[Windows 8] Keep it clean! Neues Konzept bei der Neueinrichtung

[matux]

Ich bin dabei meinen Rechner neu einzurichten. Zunächst einmal habe ich zuvor alle meine Daten auf einer externen HDD gesichert. Mit Parted Magic und der Anwendung Erase Disk habe ich dann meine interne 64GB SSD sowie meine interne 3TB HDD einem Secure Erase unterzogen. Bei der HDD hat der Spaß übrigens über 8 Stunden gedauert. So hab ich nun eine gute Ausgangsbasis für einen Neuanfang.

Als OS benutze ich nun Windows 8.1, welches ich auf die SSD installiert habe. Die 3TB HDD dient zur Speicherung von Daten, virtuellen Maschinen, etc. Mir schwebt nun vor ein Minimalsystem einzurichten und den Host so wenig wie möglich zu belasten. Mein Anwendungszweck ist aber folgender:

Ich möchte programmieren, Webseiten erstellen, mit Linux arbeiten, experimentieren, im Internet surfen, Videos schauen, Musik hören, Office Anwendungen verwenden, Downloaden und was es nicht so alles gibt. Dabei werden im Grunde sehr viele Anwendungen installiert, was das Hostsystem zum einem zumüllt, auf der anderen Seite aber auch ein Sicherheitsrisiko darstellen kann.

Von daher überlege ich nun für die diversen Anwendungsbereiche virtuelle Maschinen für den Produktiveinsatz zu verwenden. Eines z. B. für die Entwicklung von Programmen, Webseiten usw., eines zum experimentieren, eines für das Surfen im Internet, Musik hören, Videos schauen, Officeanwendungen, eines nur zum Downloaden, etc.

Das Hostsystem soll dabei so Clean wie möglich bleiben, nur die notwendigsten Programme beinhalten und somit kaum angreifbar sein. Und für den Fall der Fälle erstelle ich mir zu Beginn natürlich ein Systemabbild.

Wie schaut es denn bei euch so aus? Habt ihr sonst irgendwelche Vorschläge, was gehört auf das Hostsystem? Ist es Sinnvoll für die Entwicklung eine virtuelle Maschine zu erstellen? Fragen über Fragen.. haut einfach raus, was euch dazu einfällt! :-D

 

[Novgorod]

hmm, klingt interessant, aber ich könnte mir vorstellen, dass eine virtualisierung auf OS-level extrem speicherintensiv und ineffizient sein dürfte.. auch wenn sich die VMs den speicher intelligent teilen könn(t)en, hat man für jede VM einen riesengroßen overhead an OS-kernel-gedöns, insbesondere wenn du für jeden einzelnen office-kram (browser, videos, musik etc.) eine eigene windows-instanz nimmst.. intelligenter ist es, auf anwendungsebene zu virtualisieren, was einige anwendungen von haus aus tun (java-vm, chrome?), aber das ist natürlich weniger sicher und nur eingeschränkt möglich..

ich würde eher nen kompromiss anstreben und mit so wenigen OS-instanzen wie möglich versuchen auszukommen (dazu muss man die kiste trotzdem mit RAM vollstopfen, was aber durchaus machbar ist).. vielleicht ein "arbeits"-windows (office & co.) mit erhöhter sicherheit, also standardmäßig keine adminrechte, keine keygens, kein java und flash, evtl. sogar eine url-whitelist für den browser etc. - und ein "dreckiges" windows für "entertainment" (youtube, keygens, lascher virenscanner, javascript usw.), dafür dann eben kein onlinebanking und andere kritische sachen.. eniges an anwendungen kannst du sicher auch in die linux-VM auslagern.. also mit so einem "dualen" VM-windows und ein wenig disziplin solltest du schon sehr sicher sein - natürlich musst du die "dreckige" VM gut genug isolieren, insbesondere was dateizugriff, netzwerkzugriff und zwischenablage angeht.. das "sichere" (arbeits-)windows kann dann auch gleich das host-OS sein..

 

[matux]

Ich habe mittlerweile das Hostsystem und die Gastsysteme zum größten Teil eingerichtet.

Auf dem Hostsystem läuft Windows 8.1. Unter Windows arbeite ich grundsätzlich mit zwei verschiedenen Benutzeraccounts, wovon nur einer Administrationsrechte hat. Sicherheitstechnisch habe ich die automatische Wiedergabe von Wechseldatenträger abgewählt. Zusätzliche Sicherheitssoftware erspare ich mir, auch wenn ich noch eine Eset Smart Security Lizenz besitze. Die Hauseigene Firewall von Windows und der Windows Defender sollen ihren Dienst tun. Zusätzlich habe ich den Internet Explorer und den Windows Media Player vom System verbannt.

An sonstiger Software kamen bisher auf das Hostsystem AxCrypt, HashTab, Wireshark, Firefox ESR Browser und natürlich VirtualBox. Mit AxCrypt lassen sich Dateien verschlüsseln sowie sicher löschen, indem die Dateien mit Zufallswerten überschrieben werden. HashTab dient zur Echtheitsüberprüfung von Dateien und Wireshark zur Netzwerkanalyse. Im Firefox habe ich die Add-ons NoScript, Adblock Edge sowie HTTPS Everywhere installiert. Den Flashblock habe ich diesmal weggelassen, da ich den Flashplayer ohnehin nicht auf dem Hostsystem installieren werde.

Zusätzlich möchte ich den Webseitenzugriff mit dem Firefox ESR Browser auf bestimmte Webseiten beschränken: Online-Banking, Hersteller-Webseiten für Treiber, etc., damit ich nicht in Versuchung gerate der Komfort wegen auf den Zugriff einer VM zu verzichten. Wie ich das umsetzen werde, weiß ich noch nicht. Vielleicht hat jemand von euch einen entscheidenen Tipp?

Für die verschiedenen Anwendungsbereiche habe ich mir auch schon einige VMs erstellt. In VirtualBox lassen sich die VMs auch schön übersichtlich gruppieren. Für die 'Entwicklung' habe ich mir eine Windows 8.1 Maschine aufgesetzt mit der ähnlichen Konfiguration wie auf dem Hostsystem. An Software habe ich bisher den FIleZilla Client, Notepad++, Python und XAMPP installiert.

Für 'Office & Unterhaltung' habe ich mir eine weitere Windows 8.1 Maschine aufgesetzt mit der ähnlichen Konfiguration wie auf dem Hostsystem. An Software habe ich bisher den Firefox ESR Browser, foobar2000, HexChat, VLC Player und Microsoft Office installiert.

Unter 'Testumgebungen (Desktop)' und Testumgebungen (Server)' teste ich diverse Linux Distributionen oder unter Windows auch Anwendungen, bevor diese Produktiiv oder aber auch garnicht eingesetzt werden.

Im Grunde habe ich auch nicht vor mehrere VMs zur selben Zeit auszuführen. Ich möchte mich nur auf das beschränken was ich "jetzt" tun möchte. Wenn ich coden möchte, dann starte ich die jeweilige VM und beende alle anderen, damit ich mich nur auf das fokussiere und wenn ich mich unterhalten möchte, fahre ich die Maschine runter und wechsel auf die andere. Sonst habe ich mich gerne immer mit Zeitfresserischen Tätigkeiten abgelenkt.

 

[Novgorod]

das sind dann eher disziplin- als sicherheitsgründe ..
die "entwickungstools" (evtl. auch office) könntest du ja auch ohne irgendwelche sicherheitsbedenken auf dem hostsystem laufen lassen.. wenn du dich nicht ablenken willst, richte doch virtuelle desktops o.ä. ein.. so müsstest du nicht gleich eine andere VM hochfahren, nur wenn du mal schnell was googlen willst (= ggf. unsichere webseiten besuchen) - da würde ich wie schon erwähnt eher eine "dreckige" VM immer griffbereit mitlaufen lassen, dafür reichen der auch 2GB RAM oder so..

 

[matux]

Sicherheit geht für mich vor. Die Disziplin, die dadurch entsteht - sofern ich es durchziehe - ist eher ein Nebeneffekt.

Microsoft Office könnte ich in der Tat auf dem Hostsystem installieren, aber die Makros bergen auch eine gewisse Gefahr.

Ich suche noch eine effiziente Möglichkeit ausschließlich auf dem Hostsystem den Zugriff auf alle Webseiten zu blocken und nur einige zu gestatten. Mit der Eset Smart Security hätte ich die Möglichkeit, aber ich bevorzuge doch besser eine andere.

 

[Novgorod]

nicht die makros sind eine gefahr, sondern jegliche dateien aus unsicheren quellen! böse präparierte dateien können sogar lücken im windows-explorer ausnutzen und böses tun (gabs da nicht mal was mit präparierten jpg-dateien zu win9x/XP-zeiten?).. wenn du schon soviel disziplin hast, keine unsicheren webseiten aufzurufen, dann darfst du natürlich auch keine doc/pdf/sonstwas-dateien aus unsicheren quellen öffnen.. für lokal erstellte und vertrauenswürdige dokumente ist office & co. völlig sicher, sogar ohne sicherheitsupdates - die gefahr kommt stets von außen..

 

[matux]

Gut, aber letztendlich möchte ich das Hostsystem "clean" halten und da wäre jede unnötige Anwendung schon zu viel. Mit Office arbeite ich nun auch nicht wirklich produktiv. Hin und wieder mal private Dokumente öffnen und bearbeiten und das soll es dann auch schon gewesen sein.

Das Hostsystem soll ähnlich wie das BIOS/UEFI fungieren. Ich starte den Rechner, das UEFI startet das Host-OS und das Host-OS soll dann eine weitere Instanz ausführen, je nach Aufgabengebiet. Auf dem Hostsystem werde ich wenn dann nur regelmäßig Updates einspielen, ggfls. Treiber aktualisieren, Dateien verwalten - also nur für Systemnahe Anwendungen verwenden.

 

[Novgorod]

dann ist es aber recht ineffizient, fürs hostsystem windows zu nehmen, wenn du es garnicht nutzen willst .. im serverbereich gibts ja virtualisierung auf hardware-ebene (?), jedenfalls mit einem "wirklich" minimalen host-OS, das nur dazu dient, virtuelle systeme zu starten und selbst praktisch keinen overhead verursacht.. ich weiß nicht mehr genau wie das heißt und das gibts wohl nur für spezielle server-hardware, aber ich gehe davon aus, dass es auch für normale PCs irgendein linux-basiertes minimal-OS zur VM-verwaltung gibt

 

[matux]

Zu dem Schluss mit ich nun auch gekommen, dass das mit Linux evtl. sinnvoller zu realisieren ist.

 

[drfuture]

Dafür wäre eigentlich der ESXi ganz gut... nur kannst du da nicht direkt am System arbeiten sondern bräuchtest einen Thin / zero-Client als Interface

 

[Polii]

Mit Hyper V gehts auch ohne zusätzlichen Client.

 

[drfuture]

aber nicht kostenfrei