы также можете дополнительно усилить и защитить эту криптовалютную виртуальную машину с помощью некоторых стандартов защиты.
Ответ или решение
Изоляция зашифрованных и незашифрованных установок Windows и защита загрузчика
Вопрос о безопасной эксплуатации ПК для игр и хранения критически важных данных, таких как криптовалютные кошельки или данные интернет-банкинга, действительно требует тщательного подхода к безопасности. Использование двух установок Windows — одна зашифрованная для работы с криптокошельками, и другая незашифрованная для игр — может помочь минимизировать риски, но это создает новые проблемы, особенно в отношении защиты загрузчика.
Защита загрузчика Windows
Угроза, связанная с вредоносными программами, работающими в незашифрованной установке Windows, заключается в том, что они могут получить доступ к загрузчику и, таким образом, к вашему зашифрованному окружению. Тем не менее, современные версии Windows предлагают ряд функций безопасности, которые могут помочь защитить вашу систему:
-
Secure Boot (Безопасный загрузчик): Это функция UEFI, которая позволяет загружать только проверенные загрузчики операционных систем. Убедитесь, что Secure Boot включен в BIOS. Эта функция позволяет предотвращать исполнение несанкционированного кода до загрузки операционной системы.
-
Trusted Boot (Доверенная загрузка): Windows проверяет целостность всех компонентов загрузочного процесса, что препятствует загрузке модифицированных или вредоносных компонентов.
-
Early Launch Anti-Malware (ELAM): Эта функция предотвращает загрузку непроверенных драйверов, что может остановить действие вредоносных программ до их полноценного запуска.
-
Measured Boot (Измеренная загрузка): Записывает весь процесс загрузки и позволяет проверить целостность системы с использованием доверенных серверов.
Дополнительные меры безопасности
Хотя перечисленные функции действительно повышают безопасность системы, все равно существует риск, что вредоносное ПО может повлиять на установку, работающую с криптокошельками. Вот несколько предложений по повышению уровня защиты:
-
Физическая изоляция: Если это возможно, стоит рассмотреть вариант установки двух физических дисков и переключения между ними в зависимости от ваших нужд. Это может значительно снизить риск манипуляций вредоносного ПО с загрузчиком.
-
Использование виртуальных машин (VM): Рассмотрите возможность запуска криптокошельков в виртуальной машине, работающей на вашей зашифрованной установке Windows. Виртуализация может добавить дополнительный уровень изоляции, а также возможность применения политик безопасности и жесткой настройки виртуальной среды для защиты ваших активов.
-
Обновление и патчинг: Регулярное обновление BIOS, операционной системы и всех приложений крайне важно. Это также включает надстройку для ядра Windows, что может защитить систему от уязвимостей.
-
Мониторинг и анализ угроз: Установите решения для мониторинга безопасности в обеих средах, чтобы обнаруживать и реагировать на потенциальные угрозы.
-
Соблюдение принципов безопасности: Избегайте установки игр или любых других программ из ненадежных источников, особенно в вашей зашифрованной среде. Используйте стандартные учетные записи пользователей для игр и панелей администрирования, чтобы снизить риск.
Заключение
Организация эффективной защиты между зашифрованными и незашифрованными установками Windows — это задача, требующая комплексного подхода. Использование современных инструментов и методов безопасности, таких как Secure Boot, Trusted Boot и виртуализация, может существенно снизить риски, связанные с безопасностью. Однако необходимо постоянно отслеживать обновления и угрозы, чтобы убедиться, что ваши данные остаются в безопасности.