Sicherheit einer VM mit Windows

[Butzde]

Guten Morgen!

Ich hätte eine Frage an euch!
Ich möchte auf einem Rechner mit MacOSX eine VM mit Windows erstellen. Dabei bekommt Windows keine Rechte um sich mit dem Internet zu verbinden.

Wie Zugriffssicher wäre dann die VM gegenüber äußerlichen Eingriffen?

Schonmal vielen Dank für eure Hilfe!

LG Basti

 

[CommanderTom66]

Was meinst Du mit "äußerlichen Eingriffen" ? Eingriffen vom Internet auf die virtuelle Maschine bzw. deren Inhalt oder Eingriffen auf den Inhalt der virtuellen Maschine auf dem Filesystem ? Ersteres dürfte ausgeschlossen sein, wenn die VM keine physikalische Verbindung nach außen hat - Du kannst ja auch die Netzwerkkarte in den Einstellungen der VM entfernen, dann ist der Zugriff von außen ausgeschlossen.

Wer allerdings Zugriff auf die Daten der VM im Filesystem hat, könnte theoretisch mit Kenntnis der Strukturen der VM Inhalte verändern und somit Eingriffe vornehmen. Du solltest also die VM im Filesystem zusätzlich mit Rechten versehen.

 

[Butzde]

Also es geht darum, dass die VM mit einem Intranet verbunden werden soll. Dabei darf keiner über MacOSX in die VM eindringen und somit Zugriff auf das Intranet haben können.

Dieser Rechner soll der einzige in einer Praxis sein, der einen Internetzugang erhält und in der VM soll eine Verwaltungssoftware laufen, die bei Bedarf durch Fernwartung kontrolliert werden kann. Dies soll dann möglich sein wenn ich die Metzwerkkart wieder aktiviere, aber in der Regel ist die deaktiviert.

 

[Butzde]

Achja, erstmal vielen Dank für die Antwort

 

[CommanderTom66]

Zunächst würde ich in diesem Fall die Firewall von OSX entsprechend konfigurieren, dass nur bestimmte Dienste auf die Maschine kommen dürfen, z.B. die Fernwartung. Wen die Netzwerkkarte ansonsten deaktiviert ist, dann sollte ja zunächst keine Gefahr drohen. Ansonsten gelten für den Rechner selbst die allgemeinen Regeln wie Kennwortschutz, Passwortlänge, etc.

Es sollte auf jeden Fall eben der Zugang zum Rechner abgesichert werden, denn wer Zugriff auf die VM hat, kann diese z.B. auf einen Stick wegkopieren und in aller Ruhe dann Angriffsszenarien ausprobieren, denn die kopierte VM lässt sich ja wieder leicht in die gleiche Virtualisierungssoftware einbinden und dort zum Laufen bringen. Dies gilt es also zu verhindern.

 

[Scotch]

Dieser Rechner soll der einzige in einer Praxis sein, der einen Internetzugang erhält und in der VM soll eine Verwaltungssoftware laufen, die bei Bedarf durch Fernwartung kontrolliert werden kann.

Du solltest dir bei diesem Set-up darueber klar sein, dass der Rechner waehrend aktiviertem Fernzugriff am Internet haengt, d.h. alle ueblichen Sicherungsmassnahmen unter Windows muessen installiert, konfiguriert und gewartet sein. Das kann dazu fuehren, dass du nach Aktivieren des Zugangs dann erst mal Updates laedst... Wenn man davon ausgeht, dass Fernwartung durchaus im Problemfall gebraucht wird, u.U. ein wenig problematisch.

Wenn du dir Sorgen ueber Angriffsszenarien mit physikalischem Zugriff auf den Host machst (USB-Stick), dann setzt du m.E. am falschen Ende an. Da wuerde man zunaechst den physikalischen Zugriff unterbinden wollen.

Bei "Verwaltung" und 'Praxis" gibt es je nach Art der zu verwaltenden Daten ein erhoehtes Schutzbeduerfnis fuer die Daten. Wenn es um Patientendaten gehen sollte, kann je nach Bundesland, KV und angestrebtem (oder erforderlichem) Praxismanagement-Zertifizierungslevel eine Risikoanalyse erforderlich sein.

Summa summarum scheint mir das Konzept ueberdenkenswuerdig. Fuer mich klingt's ehrlich gesagt ein wenig nach dem Sohnemann, der dem Papa in der Praxis einen Mac schmackhaft machen moechte und jetzt die "unverzichtbare" Windows-Software irgendwie "sicher" ans Laufen kriegen will/muss. Sorry wenn ich dem TE Unrecht tuen sollte.