如何设置我的 Windows PC 和/或网络,以便我的实际 PC 上的所有程序都没有互联网访问权限,但我有一个沙箱/VM,带有一个可以访问互联网的浏览器,但无法访问实际文件。本质上,我想把我的电脑切成两半。离线部分可以访问文档,但没有互联网连接。另一种是沙盒网络浏览器,它可以访问互联网,但不能读取或写入 PC 的离线部分。
换句话说,我想要一个沙盒网络浏览器,然后在沙盒之外阻止每个程序的互联网访问。甚至Windows更新。无论如何,我不需要“安全更新”。我认为这样一来,敏感文档的安全性几乎可以达到 100%。
也欢迎关于这种防御的答案/评论是不值得的。
编辑:离线部分将主要使用,所以最好以某种方式分配资源。我不知道每种虚拟化技术会损失多少性能,但根据我的经验,到目前为止,损失很多。
简单的。在白名单模式下使用防火墙*。
出于类似的目的,我使用了ZoneAlarm Free Firewall。将其设置为白名单模式并等待它询问您是否为您的沙盒应用程序提供 Internet 访问权限(我使用过Sandboxie)。然后告诉 ZoneAlarm 停止通知您未来的应用程序,不要假设它们被列入白名单。
* 白名单模式:除非明确允许应用程序具有网络访问权限,否则假定它已被列入黑名单。
你可以有一个 Linux管理程序来托管两个 Windows VM,其中一个 Windows VM 没有互联网连接。
(编辑:我猜 Windows 2008 可以是一个虚拟机管理程序......但为什么有人想要呢?)
您可以安装VirtualBox并为您的 Internet 访问创建另一台 VM 机器。您不想访问 Internet 的主机,请通过以下任一方式禁用网络连接:
在来宾操作系统中,使用桥接适配器连接到 Internet。由于您不需要任何 Internet 连接的主机系统没有网络连接,因此即使在客户机上下载了恶意软件,它也无法在不破坏 VM 沙箱本身的情况下访问主机操作系统。到目前为止,还没有公开已知的漏洞利用来破坏最新的 VirtualBox(或 VMware)虚拟化解决方案的 VM 沙箱。
就成本而言,VirtualBox 是开源的并且可以免费获得。
无论如何,我不需要“安全更新”。我认为这样一来,敏感文档的安全性几乎可以达到 100%。
是的,您绝对仍然需要安全更新。您说您在 Windows 上运行,并且您只允许浏览器访问 Internet。
许多恶意软件将自身注入浏览器的内存空间(通过BHO或 DLL 注入)并以这种方式执行数据泄露。在您的情况下,这仍然可以很好地工作。您甚至可以在带有 IE 10 的 Metro 和桌面模式的 Windows 8上执行此操作。
我不认为你的做法是不好的,但是你做需要仍然执行安全更新,如果你要在这台机器上的网络连接。
此外,我还建议使用仅允许 TCP 80/443 和 UDP 53 (DNS) 进出的硬件防火墙。您仍然面临 DNS 隧道的风险,但通过添加黑名单代理类型的产品,您可以降低风险。