Можно ли защитить мой «голый металл» от компромисса, чтобы я мог быть уверен, что (например) восстановление образа системы VHDX каждый месяц будет держать меня в чистоте? Если так, то как?
Я строю довольно дорогой новый ПК. Я хотел бы максимально изолировать среду разработки и игры от встроенного программного обеспечения, особенно по соображениям безопасности (например, буткиты и руткиты встроенного ПО). Каждый день я больше беспокоюсь о доверии моему необходимому программному обеспечению.
Текущая конфигурация:
- Среды: игра (Steam, Oculus) против разработки (Visual Studio)
- Windows 10 Professional, несколько лицензий
- Куплен новый упакованный установочный носитель ОС, чтобы убедиться, что он чистый
- Запуск разработки с VHDX через Hyper-V
- Игровая среда выигрывает от прямого GPU, поэтому менее полезна через Hyper-V
- У меня включена безопасная загрузка
- Система поддерживает TPM, желает установить и включить
- Не использует BitLocker, но готов
Меня меньше заботят уязвимости одного экземпляра (например, взлом одного пароля к банковскому счету или вымывание некоторых графических процессоров сегодня), чем проблемы долгосрочного характера (например, буткит, который в течение следующих четырех лет жизни этого компьютера отдает все пароли изменения неэффективны или постоянно копают криптовалюту).
Желание изоляции также обусловлено обыденными соображениями производительности (например, отделение SQL Server от загрузчика Steam), но ястребиальным вниманием к запущенным процессам или просто с двойной загрузкой адресов.
Смежный вопрос:является ли двойная загрузка более безопасной, чем установка одной операционной системы? , поднимает, но не решает проблему долгосрочной угрозы. Кроме того, я считаю, что принятый ответ недооценивает ценность для злоумышленников компрометации большого количества непримечательных ПК и, следовательно, недооценивает вероятность того, что это произойдет.