Wie sichere ich meinen Host gegenüber der VirtualBox ab?

[McChicken77]

Hallo zusammen,

ich möchte mit meiner VirtualBox z.B. neue Programme testen und PDFs aus unbekannten Quellen öffnen können.
Damit dies der Fall ist, möchte ich meinen Host (Windows11) vor möglichen Gefahren aus der VirtualBox schützen.
Falls ich in der VirtualBox ein Programm oder eine PDF öffne, die mit einer bösartigen Malware infiziert ist, möchte ich nicht, dass diese Malware Kontrolle über meinen Host erlangt oder andere Schäden anrichtet bzw. Daten auslesen kann.
Deshalb erfrage ich hier nach Hilfe zu den Einstellungen meiner VirtualBox.
Worauf muss ich in den Einstellungen meiner VB genaustens achten, damit mein Host vor jeder Gefahr geschützt ist?
Habt ihr vielleicht ein kleines Tutorial zur sicheren Einrichtung einer VB?

Ich danke euch vorab vielmals für Eure Hilfe.

 

[Schnüffelstück]

Also ich denke da gibt es keine weiteren Tricks, da es ja die originäre Aufgabe einer VM ist das Host-System weitgehend zu schützen.

Ein Tipp ist lediglich das Abschalten der Netzwerkverbindung, um auch hier das Host System isoliert zu lassen.

https://www.pcwelt.de/article/1149920/malware-analyse-in-virtuellen-maschinen.html

 

[SSD960]

Vbox immer aktuell halten. Das ist das wichtigste.

 

[McChicken77]

Es gibt doch bei der VB zum Beispiel die Möglichkeit eines "gemeinsamen Ordners" dies Einstellung sollte doch eigentlich deaktiviert werden wenn man auf Nummer sicher gehen möchte oder sehe ich das falsch?

 

[Der_Dicke82]

Keine vereinfachungssoftware installieren!

In deinem Fall würde ich nicht die vbox guest additions installieren!

Außerdem keine Verbindung zwischen host und guest einrichten! Also kein netzlaufwerk etc. Auch keine gemeinsame Zwischenablage.

Außerdem würde ich den Gast fertig einrichten und dann die Umgebung sichern und nach jedem test zu diesem zurücksetzen.

 

[Xiaolong]

Solange du die infizierte Datei auf deinem Host nicht ausdrücklich selbst ausführst/öffnest passiert da nicht viel auf die PDF bezogen

Es gibt durchaus propagierende Software die sich übers Netzwerk und Bekannte sowie unbekannte Lücken fressen kann. Am besten komplett isolieren und die Kommunikation zwischen VM und allen anderen Teilnehmern im Netz verbieten

Da kannst du noch einen drauf machen und als Host Linux ohne Berechtigungen nutzen während in der VM Windows läuft.

 

[muentzer]

Wer VirtualBox unter Windows performant nutzen möchte, muss dazu die Kernisolierung in Windows abschalten und reißt damit bereits ein Loch in dessen Sicherheitsarchitektur.

 

[oicfar]

Zum Testen nehme ich bei Bedarf Windows-Sandbox

 

[muentzer]

@oicfar Braucht halt die Pro-Version von Windows, und falls man VirtualBox noch für anderes verwendet, wäre das halt auch doof bzw. müsste man schauen, ob Hyper-V nicht auch reicht.
Aber grundsätzlich bin ich bei dir, die Sandbox wäre das Tool der Wahl.

 

[tollertyp]

Der Vorteil der Sandbox wäre doch auch der, dass nicht jede Software potentiell auch in der VM installiert werden muss, die VM nicht auch noch aktuell gehalten werden muss. Ersteres kann ja sogar lizenztechnische Hürden bedeuten.

 

[oicfar]

In Windows 11 und 10 Home Windows Sandbox installieren und nutzen steht. das es auch mit Home gehen könnte.

Aber ja, ich habe immer die Pro Versionen von Windows im Einsatz.

 

[tollertyp]

Ah, okay, die Sandbox hat auch nicht die Software, die man im Host hat.
Also wenn man Dinge häufig in isolierter Umgebung ausprobieren muss, würde ich wohl auch auf VMs setzen. Aber nicht auf VirtualBox, sondern auf Hyper-V.

 

[gimmix]

Maximale Sicherheit hast du, wenn Software, die im Gastsystem läuft, auf dem Hostsystem gar nicht ausführbar ist. Deswegen würde ich so vorgehen:

Auf einer neuen SSD Linux installieren, virt-manager installieren, darin eine Windows-VM einrichten.
Windows-Malware kann dir dann in aller Ruhe die VM zerschießen, aber nicht das Linux-Hostsystem. Und von deinem Windows-Hauptsystem weiß sie nicht mal, dass es existiert.

 

[tollertyp]

@gimmix: Ich denke du hast damit recht.
Ich frage mich nur, ob jemand, der hier im Forum nachfragt, jemals solch hohen Gefahren ausgesetzt ist...

 

[oicfar]

Ich frage mich nur, ob jemand, der hier im Forum nachfragt, jemals solch hohen Gefahren ausgesetzt ist...

Es gibt Menschen, die von Anfang an vom Schlimmsten ausgehen.

Und wer weiß, wo sich der eine oder andere im Netz bewegt und komische Sachen runterlädt.

 

[tollertyp]

Also wer vom "Schlimmsten" ausgeht, sollte gar kein Internet nutzen. Meine Meinung.

 

[schrht]

TL;DR:

• VirtualBox aktuell halten.
• Im Gast-Betriebssystem keine Gasterweiterungen installieren.
• Sicherstellen, dass sie noch doch irgendwie installiert wurden und / oder sicherstellen, dass geteiltes Clipboard und geteilte Ordner deaktiviert sind.
• Nach dem ersten Einrichten des Gastsystemes einen sauberen Snapshot ziehen und jedes Mal, wenn du etwas "gefährliches" gemacht hast auf diesen zurücksteigen.
• Den Snapshot regelmäßig aktualisieren bzw. neu anlegen, damit du auch innerhalb des virtualisierten Systems auf dem neuesten Softwarestand bist.

Weniger TL;DR: Die obigen Punkte lassen sich beliebig weiter treiben, bis in's Extreme. Du könntest (beispielsweise) allen Traffic aus der VM über einen Proxy laufen lassen und das Protokoll davon nach jeder Benutzung prüfen, ob dir etwas Verdächtiges auffällt. Für deinen Anwendungsfall ist das aber nicht notwendig, ausser du verschweigst uns irgendwas Fundamentales über deine Pläne und / oder den Hintergrund der zu öffnenden Dateien.

Worauf muss ich in den Einstellungen meiner VB genaustens achten, damit mein Host vor jeder Gefahr geschützt ist?

Vor jeder Gefahr kannst du dich nicht schützen. Schlichtweg weil du noch nicht alle Gefahren kennst. Es kann immer eine neue, bisher unbekannte Sicherheitslücke geben. Es kann immer eine Fehlkonfiguration passieren, die du erst nach Wochen oder Monaten bemerkst, die Angreifer:innen bis dahin ungestört ausnutzen hätten können. Aber wie oben schon gesagt, für deinen Anwendungsfall solltest du auf der sicheren Seite sein.

 

[tollertyp]

Vor jeder Gefahr kannst du dich nicht schützen.

Das ist es halt. Und wer sich davor schützen will, der fragt vermutlich halt nicht hier im Forum.

 

[Marco01_809]

Was soll es bringen in der VM keine Gasterweiterungen zu installieren? Die Gasterweiterungen sind ganz normale Software bzw. Treiber die mit virtuellen Geräten der VM-Umgebung kommunizieren. Alles was die Gasterweiterungen tun können könnte eine potentielle Schadsoftware in der VM auch machen. Ob die Gasterweiterungen nun installiert sind oder nicht, die virtuelle Geräten die es erlauben mit dem VirtualBox Host zu kommunizieren sind trotzdem da und bieten Angriffsfläche...
Einfachstes Beispiel: Eine Schadsoftware könnte einfach heimlich die Gasterweiterungen nachinstallieren.

Da man der Software in der VM nicht vertraut muss man davon ausgehen, dass auch das Betriebssystem in der VM voll kompromittiert sein könnte. Man muss also die Angriffsfläche von außen reduzieren, d.h. der VM weniger Möglichkeiten geben mit Software auf dem Host zu kommunizieren. Dazu bietet sich in erster Linie an Geräte in den VirtualBox-Einstellungen abzuschalten, die man nicht braucht. z.B. nur einen Storage Controller der nur die virtuelle Disk hat, USB deaktiviert (Maus per PS/2), VMSVGA als Adapter (soll eine sicherere Codebasis als der alte VboxVGA haben), 3D Acceleration aus, Audio deaktivieren, keine Serial ports, keine Shared Folders. Drag and Drop und Shared Clipboard ausgeschaltet.

Darüber hinaus sollte man das Betriebssystem in der VM möglichst strikt einrichten, z.B. Windows UAC auf maximale Stufe. Falls möglich den Netzwerkadapter trennen nachdem die zu testende Software runtergeladen wurde und Admin-Rechte verweigern. Durch letzteres hat die Software weniger Angriffsfläche gegen das Betriebssystem und damit auch gegen die VM.

Wenn das System sauber eingerichtet ist einmal einen Snapshot erstellen. Nach jeder getesteten Software auf den Snapshot zurückgehen. Updates nur auf dem frisch gebooteten Snapshot installieren und danach neuen Snapshot machen.

Ferner muss einem klar sein dass jede ausgefeilte Schadsoftware eine VM erkennt und sich in diesem Fall unauffällig verhält bzw. keine Infektion vornimmt. Das dient ihrem Selbstschuld da sie so schwerer analysiert werden kann. Zum lesen/entpacken/anschauen von fragwürdigen PDFs/Archiven/Videos macht die Vorgehensweise aber Sinn.