我想在我的 Linux 机器上用虚拟机运行 Windows。但是,同一物理网络上的其他人担心,如果 Windows 机器被攻破,那么他们实际上就可以像在 Linux 主机上拥有 root 权限一样访问网络。
他们认为它可能受到损害的原因是它不会一直运行,因此在我启动它之后的一段时间内不会有最新的安全更新。
有没有什么方法可以确保即使 Windows 虚拟机受到威胁,他们也无法比本地主机上的普通非 root 用户拥有更多的网络访问权限?
答案1
像保护普通联网计算机一样保护您的 Windows VM,即使它“只是”一台 VM
您应该以与保护直接连接到网络的 Windows 计算机相同的方式保护您的 Windows VM:
- 安装安全更新。
- 安装病毒扫描程序。
- 对所有重要数据运行备份。
- 禁用 root/admin 访问或使用强身份验证。
- 仅安装您真正需要的服务并禁用其余的服务。
- 保留系统日志并定期跟踪重要信息。
不要忘记对您的 VM 设置限制/配额,以防止您的 VM 消耗您的所有硬盘/RAM/CPU/网络容量/...
访问您的网络
Windows VM 对网络的访问类型取决于您的网络可视化和 VM 的连接要求。如果您将 VM 设置为沙盒(例如使用仅主机网络)。如果您将其设置为网络上的另一个设备,那么它将不是沙盒,而只是网络上的另一个设备。如果外部用户获得虚拟机的提升权限,它可以做同样的事情在网络上就像设备直接连接到网络一样。
例如,如果您的 Windows VM 设置为互联网代理服务器,并且内部或外部用户在该服务器上获得提升的权限,那么这肯定是一个安全威胁,因为该用户可以看到和操纵整个公司的互联网流量。
一般来说,如果有具体而扎实为避免 Windows VM 容易受到攻击,请将 Windows VM 放在单独的网段中,并使用防火墙和其他网络安全工具(如反向代理以防止进一步渗透。
从虚拟机访问虚拟机主机
据我所知,现实世界中不存在访客可以访问主机上的文件的情况,除非这些文件“通常”可以通过网络或共享目录访问。由于这是您(或“他们”)关心的问题之一,此引用VMware 文档可能会有用。我引用一下:
虚拟机是应用程序和客户操作系统在其中运行的容器。根据设计,所有 VMware 虚拟机都彼此隔离。这种隔离使多台虚拟机能够在共享硬件的同时安全运行,并确保它们能够访问硬件以及不间断的性能。即使是在虚拟机的客户操作系统上拥有系统管理员权限的用户,如果没有 ESXi 系统管理员明确授予的权限,也无法突破这一隔离层来访问另一台虚拟机。
虽然本文没有明确说明,但据我所知,这对于从客户机到主机本身的访问也是如此。
如何处理“他们”?“人为因素”
在像您这样的案例中,不要忘记人为因素。无论“他们”是否知道自己在说什么,认真对待他们表达的担忧都很重要(否则您的担忧可能会进入您组织的非正式圈子)。让您的 VM 专家与“他们”共处一室,讨论这些担忧,并评估风险及其严重程度。
答案2
“他们”不知道自己在说什么。
计算机上的本地管理员对网络上其他计算机的访问权限与非管理员用户一样,不会多也不会少。用户和/或计算机帐户需要被授予对其他计算机的访问权限;如果尚未授予,则它们是安全的。
如果您/他们真的担心这一点,请在您的虚拟机和 LAN 之间放置防火墙。