如何在不同的驱动器上安装两个 Windows,并确保一个 Windows 安装无法访问另一个驱动器上的文件?

如何在不同的驱动器上安装两个 Windows,并确保一个 Windows 安装无法访问另一个驱动器上的文件?

我想在一台机器上安装两个 Windows 10,可以在不同的分区上,甚至是不同的物理驱动器上。

我以前没有使用过自加密驱动器,所以我不确定他们是否允许我这样做,但我想使用单独的密码启动每个自加密硬盘,并确保无法从一个 Windows 安装/驱动器访问另一个自加密驱动器/Windows 安装上的可用数据。遗憾的是,虚拟化不能满足我的需求,因为我想要最大的硬件性能和驱动程序支持。

我该怎么做?我可以在 UEFI 模式 BIOS 中为每个自加密 SSD 驱动器创建单独的启动密码吗?或者最好在任一 Windows 安装上启用 Bitlocker 就可以了?也许如果我不在任一 Windows 安装中初始化另一个驱动器就足够了?

我希望在一个 Windows 安装/驱动器上进行严肃的工作,同时在另一个驱动器上尝试各种不安全的软件。因此,我不希望在将要安装不安全软件的驱动器上安装的任何东西危及(读取或写入)工作用驱动器和 Windows 安装的数据。

答案1

我无法相信“不安全的软件”(除了 Windows 10)需要“最大硬件和驱动程序”?

这通常会在上述的沙箱/刻录机/虚拟机情况下进行处理。

也就是说,任何可以访问物理机器的东西都可以访问该机器。我相信 win10 有 uefi 挂钩,所以它仍然会让你的机器容易受到任何攻击。

加密是最好的选择,但它无法缓解勒索攻击(即加密数据被重新加密),也无法缓解低级键盘记录器,或者,或者,或者。

答案2

如果您想尝试操作系统和可疑软件,使用双启动或单独的磁盘将非常低效。

你需要重启才能进入实验环境,而且如果坏了,你还需要重建它。非常慢。

使用一台不错的现代机器(尤其是 SSD 驱动器),您可以构建性能非常好的虚拟机。我在这里一直使用虚拟机工作。

设置 Windows Pro 主机,然后使用 VMware Workstation Pro(非常灵活)或 Hyper-V(Windows Pro 附带,不错,但不如 VMware 灵活)。我在两台不同的主机上都安装了这两种软件。我主要使用 VMware Workstation,因为我喜欢它的灵活性。

在实验方面,您可以备份虚拟机,根据需要进行实验,并在完成后恢复备份。

关于这一点有两点:

(A)如果可疑软件支持网络,请使用仅限主持人将您的虚拟机与主主机隔离的连接。

(B)如果实验是短期的,也可以考虑使用 Windows Sandbox。这是一个临时的 Windows 机器,与主机隔离,然后在主机重启时消失。

尽管 Sandbox 也适用于最新版本的 VMware Workstation Pro 和 Windows 11 Pro,但它最适合与 Hyper-V 配合使用。

沙盒与主机使用相同的操作系统(如果主机是 Windows 10,则沙盒使用 Windows 10;如果主机是 Windows 11,则沙盒使用 Windows 11)。如果您使用的是 Windows 11 主机,则可能需要 Windows 10(或更低版本)虚拟机。这意味着虚拟机的灵活性。

答案3

不安全的软件可能意味着很多事情,而不一定一定是所描述的那样:冲突的驱动程序、同一程序的多个版本,都可能是不安全的,这意味着如果不在单独的环境中进行,它们可能会产生影响操作/生产力的不稳定性。

而且还有很好的理由(尽管在大多数情况下并不适用)不采用虚拟机。 一些理由是:如果需要通过 PCI 设备,内存分配将被锁定;使用加密文件系统时的性能/磁盘使用率(所有空间都已分配,快速备份系统映像等)

例如,我已经努力了一年多,试图拥有 2 个独立的 NVME,它们都带有独立的 Win 系统,并且都带有 bitlocker:一个托管公司发布的 Windows 映像,另一个托管我的个人操作系统。我希望两个驱动器完全独立,这样无论发生什么,我都可以:

  • 删除我的个人驱动器/映像后,将系统连同其原始驱动器/映像一起返还给公司
  • 如果我出于任何原因删除我的个人 nvme,我能够在另一台计算机上安装和访问它,同时在笔记本电脑丢失的情况下保持它加密。

以下是我物理安装两个驱动器的方法:

  • 在驱动器 0 上部署公司映像。在 winPE 期间,我删除了分配给驱动器 1 的驱动器号:公司策略加密所有不可移动的内容。
  • 转到 BIOS,禁用驱动器 0(系统根本看不到它),安装个人映像(不希望 Windows 检测其他安装/启动管理器,而是希望它独立)。

很长一段时间以来,我都遇到了 bitlocker 在启动时询问密钥的问题;我花了一段时间才明白这是因为我使用了带有 2 张卡的外部雷电 PCIe 外壳并且激活了 TB 预启动:已安装的 PCIe 设备(对接/未对接)的更改会触发 TPM->BitLocker。

但即使现在,我已经禁用了 TB 的 PCIe 预启动,但这仍然在我的个人图像上发生,我真的不明白为什么。

引用原帖/作者的话:除非(如果可以的话)你每次都想进入 BIOS 并启用/禁用非测试分区以使其对“不安全”分区不可见,否则你几乎无能为力。加密将阻止不安全磁盘的软件读取安全磁盘的数据,但不会覆盖它。

相关内容