Ich möchte eine isolierte Win10 Instanz mit eigener Lizenz als VM über Windows 10 Hyper-V starten. Nutzen will ich die für Banking und Finanzen. Die will ich auch separat mit Bitlocker sichern.

Geht das? Gibts da Erfahrungen?

Warum HyperV und nicht das Kostenlose VMware Player?
Ja geht, mit Letzterem...

Razor

Warum HyperV und nicht das Kostenlose VMware Player?


Weil Hyper-V eh schon mitkommt und damit wenn man Windows hat das auch quasi kostenlos ist?

Und wenn es eine kostenlose Alternative sein soll, warum nicht VirtualBox?


Und ja, das geht prinzipiell mit all den genannten.

Ist der Vorteil von VirtualBox, das ich die Windows-VM dann auch unter Linux laufen lassen kann?

Also bessere kompatibilität? So, wenn man mal wirklich ganz von Windows weg kommt?

Ist der Vorteil von VirtualBox, das ich die Windows-VM dann auch unter Linux laufen lassen kann?


Das geht mit VirtualBox, auch mit VMWare.

Ich bin mir nicht ganz sicher was Du vor hast. Ich hab vor Jahren mein altes Windows und auch mein Arbeitslaptop mit VMWare VCenter Converter abgezogen und danach in Virtual Box eingebunden. Da lief dann auch noch Banking und so Kram, war eher zum Backup wenn ich doch irgendwas wichtiges vergessen haben sollte. Nun liegen die Images auf dem NAS und wenn ich sie doch mal booten sollte dann geht das auch halbwegs zügig.
Es kann nur sein das Du nach dem virtualisieren ne neue, oder eben die alte, Windows-Lizenz brauchst.

Du kannst Dir natürlich auch eine 20€ Win10 Lizenz kaufen, Windows komplett neu unter VirtualBox installieren und alles möglich damit ausprobieren.

Du kannst Dir natürlich auch eine 20€ Win10 Lizenz kaufen, Windows komplett neu unter VirtualBox installieren und alles möglich damit ausprobieren.


Ja, genau das mache ich gerade. VirtualBox VM mit VHD disk. Die man auch unter Hyper-V laufen lassen kann.
So halt ein "high secure" Windows werden, das nicht durch ständige Admin-Rechte verschmutzt wird.

Btw: Eben ein IRQ NOT Less or Equal Bluescreen (oder ) in der VM. Sogar eine Reboot-loop. Scheint bei VBox 6.1 bekannt zu sein.

Aber die VHD ist da. Ich schalte um in Hyper-V. Da gehts.

OK. Hab das gerade kurzt vor Weihnachten mal ausprobiert. War da kein Thema. Ist aber schwer von der Ferne her zu analysieren.
Mir wars schlichtweg zu doof irgendwann. Bank macht eh 2FA und ob nun jemand meinen Kontostand kennt oder Peng ist auch egal. 2017 mal neu installiert laut Powershell.

Ich persönlich fand VBox angenehmer, aber das ist ja Geschmackssache.

Problem: OEM Lizenz Aktivierung geht in einer VM nicht? Fehler 0xC004F211

Ich möchte eine isolierte Win10 Instanz mit eigener Lizenz als VM über Windows 10 Hyper-V starten. Nutzen will ich die für Banking und Finanzen. Die will ich auch separat mit Bitlocker sichern.

Eigentlich macht man es eher andersrum. Die VM sollte die unsichere Umgebung sein.

Naja, wer will schon in einer VM spielen?!

Darum anders herum. In der VM kann ich nur das installieren, was ich brauche.

Im Spiel-PC installieren Spiele, Treiber, Tools ... alles unkontrolliert.

Musst du anrufen wegen der Aktivierung? Das ist bei den Billiglizenzen oft so.

Der Rest ist Ansichtssache. Zocken in der VM? Die Grafik wird doch gar nicht weiter gegeben. Das gute ist das man viel ausprobieren kann. So mach ich das. Tool XY? Erstmal ein snapshot und dann probieren. Der Torbrowser läuft bei mir auch da. Ich hab die VMs Testweise gegen ne laufende CheckMK Instanz auf dem NAS laufen. Bissle was lernen da ich Null CheckMK kann.

Fürs Banking? Naja. Jeder wie er mag. Wenn man sich da sicherer fühlt.

Die Lizenz ist ok ... auf einem richtigen Rechner ... den ich sowieso wieder zusammen bauen wollte/musste.

Für die VM versuche ich mal eine teurere non-oem lizenz.

Naja, wer will schon in einer VM spielen?!

Darum anders herum. In der VM kann ich nur das installieren, was ich brauche.

Im Spiel-PC installieren Spiele, Treiber, Tools ... alles unkontrolliert.

Kannst du natürlich machen, es wird dir nur keine Sicherheitsvorteile bringen. Dein Host hat sowieso vollen Zugriff auf deine VMs. Alles, was du auf deinem Host bzw. Spiele-PC installierst, hat vollen Zugriff auf deine VMs, in der du Online-Banking betreibst.

Sun-man hat es ja schon beschrieben: In den VMs sollte Code laufen, dem du gerade nicht vertraust. Dein Host dagegen sollte nur vertrauenswürdigen Code ausführen (was auch immer das in deinem Kontext bedeutet). Andersrum verpuffen alle sicherheitstechnischen Vorteile einer VM.

Wenn dir das zu komplex ist (keine GPU-Beschleunigung in einer VM kann ja ein valider Grund sein), dann macht eventuell ein komplett separater Rechner Sinn. Für Online-Banking reicht wahrscheinlich schon ein aktueller Raspberry Pi mit einem aktuellen Firefox oder Chromium.

Wieso sollte der Host Vollzugriff haben? Die VM ist ja auch nur ne LUN, aber da sollte niemand "rein" können. Netzwerktechnisch doch eigentlich auch nicht? Wie das mit den Maus-Einfangen Geschichten gelöst ist weiß ich nicht. Schlimmstenfalsl fängst Dir nen Kryptotrojaner ein und der schlüsselt natürlich den ganzen PC, dann ist die VM ohne Backup auch futsch. Sowas hab ich mich aber noch nicht getraut auszuprobieren :D

Na ja, der Host muss schon vollen Zugriff auf die VMs haben. Ansonsten könnte man VMs ja gar nicht managen.

Die Systeme teilen sich natürlich standardmäßig keinen Netzwerkstack oder sonstige Komponenten vom Host, aber die Rechte als Host hast du schon das zu konfigurieren. Du kannst auch einfach Speichermedien in der VM einhängen und davon Code nachinstallieren. Das ist auch kein Bug, sondern soll ja so funktionieren. Deine Sicherheit reduziert sich auf hoffentlich-macht-sich-niemand-die-Mühe-hyper-v-automatisch-zu-verkonfigurieren.

Also hier wird immer so getan, als ob Schadsoftware so waaahnsinnig intelligent wäre, dass man solcherart Betrachtung anstellen muss.
Das Gegenteil ist der Fall... das Zeug ist Strunz-Doof!

Ergo: wenn man von seinem Host aus eine VM betreibt, von der man möchte, dass sie "schadfrei" bleibt, ist damit schon auf einem sehr guten Weg.
Klar kann die VM (die Festplatte) von außen "beschädigt" werden (meinetwegen auch verschlüsselt etc.)...
...aber dass strunzdoofe Schadware sich im laufenden Betrieb "in" die VM schleicht, um was-auch-immer mit der Banking-Software zu tun, ist doch sehr weit her geholt!

Sorry, aber das grenzt schon fast an Verschwörungstheorie.

Klar, wenn sich jemand einen "intelligenten" Zugriff auf den Host verschafft und den Zugriff auf die VM beobachtet, dann hat man schlicht verloren.
Da hilft dann aber auch kein separater Rechner mehr...

Ansonsten:
Das gute ist das man viel ausprobieren kann. So mach ich das. Tool XY? Erstmal ein snapshot und dann probieren. Der Torbrowser läuft bei mir auch da. Ich hab die VMs Testweise gegen ne laufende CheckMK Instanz auf dem NAS laufen. Bissle was lernen da ich Null CheckMK kann.
Hmmm... das geht allerdings auch mit der Win10 eigenen Sandbox:
https://www.tecchannel.de/a/sandbox-einrichten-und-nutzen,3278095

Wer Linux unter Win10 (WSL) nutzen möchte:
https://docs.microsoft.com/de-de/windows/wsl/install-win10

Viele hier machen Windows schlechter als es ist.
Klar, ein gewisses Grundverständnis sollte für einen sicheren Betrieb einher gehen... aber ein "sorgloser" Umgang ist auch mit Linux nicht möglich.

So oder so sitzt das (Sicherheits-)Problem meist vor dem Rechner und das hat oftmals rein gar nichts mit dem Betriebssystem zu tun.

Razor

Hmmm... das geht allerdings auch mit der Win10 eigenen Sandbox:

wenn man die Pro hat.

Der Rest ist halt so. Der Aus- oder Einbruch in die VM ist relativ unwahrscheinlich. Der größte Vorteil der VM ist das ich die quasi problemlos von A nach B und C und E mitnehmen kann.
Wenn ich die VM ins eigenen Netzwerk ballere, also Netzwerkbrücke und kein NAT (oder so) dann ist das auch nicht sooooo clever.

Also hier wird immer so getan, als ob Schadsoftware so waaahnsinnig intelligent wäre, dass man solcherart Betrachtung anstellen muss.
Das Gegenteil ist der Fall... das Zeug ist Strunz-Doof!

Ergo: wenn man von seinem Host aus eine VM betreibt, von der man möchte, dass sie "schadfrei" bleibt, ist damit schon auf einem sehr guten Weg.
Klar kann die VM (die Festplatte) von außen "beschädigt" werden (meinetwegen auch verschlüsselt etc.)...
...aber dass strunzdoofe Schadware sich im laufenden Betrieb "in" die VM schleicht, um was-auch-immer mit der Banking-Software zu tun, ist doch sehr weit her geholt!

Sorry, aber das grenzt schon fast an Verschwörungstheorie.

Klar, wenn sich jemand einen "intelligenten" Zugriff auf den Host verschafft und den Zugriff auf die VM beobachtet, dann hat man schlicht verloren.
Da hilft dann aber auch kein separater Rechner mehr...

Du verlässt dich damit aber eben einfach nur darauf, dass die meiste Schadsoftware "dumm" ist. Eine echte, harte Barriere ist es nicht. Eigentlich ist es sogar ein Paradebeispiel für Security through Obscurity, weil es nur dein Setup komplexer macht, aber nicht messbar sicherer.

Viele hier machen Windows schlechter als es ist.
Klar, ein gewisses Grundverständnis sollte für einen sicheren Betrieb einher gehen... aber ein "sorgloser" Umgang ist auch mit Linux nicht möglich.

Mir ging es auch nicht darum, dass Debian oder ein anderes GNU/Linux sicherer sei als Windows 10 (ist es nicht). Es ist nur einfacher einen komplett separaten Rechner sehr minimal und aktuell zu halten. Das könnte man auch mit einem zweiten Windows-Rechner machen, es wäre nur deutlich teurer.

Schad-Software ist "dumm"... Intelligenz sitzt (wenn überhaupt ;-) vor dem Rechner.
Das gilt für den Nutzer, wie auch den Hacker.

Und was daran einfacher (oder gar "sicherer") sein soll, einen separaten, physischen Rechner zu betreiben, verstehe ich schlicht nicht.
Im Großen, wie im Kleinen gilt: das "schwächste Glied der Kette" (oder im Netzwerk die unsicherste Komponente) stellt das größte Risiko dar.

Da würde ich mir mehr Gedanken über Glühbirnen oder Fernseher machen, als um ein gut gepflegtes Windows.

Razor

Und was daran einfacher (oder gar "sicherer") sein soll, einen separaten, physischen Rechner zu betreiben, verstehe ich schlicht nicht.

Potentiell unsicheren Code von sicheren Umgebungen zu trennen ist doch das kleine Einmaleins der Rechnersicherheit.

Physische Rechner sind natürlich immer etwas unhandlich, aber so grundsätzlich ist das keine komplett verkehrte Idee. Gerade wenn es wie hier nicht praktikabel ist alle potentiell unsicheren Workloads in VMs zu verbannen.

Im Großen, wie im Kleinen gilt: das "schwächste Glied der Kette" (oder im Netzwerk die unsicherste Komponente) stellt das größte Risiko dar.

Man will keine einzelne, lange Kette mit zig Gliedern haben, die mal sicher oder unsicher sind. Man will mehrere kurze, unabhängige Ketten, die sich nicht gegenseitig beeinflussen können.

Mit einer None-OEM Lizenz geht das mit der VM gut.

Bezüglich Einbrechen in die VM:

In der VM wird ein eigener bitlocker aktiviert. (Ohne TPM, mit backup-key)
Im Windows Host demnächst auch. (Wenn ich mich versichert habe. dass das mit AMD fTPM gut funktioniert)

Bei Hyper-V habe ich den Hypervisor von "Root" (default) auf "Core" umgestellt. Sonst geht das alles als "Prozess" (wie bei Docker) über den Host. Und es hatte bei mir auch in der VM zu zufälligen Problemen geführt.


Get-WinEvent -FilterHashTable @{ProviderName="Microsoft-Windows-Hyper-V-Hypervisor"; ID=2} -MaxEvents 1
bcdedit /set hypervisorschedulertype core


Von Aussen, ohne jetzt das Password beim Tippen abzugreifen oder den Bitlocker-Master-Key/Backdoor zu kennen bzw. Input in die laufende VM wärend man eingeloggt ist zu faken, kann die VM nur kaput gemacht werden.

Später kann ich die VM von einem sicheren Rechner ausführen.

Ich will dein Konzept jetzt nicht komplett in Frage stellen, aber eine Verschlüsselung per Bitlocker hilft dir in dem Fall genau nichts. Wenn du Schadsoftware auf dem Host hast, kann die noch immer dein Passwort mitschneiden und beliebigen Code in der VM ausführen. VMs liefern dir nur in die andere Richtung eine Isolation.

Bitlocker ist übrigens eher dazu gedacht physischen Zugriff auf deinen Rechner zu verhindern, deshalb nutzt man es eigentlich zur Vollverschlüsselung. Für alles andere ist es auch gar nicht gemacht, die Verschlüsselung ist nicht einmal authentifiziert.

Das AES-XTS von Bitlocker lässt sich trivial aushebeln, wenn ein Angreifer z.B. per Trojaner Zugriff auf das verschlüsselte (ja, sogar nur auf das verschlüsselte) Hyper-V-Image hat. Er kann dir ein modifiziertes Image als Chosen-Ciphertext-Angriff unterjubeln und darüber dein Passwort erlangen, sogar ohne einen Keylogger zu nutzen. Genau deshalb benutzt man AES-XTS auch nicht zur Dateiverschlüsselung.

Potentiell unsicheren Code von sicheren Umgebungen zu trennen ist doch das kleine Einmaleins der Rechnersicherheit.

Physische Rechner sind natürlich immer etwas unhandlich, aber so grundsätzlich ist das keine komplett verkehrte Idee. Gerade wenn es wie hier nicht praktikabel ist alle potentiell unsicheren Workloads in VMs zu verbannen.
Hier im Thread wird über den umgekehrten Fall diskutiert... wenige "sichere" Workloads (wie z.Bsp. Banking) in VM's zu verbannen.
Diese auf physikalische Rechner auszulagern macht keinen Sinn, wenn sich vermeintlich "unsichere" Rechner im gleichen Netz befinden.

Man will keine einzelne, lange Kette mit zig Gliedern haben, die mal sicher oder unsicher sind. Man will mehrere kurze, unabhängige Ketten, die sich nicht gegenseitig beeinflussen können.
Im Netzwerk nennt man das "Segmentieren", deren einzelne Segmente zudem per Firewall gesichert und per Gefahrenübergangsdefinition beschrieben werden.

Wenn du Schadsoftware auf dem Host hast, kann die noch immer dein Passwort mitschneiden und beliebigen Code in der VM ausführen.
Ich will Dir nicht zu nahe treten, so ich doch weiß, dass Du hier tief in der Materie steckst.

Aber beschreibe mir doch trotzdem mal, wie "Schadcode auf dem Host" nun "beliebigen Code in der VM ausführen" können soll.
Voraus gesetzt natürlich, dass die VM zwar das Netzwerk des Hosts mitbenutzt, aber keine Netzverbindung zu diesem aufbauen kann.
Und natürlich voraus gesetzt, dass man gern genutzte "Integrationsfeatures" (wie das Teilen der Zwischenablage) nicht benutzt/installiert.

Das dies technisch natürlich möglich ist, ist auch mir klar.
Aber mir ist nicht bekannt, dass auch nur ein einziger (strunz-doofer) Schadcode dies jemals getan hätte.

Dies waren ausnahmslos Hacker, die Zugriff auf Komponenten des Netzwerks erhalten haben...
...sich so erst einmal einen Überblick verschafften und dann eine konkrete Angriffsstrategie zurecht legten.

Razor

Hier im Thread wird über den umgekehrten Fall diskutiert... wenige "sichere" Workloads (wie z.Bsp. Banking) in VM's zu verbannen.

Ja, genau das kann man sich eigentlich sparen, weil es nicht sinnvoll ist.

Diese auf physikalische Rechner auszulagern macht keinen Sinn, wenn sich vermeintlich "unsichere" Rechner im gleichen Netz befinden.

Inwiefern? Online Banking erfordert kein sicheres Netzwerk. Deshalb haben wir ja mittlerweile für alles im Web TLS.

Und natürlich voraus gesetzt, dass man gern genutzte "Integrationsfeatures" (wie das Teilen der Zwischenablage) nicht benutzt/installiert.

Wie willst du verhindern, dass ein schädlicher Prozess auf deinem Host, wo die VM läuft, nicht einfach selbstständig ein Passthrough-Feature nutzt und darüber Code einschleust? Das ist doch ein ganz allgemeines Problem. Egal ob du KVM, LXC, VMWare, Hyper-V oder was auch immer für die Virtualisierung benutzt, der Host hat vollen Zugriff auf die VMs. Wie gesagt, ansonsten könntest du die VMs von deinem Host aus gar nicht managen.

Ich will es gar nicht "verhindern".
Die Frage ist: Wer sollte das versuchen und warum?
Und die eigentlich an Dich gestellte Frage war: Gab es "etwas", was dies bereits getan hat?

Wenn nicht, sind auch Deine Überlegungen rein hypothetisch, oder?

Razor

Eine offensichtliche Lücke ist nicht erst dann kritisch, wenn sie jemand ausnutzt. Im Grunde willst du Sicherheit per Survivorship Bias etablieren. Warum das nicht sinnvoll ist, kannst du dir sicher denken.

Eine Absolute Sicherheit gibt es schlicht nicht... man kann nur die "Latte höher hängen" und hoffen, dass nicht doch ein Hacker Interesse zeigt.
I.d.R. reicht schon eine "leichte Hürde", so dass "Standards" nicht mehr greifen und so "strunz-doofe" Schädlinge keine Chance mehr haben.

Razor