ComputerBase Menü
Aktuelles

Sicherheit bei Dualboot

H

Hedonism

Cadet 2nd Year
Registriert
Nov. 2013
Beiträge
22
Hallo,

ich hab folgende Frage. Ich möchte ein Dualboot mit 2x Win7 (Hab 2 Lizenzen) aufsetzen. Ist es möglich, es so zu machen, dass wenn ein Betriebssytem von Viren befallen worden ist, dass andere nicht betroffen ist. Ich möchte also zwei Betriebsysteme, die voneinander abgeschottet sind. Wenn es nicht über Dualboot möglich sein sollte, wie kann man es sonst machen?
 
Für einen Großteil der Viren,Würmer, Stauben, Pferde, Bakterien reicht es, wenn die zu schützende Partition schlicht nicht eingebunden wird. Daher Systemsteuerung -> Computerverwalung -> Datenträger und dort die entsprechende Partition aushängen. Da die meisten Schädlinge von selbst keine Partitionen einhängen können wäre die Partition mit dem 2. System entsprechend clean.
100%igen Schutz gibt es aber nur, wenn du das entsprechende Laufwerk vollständig (!) vom Rechner trennst.


Zudem, wenn du dein 2. System bootest besteht beim Zugriff auf Daten die unter dem 1.System kompromitiert wurden die Gefahr, dass je nach Schädling auch dein 2. System infiziert wird.
 
Ist möglich. Wenn Ultimate/Enterprise sogar als VHD boot.
Damit hätte sich die Sache mit dem komplett Trennen auch hervorragend erledigt.
 
Danke für die schnelle Antwort.

Gibt es eine Möglichkeit, dass mit dem Übertragungsweg über die komprimierten Daten zu verhindern?
Ergänzung ()

VHD boot. Da muss ich mich erst mal einlesen. Und die beiden win7 sind völlig voneinander getrennt?
 
Der Zugriff auf kompromittierte* Daten mit Software, die wohl die selben, ausnutzbaren Lücken hat ist immer mit einem Risiko behaftet. Insofern ist der Einsatz von Windows wenn es darum geht Windows Schädlinge unschädlich zu machen oftmals kein all zu erfolgsversprechender Weg.
Ich bevorzuge daher zum retten und überprüfen von Daten den Einsatz von Live von USB Sticks startbaren Distributionen. Im Zweifelsfall kann man unter dieser Linuxumgebeung dann ein ein Windows virtualisieren. Da kann man sich dann wunderbar Wiederherstellungspunkte setzen und testen, ohne dass ma direkte Gefahr läuft das virtualisierte Windows komplett zu verhunzen bzw. das Linux als Virtssystem zu zerschießen.


*hoppala, habsch vorher falsch geschrieben -.-
 
Ich würde die zu schützende Partition mit TrueCrypt verschlüsseln, dann kann kein Virus diese infizieren (außer du bindest sie von einem verseuchten Rechner aus ein).
 
Beim VHD boot installierst Du windows ja in eine Containerdatei.
Daher, wenn das Hauptsystem gestartet ist, kann man diese Datei zwar auch einbinden. Ich bezweifele aber stark, dass Viren VHDs suchen, einbinden und infizieren. ;)

Eingerichtet ist sowas auch ganz schnell.
VHD erstellen > Windows mit DISM/ImageX (Windows ADK) drauf entpacken > VHD in den Bootmanager einbinden > fertig

Ich hatte das auch mal gescriptet. Kann das wohl posten wenn Interesse besteht.
Mit Routine/Script ist ein VHD/Dual-boot 5min. eingerichtet.
 
Sneedlewoodz: Das Schädlinge virtuelle Laufwerke bzw. Laufwerksdateien gezielt angreifen ist unwahrscheinlich. Blind sich aber in jede Datei einisten die sie finden ist eine Möglichkeit.

Genauso gibt es mittlerweile Abwandlungen des BKA Trojaners, die die eingebunden Festplatten fein säuberlich mit AES verschlüsseln um so den Geschädigten zum Zahlen zu bewegen. Auch in diesem Falle wäre eine VHD unweigerlich verloren.

Daher wenn bringt es wirklich nur was, wenn man Partitionen oder besser eigene Laufwerke (mit eigenem Bootloader im MasterBootRecord!) nutzt die nicht eingehangen werden oder aber möglichst keine Verbindung zum Rechner haben.
 
Wäre es eine Lösung ein Dualboot mit win 7 und ubuntu zu installieren und dann ein weiteres win 7 unter ubuntu zu virtualisieren?
 
Flotter USB Stick mit Lubuntu (LXDE Desktop einfach weil es weniger Resourcen braucht) auf dem eine VM mit Win7 vorbereitet ist.

Ansonsten bei Systemen deren Verfügbarkeit kritisch ist:
2. Win Installation mit der wichtigsten Software auf ner eigenen Platte, der Anschluss der Platte wird normalerweise deaktiviert und nur im Notfall aktiviert bzw. einmal im Quartal um Updates nach zu ziehen.


Selbst wenn es also mal die primäre Win Installation zerhackt ist im Rechner ne 2. HDD die nach vergleichsweise kurzem Patchen und Backup einspielen das System wieder in "volle" Bereitschaft versetzt. Dieses Ersatzsystem greift jedoch bewusst nicht auf die Daten des 1. Systems zu. Erstens um Schädlinge vom 1. System nicht auf das 2. System zu übertragen und auch nicht um die umgekehrt mit dem 2. System die Daten des ersten Systems zu gefährden.


Die Trennung muss halt irgendwie hergestellt werden. Mit Linux Distris hat man den Vorteil, dass man relativ ungefährdet an die Daten des primären Systems herankommt und prüfen kann ob kompromittierende Daten vorliegen. Genauso kann man aber in der Hinterhand ein zweites Win System haben, welches nach einem Backup Ausfälle des Primärsystems überbrücken kann. Da muss man halt sicher stellen, dass die Backups nicht vereucht sind (auch hier macht sich ein virtualisiertes Win als Opferlamm ganz gut)
 
Na dann will ich das mal ausprobieren. Muss mich nur noch einlesen, wie ich den Stick bespiele.
 
@Piktogramm
Bist Du sicher dass überhaupt weißt oder besser gesagt, verstehst, wovon Du redest?
Deine Argumente, Kritik und Alternativen lassen aus meiner Sicht nicht gerade darauf schließen. Denn ich erkenne keinerlei sicherheitsrelevanten Mehrwert bei der im Vergleich lahmen USB-Stick Variante mit Linux-Umweg. Weder darin einen lahmen USB-Stick zu nutzen, noch darin den Umweg über eine Linux-VM zu gehen. Genaugenommen fallen mir nur Nachteile ein. Vorallem bei Platz und Performance. Da der TE das aber offensichtlich anders sieht und sich für deinen Vorschlag entschieden hat, erspare ich mir auch mir an dieser Stelle auch jegliche Diskusion, ist ja eh nicht mehr relvant.

Wie immer führen viele Wege nach Rom. Welcher der 'Beste' ist, muss ja jeder selber wissen.
Gutes gelingen mit dem Stick... würde allerdings Knoppix nehmen, da ohne seperate Partition persistent.
Ähnlich wie die VHD-Geschichte.
 
@ Sneedlewoodz: Der TE ist ein Newbie. Mir fehlt das Fachwissen. Daher frage ich hier nach. Für Alternativen bin ich immer dankbar. Meine Entscheidung ist nicht entgültig. Ich wollte nur mit etwas anfangen. Und da habe ich erstma für das für mich bekanntere entschieden. Das war keine Entscheidung gegen Deine Variante Sneedlewoodz. Ich denke, eine Diskussion über die möglichen Wege wären nicht nur für mich, sondern auch für andere Leser hilfreich. Daher fänd ich es gut, wenn Du weiter diskutieren würdest, da es für mich relevant ist. :daumen:
 
@sneedlewoodz:

Problematisch ist, dass ich mehrere Methoden beschreibe :)


1. USB Stick mit Linux evtl. als Host für eine Windows VM

Damit kann man im Falle einer Infektion des Primärsystems dessen Daten extrahieren und überprüfen. Die Performance bei guten USB Sticks ist dabei zwar nicht herausragend aber für den Zweck gut genug. Linux allein läuft recht gut von fixen USB Sticks. Die Windows VM wird vergleichsweise lahm sein, zum probieren ob Daten integer sind.

Vorteil:
-Portable Lösung
-Flexible Lösung
-Die Viren werden höchst wahrscheinlich nicht für Windows und Linux sein, weshalb man mit dem Linux die Daten recht ungefährdet extrahioeren kann
-Die optionale Windows VM lässt sich kinderleicht zurücksetzen falls was schief geht
-Die räumliche Trennung zwischen Primär und Sekundärsystem sorgt dafür, dass Schädlinge nicht auch das Sekundärsystem besetzen. Der Bootloader des Sticks kann entsprechend auch nicht angegriffen werden
-Die Hardwarekosten sind auch mit einem schnellen 32-64GB USB-Stick überschaubar
-Flexibel auf beliebige Systeme anwendbar

Nachteile:
-Unter Linux und der Windows VM wird kein System zur Verfügung gestellt welches kurzfristig ein Weiterarbeiten wie unter dem primären System zu erlauben.
-Die Performance des USB Sticks ist entscheidend
-Ist der USB Stick nicht griffbereit wenn er gebraucht wird, wirds Grütze



2. Eine zweite HDD im Rechner/Server oder unweit davon

Eine zweite HDD die durch physische Trennung oder aber über das Deaktivieren einzelner Sata/Sas Ports getrennt wird und über einen eigenen Bootloader verfügt. Durch regelmäßiges Nachziehen von Patches und Software auf das Sekundärsystem kann vergleichsweise kurzfristig ein (voll) arbeitsfähiges System wiederhergestellt werden nachdem Backups und Patches auf den letzten Stand des Primärsystems nachgezogen wurden.

Vorteile:

-Nach einigen Stunden hat man das System wiederhergestellt


Nachteile:

-Die Hardwarekosten können höher sein (je wie kritisch der Spaß ist, muss man mal eben ein kleines Raidsystem vorhalten)
-Die Backups müssen sauber sein
-Man sollte nicht das Sekundärsystem riskieren weil man auf die neusten Daten des Primärsystems zugreifen will. Die Daten des Primärsystems können kompromittiert sein und sind daher tabu für das nun produktiv einzusetzende Sekundärsystem
-Der laufende Arbeitsaufwand ist ganz ordentlich


Optionen: Wenn man die Möglichkeit hat Snapshots* über mehrere Generationen anzufertigen kann man sich den manuellen Aufwand, das sekundärsystem auf laufendem Stand zu halten schlicht sparen. Man sollte nur entsprechende Laufwerke vorhalten um kurzfristig ein produktives Sekundärsystem zu erhalten.

*Vorzugsweise ist das Primärsystem per HyperV oder Ähnliches virtualisiert und es lassen sich live Snapshots erstellen. Kostet minimal Performance kann einem aber, wenn es schnell gehen muss den Arsch retten




Unterm Strich bevorzuge ich für private Anwendungen den Linux USB Stick mit optionaler VM-Lösung.
 
@TE
Egal für wen oder was Du dich entscheidest, was lernen wirst Du so oder so. ;)



Piktogramm, wenn es portabel sein soll, bekommt man so ohne größeren Aufwand ein portables Windows. Das ist schon richtig. Aber wenn ich mir den eingangs-Post anschaue, dann liest sich das für mich, als ginge es einfach um zwei voneinander getrennte Windows. Und da erscheint mir so ein USB-VM-Lösung... nuja.. suboptimal eben. Aber das weiß der TE selber am besten. Grundsätzlich kann man sich ja auch eine VHD auf einen Stick packen und eben von da booten. Bei Win7 natürlich nicht so gut, wenn man das ganze auf unterschiedlichen Systemen starten will. Ab Windows 8 scheint aber auch das kein Problem mehr.

Und wenn die VHD nicht grade gebootet oder gemountet ist, halte ich die Sorge um Infektion des Inhalts selbiger für... sagen wir mal extrem paranoid. ;)

Klar, möglich ist natürlich grundsätzlich alles.
Das beinhaltet aber auch Schadsoftware die sich mit Linux 'versteht'.
Aber irgendwo hörts halt auch mal auf...

Im Zweifel halt alles mal ausprobieren. :p
 
Klar...
ich habe es allerdings nie ganz fertig gemacht.
Nachdem es Windows auf eine Partition angewendet hat, sollte man abbrechen, und es nicht die Bootfiles schreiben lassen. Vielleicht funktioniert auch das, ich weiß es nciht mehr genau. :D
Ist aber auch nicht weiter schlimm, denn die VHD kann man auch danach mit der VHD 2 BCD Funktion einbinden.


Also:

- Bereitstellungstools aus dem Windows ADK installieren (Ab Win 8 gehts ohne)
ansonsten sucht das Script auch in "Scriptornder\bin" nach dism.exe und Co.

- Windows DVD/ISO einlegen

- Eine VHD anlegen, entweder mit dem Script oder Datenträgerverwaltung

- Write Windows 2 Disk Funktion nutzen

- Wenn Windows auf der VHD ist, script nicht Bootfiles schreiben lassen sondern abbrechen

- Add Virtual Disk to Bootconfiguration - Funktion nutzen


Kaputt machen kannst Du eigentlich nichts, im schlimmsten fall hast einen ungültigen Booteintrag, der sich antürlich wieder löschen lässt.

Gutes gelingen...
 

Anhänge

Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

M
News Passwort-Manager: Enpass verbessert Ober­­fläche und Sicherheit
2
Antworten
24
Aufrufe
1.489
Salamimander
Salamimander
D
Thema Sicherheit bei Windows 11 und Android 16, in meinem Fall
Antworten
16
Aufrufe
2.719
andy_m4
andy_m4
TaxiMirco
Linux Distro im Dualboot mit Windows
2 3
Antworten
47
Aufrufe
1.907
Lotsenbruder
Lotsenbruder
C
Fragen bez. Verschlüsselung und Sicherheit (Veracrypt, Luks)
2 3
Antworten
50
Aufrufe
3.708
Cicaplast
C
R
Frage zum Netzwerk im Haus, Sicherheit und Zugriff
Antworten
11
Aufrufe
1.205
norKoeri
N
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 187 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz