问题
简短声明
Windows 7 将在 2020 年 1 月“终止使用”,那么如果我使用 Windows 7,我能获得多少针对其零日漏洞的保护?
- 在 Windows 7 物理机上托管 Windows 10 虚拟机,并
- 将互联网活动‘限制’在虚拟机内?
长语句
如果你能回答上面的问题,那么你不需要必须阅读下面的内容。我为那些喜欢考虑具体情况的人提供它。
假设的设置如下。
- 仅将以下内容安装到物理机上:Windows 7、其所有安全更新(由“生命周期结束时”发布)、设备驱动程序(以及“运行”机器所需的其他任何东西)以及 VMware Workstation 的某个版本。
- 创建 W10 VM。
- 当我打开物理机时,除了打开虚拟机之外,我不会对它做任何事情。我只是“使用”虚拟机。如果我必须安装任何程序,我会在虚拟机上安装。如果我必须使用互联网,我会在虚拟机上安装。
- 局域网内没有其他机器。
当然,我知道上面的 3 并不完全“将所有互联网活动”限制在虚拟机中,因为流量必须通过物理机器。更正确的说法可能是我的涂鸦将受到限制。
理想的答案可能是以下形式。
- 将零日漏洞分解至其主要组件。
- 说出上述设置适用于哪些组件(即与在物理机上简单安装和使用 W10 一样好)。
- 说出该设置对哪些风险因素无能为力。
概念化该问题的另一种方式是说:该设置会将我带到以下哪个位置?
- 在“使用寿命终止”后使用 W7 仍存在严重漏洞,以及
- 使用W10的全面保护。
我并不是说 W10 会给我“全面”的保护。我只是说切换到 W10 后会获得 100% 的保护,无论保护程度有多大或多小。
我给出了 VMware Workstation,只是为了具体说明。如果这不是最佳选择,请说明可能是什么。
背景
对于那些想知道“问题从何而来”的人,我提供了以下现实情况。如果你不需要它,你不必阅读它。
我一直很懒,没有为即将到来的生命终结做任何事情,现在我真的面临了。不幸的是,我的 W7 机器需要做很多调整,而且需要长的是时候在新的 W10 机器上复制它了(并不是说我生活中没有其他责任)。
因此,作为权宜之计,我想设置一个 W10 VM,并开始在那里至少做一些明显“危险”的事情,例如上网、安装新软件。我将继续使用 W7 进行“安全”的事情,例如在禁用更新后在软件上播放音乐,并尽我所能将其保持在防火墙内(显然我并不是说它真的很安全),直到我设法为物理机创建一个 W10 系统或决定切换到 Linux 并将 W10 保留在 VM 上。
实际上,局域网中还会有其他机器。
非常感谢!
答案1
从 2020 年 1 月 1 日起,Windows 7 的安全性将不断降低。
因此,将您的主机设置为 Windows 10,将您的虚拟机设置为 Windows 7。我有一个 Windows 7 VM(使用 VMware Workstation)用于偶尔的需求,因此安全性不是那么令人担忧。
Windows 10 V1903 非常安全并且非常适合作为您的主机。
设置完成后,您可以随着时间的推移调整 Windows 10 机器并减少对 Windows 7 VM 的依赖。
后续说明:您可以按照您的建议去做。五年前 Windows 10 预发布时我自己也这样做过。但是,主机必须连接到互联网,因此 Windows 10 VM 将保护 Windows 7 主机的提议是不正确的。这种保护不会发生。
答案2
您的风险区域是 VMware 而不是 Windows 7,而且与 Windows 7 不同,VMware 仍在更新。
这种风险被称为虚拟机逃逸或突破,这意味着在客户机上运行的代码将突破虚拟机并感染主机。在这种情况下,Windows 10 可能比 Windows 7 更具弹性,但不能保证它能够抵御这种极其复杂的病毒。
这样的突破是极其难以实现的。
您可以在维基百科文章中找到所有此类已知漏洞的列表 虚拟机逃逸。其中大部分都相当老旧了。查看这份名单就会发现一些薄弱之处:
- 主机与客户机之间的共享文件夹
- VMware Tools(这本身不是一个漏洞,但增加了更多逃脱的可能性)
- Cortado ThinPrint(老问题)
您还可以阅读 Keen Security Lab 博客中的文章: 一堆红色药丸:VMware 逃逸,了解有关此类漏洞的更多信息。
VMware 有一个非常好的漏洞赏金计划,并参与 Pwn2Own 黑客大赛每年都会举办一次,所以它的安全性比较好,使用起来比较安全。
如果担心安全问题,我建议在新版本或补丁发布时定期更新 VMware。我认为这是最好的防御措施。