Hitomi schrieb:
Windows Defender ist das erste was ich bei einer neuen Windows Installation deaktiviere. Ebenso brauche ich kein Secureboot, TPM und sonstige Spielereien die angeblich Sicherheit vorgaukeln sollen und am Ende nur performance kosten.
Dies.
Was soll SecureBoot oder TPM gegen einen Virus tun? Nichts. Hauptaufgabe ist die Installation von Linux zu erschweren und den Bootprozess noch anfÀlliger zu machen. Zertifikate funktionieren nicht, dass hat das Internet schon 2010 bewiesen. Und Microsoft erhebt sich auch noch zur Certificate-Authority.
Wenn sie UEFI mit Passwort und HardwareverschlĂŒsselung mit Passwort nutzerfreundlich haben hĂ€tten wollen, mĂŒsste dem Superuser ein Keyring (e.g. Seahore wie bei GNOME oder bei SSH-Keys mit Passwort) zugeordnet werde und bei Login entsperrt werden. Der private Key aus dem Keyring signiert die neue Software, der bei Installation im UEFI angelegte Pubic-Key verifiziert diese.
Triumvirat des Todes
Meiden. Kein Windows, kein Active-Directory, kein Exchange. Wer sagt, dass er das nicht âmöchteâ der will auch keine Besserung. Lieber noch ein IT-Vorfall, Cloudzwang, Zwangsupdates und so weiter. Wer das einsetzt ist in meinen Augen selbst der IT-Sicherheitsvorfall.
Mit Linux ist man nicht automatisch sicher. Darauf kann Sicherheit aufbauen.
Und zur Kontrolle gibt es eine Lösung, Control-Groups. Der Kern von Containern und Flatpak. Alles hilft aber nur etwas, wenn man den Quellcode und zugehörigen Quellen (Hallo xz!) prĂŒft. Geht kaum, weswegen wir weiterhin das menschliche Prinzip von Vertrauen anwenden. Es ist viel Quellcode - und dann mĂŒsste man einem dritten Teams aus Kontrolleuren Glauben schenken. Wir schaffen es gerade mal einzelne Projekte durch Dritte zu prĂŒfen - denen wir dann Vertrauen.
Mit Control-Groups und Namespace (gehören eigentlich zusammen) hat Linux in kleinen StĂŒcken geschaffen, woran Microsoft gescheitert ist. Ich kann jetzt vorgeben, dass die Software nur 1024 MB Hauptspeicher nutzen darf, nur auf bestimmte Dateien zugreifen darf, nur 5% CPU-Last erzeugen und nur ĂŒber dieses Netzwerkinterface kommunizieren darf. Und wenn die Software anderes tut - gibt es mindestens einen Prozess weniger.
Und das ist wichtiger als man meint. Wir können definieren wie viele Systemressourcen eine Prozessgruppe nutzen kann. Das ist fĂŒr kritische Umgebungen notwendig. Oder einfacher gesagt:
Der Chrome stirbt wenn er mehr als 1024 MB nutzt und die SystemintigritÀt gefÀhrdet. Ein Out-Of-Memory tut das. Genau so wie ein System das langsamer wird, weil ein Prozess zu viel I/O nutzt.
