Kuinka Windows suojataan virtuaalikoneessa? [RATKAISTU]

[Hajakenttä]

Jos virtuaalikoneeseen asentaa Windowsin, onko se suojattava kaikilta viruksilta ym. kiusoilta samalla tavalla kuin fyysinenkin, sopivilla suojausohjelmilla?



EDIT:
Tarkoitan siis virtuaalikoneeseen, jonka isäntänä on Linux. Vaikkapa Ubuntu.

[kamara]

Pitää, mutta pöpöt jäävät virtuaaliwindowsin sisälle.

[Ganymedes]

Jos virtuaalikoneeseen asentaa Windowsin, onko se suojattava kaikilta viruksilta ym. kiusoilta samalla tavalla kuin fyysinenkin, sopivilla suojausohjelmilla?
,,,

Pakkohan tässä maailmassa ei ole kuin köyhän kuolema, mutta tätä voi katsoa varsin monesta perspektiivistä ...

Linuxin kannalta on sama mitä teet, koska pöpöjen tarttuminen Linuxiin on aivan liian kaukaa haettua.

Itse Windowsin kannalta:

1.
Jos haluat että virtuaali-Windowsiin ei tartu pöpöt, niin sitä ei välttämättä tarvitse suojata JOS ajat sitä host-only verkon kautta. Tällöin siltä koneelta ei edes pääse nettiin eikä netistä siihen.

Tässäkin tapauksessa pöpöt tarttuvat jos niitä tuot jotakin muuta kautta sille virtuaalikoneelle - esimerkiksi kopioit pääkoneelta jonkun ohjelman joka on pöpöjä täynnä. Katso myös seuraavia kohtia...


2.
Jos kuitenkin käytät virtuaali-Windowsia netissä, niin siihen lähtökohtaisesti tarttuu pöpöt samalla tavalla kuin fyysiseen koneeseenkin.

Kuitenkin jos virtuaali-Windows on NAT-verkossa, luo tämä jonkun verran suojaa ulkopuolisia kolkuttelijoita vastaan. Esimerkiksi tämä NAT-verkossa oleva kone ei suoraan näy ulkoverkkoon päin (samalla tavalla kuin näiden modeemi/reititin -purkkien takana olevat koneet eivät näy - tosin niissä on lisättyjä suojamekanismeja).

Jos pidät verkossa tällaista virtuaali-Windowsia, jossa ei ole virussuojaa, niin periaatteessa se huonontaa koko verkon turvallisuutta (siis Windowsien turvallisuutta) jonkin verran - ihan vain periaatteessa, kuten jokainen varmaan ymmärtää turvallisuuden perusperiaatteiden mukaisesti.


3.
Jos et käytä virussuojaa virtuaali-Windowissa, on erittäin huono idea pitää automaattinen USB-laitteiden kytkentä päällä virtuaalikoneessa. Tällöin esimerkiksi viruksia sisältämän USB-tikun kytkeminen koneeseen saattaisi välittömästi saastuttaa virtuaali-Windowsin. (Tämä on ohjeessani neuvottukin pitämään pois päältä - tosin ei ole täysin selitetty kaikkia syitä).


4.
Toisaalta, jos tiedät mitä teet, niin pöpöt tarttuvat VAIN siihen virtuaalikoneeseen, mikä on pienempi paha. Tämä virtuaalikonehan on helppoa vaikka hävittää pois, jos pahasti käy, ja rakentaa uudestaan. No, oma aikansa tähänkin menee Windowsilla, mutta onhan se huomattavasti helpompaa, joustavampaa ja nopeampaa kuin fyysisellä Windows-koneella - varsinkin jos olet tallettanut kaikki tarvittavat ohjelmat jonnekin etukäteen.


Joten onhan tässä aprikoitavaa monesta eri suunnasta.

[Hajakenttä]

Kiitos vastauksista.

Tämä oli juuri se ydinasia. Pitää laittaa kaikki suojaukset samalla tavalla kuin Windowsiin aina ennenkin. Eipä siinä mitään vaikeaa ole. Internetissähän se joskus harvakseltaan tulee olemaan kun aina välillä käy lastenlapsia, jotka haluaa pelata verkon yli pelejä (joista en mitään ymmärrä) Windowsilla koska Adoben flash toimii paremmin Windowsissa, ainakin jos nettiyhteys ei ole nopeinta laatua.

Windows XP olisi asennettavissa kun sen ikivanhat asennuslevyt on olemassa. SSD-muistilliseen  koneeseen on lisättävissä toinen gigainen muistikampa RAM:ia. Ehkä nopeuskin sitten on välttävä. W7:n mukana ei edes tullut mitään levyjä, polttelin vain itse sille palautuslevyt heti uutena sen omien ohjeiden mukaan.

XP taitaa tulla tiensä päähän parin vuoden sisällä. Sittenkin se tietysti toimii, mutta päivitysten loputtua voi olla, että ilkeät ihmiset alkavat urakalla sitä kiusata. Siihen mennessä voi olla jo uudenlainen ympäristö muutenkin.

[asuspoju]

Ainahan voi ottaa snapshotin puhtaasta windowsista ja kun epäilee että on saastunut niin palauttaa aikasempaan. Sillon tietenkin kaikki muutokset mitä on tehty palautettavan snapshotin jälkeen häviää bittiavaruuteen.

[Ganymedes]

...
Windows XP olisi asennettavissa kun sen ikivanhat asennuslevyt on olemassa. SSD-muistilliseen  koneeseen on lisättävissä toinen gigainen muistikampa RAM:ia. Ehkä nopeuskin sitten on välttävä. W7:n mukana ei edes tullut mitään levyjä, polttelin vain itse sille palautuslevyt heti uutena sen omien ohjeiden mukaan.
...

Kaksi GB:tä riittää kyllä kaikkeen normaaliin.

Asennuksessa dd:llä otettu kopio XP-levystä on kätevin - siis käytät sitten ISO-imagea fyysisen koneen levyltä. (Kyseessähän ei ole laiton kopio, mikä olisi kiellettyä).

Ikivanhat levyt ovat ehkä paremmat kuin uudet, koska ne ovat todennäköisesti yleispätevät OEM-levyt joilta asennus onnistuu. Valmistajakohtaisilta ei aina onnistukaan virtualisointiin (ehkä tahallaan, ehkä vahingossa tehty esto). No, Service Packien kanssa joudut leikkimään, ensin 2 ja sitten vasta 3, mutta sellaista se on.

Virtualisoinnin nopeus ei ole 1:1. Jos sinulla on siis SSD-levy, johon oikeasti saat XP:n mahtumaan, niin nopeus on oletettavasti oikein hyvä. Vaikeampi logiikka taustalla, mutta, yleisesti ottaen, virtualisointi yhdellä kunnollisella koneella on oletettavasti nopeampaa kuin kahdella, yhteenlaskettuna samanhintaisella kokoonpanolla, fyysisiä koneita. Koneet myös toimivat miellyttävimmin yhdellä kunnollisella näyttö/näppis/hiiri -yhdistelmällä kuin kahdella puolihyvällä yhteenlaskettuna samanhintaisella yhdistelmällä.

Lisäksi kannattaa huomata sekin, että virtualisoituun systeemiin ei tarvitse änkeä kaikkea mahdollista mukaan, vaan käyttää yksittäisiä koneita tilanteen mukaan. Tällöin niiden nopeus - etenkin XP:n tapauksessa - pysyy hyvänä.

Kuten tuossa aiemmin jo vihjattiin, jos pelkäät viruksia ja muutenkin, kannattaa tallettaa virtuaalikone jonnekin talteen silloin "kun se vielä on hyvässä kunnossa". Siihen voi palata tarpeen vaatiessa aina helposti = yksi kone = yksi hakemisto.

Snapshot ei toimi VMware Playerissa - Virtualboxista en tiedä. Maksullisessa Workstation tuotteessa se toimii. Se kuitenkin hidastaa konetta aika paljon silloin kun levy on aika hidas - joten niitä ei kannata tehdä jos koneen suorituskyky on huono. SSD-levyllä ongelmaa ei tulisi nopeudesta. Tilantarpeesta voisi tulla ongelma, koska silloin kun koneella on snapshot, se voi ainoastaan kasvaa (koska mitään tiedostoa ei voi tuhota pois oikeasti, ne vain merkataan tuhotuiksi silloin kun luulet ne tuhoavasi XP:ssä).

[Tomin]

Snapshot ei toimi VMware Playerissa - Virtualboxista en tiedä.

Virtualboxissa se on käsittääkseni käytännössä kopio virtuaalikoneesta eli se ei vaikuta toimintaan, mutta sillä ei myöskään voi tehdä mitään tuollaisia hienoja juttuja. Toisin sanottuna saman tuloksen saa kopioimalla sen virtuaalisen levyn ja koneen tiedot talteen, mutta nyt siihen on tehty parin napsautuksen käyttöliittymä. En kyllä ole muistaakseni kokeillut sitä (en virtualisoi Windowseja), joten voin olla väärässäkin. Hyöty tuossa olisi ehkä suurin juuri asennuksen jälkeen tehtävästä kopiosta/snapshotista.

[Ganymedes]

Snapshot ei toimi VMware Playerissa - Virtualboxista en tiedä.

Virtualboxissa se on käsittääkseni käytännössä kopio virtuaalikoneesta eli se ei vaikuta toimintaan, mutta sillä ei myöskään voi tehdä mitään tuollaisia hienoja juttuja. Toisin sanottuna saman tuloksen saa kopioimalla sen virtuaalisen levyn ja koneen tiedot talteen, mutta nyt siihen on tehty parin napsautuksen käyttöliittymä. En kyllä ole muistaakseni kokeillut sitä (en virtualisoi Windowseja), joten voin olla väärässäkin. Hyöty tuossa olisi ehkä suurin juuri asennuksen jälkeen tehtävästä kopiosta/snapshotista.

OK. VMwaren snapshot toimii virtuaalikoneen sisällä, eikä sillä ole mitään tekemistä koko koneen kopioinnin kanssa. Snapshotteja voi tehdä N kpl ja tuhota jäljeenpäin. Snapshotin tekemistä pitää odotella ehkä 10s ja sitten se ruksuttaa taustalla pari minuuttia jona aikana systeemiä voi vapaasti käyttää. Vastaavasti snapshot tilaanteeseen takaisinpääsy on hyvin nopeaa.

Snapshotit vaativat kuitenkin selkeästi lisää tilaa fyysisen koneen levyltä, ja yksikin snapshot tarkoittaa sitä, että kaikki mitä koneelle tekee, ainoastaan kasvattaa sen kokoa, tilaa ei koskaan vapaudu.

Snapshotit ovat tietyssä ammattityössä tietenkin hyvin käteviä. Maksullinen Workstation tuote tukee niitä.

Koko koneen kopiointia harrastan yleensä eri levyille niiden backup-luonteen takia. Tämä ei ole erityisen nopeaa - tai mitä nyt esim. 15 GB:n XP-koneen kopiointi kestää levyltä toiselle - riippuu aivan systeemistä (olisivatkin näin pieniä   ). Kopioinnin aikana virtuaalikone ei voi olla käytössä.

VMwaressa ei ole tähän kopiointiin mitään erityistä käyttöliittymää. Siinä on kylläkin koneen "kloonaus" käyttöliittymässä, mutta tämä on eri asia, eikä ole aivan sama asia kuin kopiointi (ja on melko hidas).

[_Pete_]

Snapshotit vaativat kuitenkin selkeästi lisää tilaa fyysisen koneen levyltä, ja yksikin snapshot tarkoittaa sitä, että kaikki mitä koneelle tekee, ainoastaan kasvattaa sen kokoa, tilaa ei koskaan vapaudu.

Mitä tämä tarkoittaa? Mikä kaikki kasvaan sen kokoa? Minkä sen?

[Ganymedes]

Snapshotit vaativat kuitenkin selkeästi lisää tilaa fyysisen koneen levyltä, ja yksikin snapshot tarkoittaa sitä, että kaikki mitä koneelle tekee, ainoastaan kasvattaa sen kokoa, tilaa ei koskaan vapaudu.

Mitä tämä tarkoittaa? Mikä kaikki kasvaan sen kokoa? Minkä sen?

Tuo on kyllä hyvä tarkennuspyyntö. Kommenttini ei ollut erityisen tarkka 

Nopea selitys:
Jos otat VMware virtuaalikoneesta Snapshotin, se vie selkeästi lisää tilaa fyysiseltä levyltä. Ei kaksinkertaista määrää, mutta joitakin kymmeniä prosentteja heti alkuun. Sen lisäksi se on herkkä kasvamaan jatkossa ja toimii hitaammin  jos levy on hidas.

Pitkempi selitys:
Tarkoitin tuolla lähinnä tilannetta jotka osuvat omalle kohdalleni eli liittyvät siihen mihin snapshottia yleensäkään käytetään. Tämän säikeen tilanne ei välttämättä ole sellainen, koska tuo aiemmin mainittu koko koneen kopiointi on mielestäni järkevämpi tapa.

Esimerkki:
Koneella on Ohjelma X ja siihen liittyvää dataa. On tarve selvittää saisiko Ohjelman X toimimaan ilman ongelmia uudemmalla versiolla kyseisen datan kanssa.

Koneesta otetaan snapshot. Tällöin koko kasvaa jonkin verran.

Koneeseen asennetaan uusi ohjelma versio, sitä ennen vanha poistetaan. Uudella ohjelmalla päivitettään data uuden version edellyttämällä tavalla. Oletetaan, että ohjelmaversiot vievät tilaa 200 MB ja dataa jota päivitetään on 1 GB.

Kun koneesta on otettu snapshot, niin vanhan version poistaminen, 200 MB ei vapaudu. Tämä ei voi vapautua, koska tällöin vanhaa tilannetta ei saisi nopeasti palautettua, minkä oikeasti pystyy tekemään. Dataa päivitetään myös 1 GB:n verran. Vanhaa dataa ei tässäkään tilanteessa voi hävittää samasta syystä. Tällöin kone siis kasvaa 1.2 GB.

Normaalitilanteessa, normaalilla koneella, vanhan datan ja ohjelmien hävittäminen olisi vapauttanut tilaa vastaavasti eikä koneen koko olisi kasvanut ollenkaan.

Tämä ei välttämättä ole näin yksinkertaista matematiikkaa, mutta kun seuraan vaikutuksia, niin tuo tuntuu aika lähellä olevalta tilanteelta - ihan vain empiirisesti tutkimalla.

Voisi ajatella toisaalta, että snapshotin jälkeinen data voidaan hävittää ihan oikeasti ja tilaa ei tässä tapauksessa kulu. En ole sitä tilannetta tutkinut sen tarkemmin - helppo tehdä jos jotakin kiinnostaa kokeilla.

Edellä olevat kommentit koskevat lähinnä vain tilannetta, jossa kone on luotu virtuaalilevyillä, joiden koko kasvaa tarpeen mukaan. Tämä ei koske, ainakaan sellaisenaan, tilannetta, jossa levyt on luotu pre-allocated space -tavalla, jossa levyt vievät suoraan sen mitä niiden kooksi on määritetty. Snapshot-tiedostot vievät kuitenkin tässäkin tilanteessa lisää tilaa.

Joten onhan tässäkin monta tapausta ... snapshotit saa toki poiskin tarpeen vaatiessa.

[Ganymedes]

Kokeilin huvikseen (lähes) uusimmalla VMwarella, versio 8.0.1, Win7 koneella mitä tarkalleen tapahtuu.

Kommentit jäljempänä oleviin tuloksiin:
- näköjään ensimmäinen snapshot ei oleellisesti kasvata suoraan koneen kokoa
- datat kasvattavat levyä joissakin tapauksissa paljon enemmän kuin luulisi. Epäilen, että tämä johtuu "työpöydältä-työpöydälle kopiointitavasta", joka ehkä jättää kopioita jonnekin. Tämä tietysti muuttaa matematiikkaa hieman, mutta ei varsinaisesti logiikkaa

- sinänsä koneen herkkä kasvaminen, ja tuhottujen tiedostojen jääminen vielä levylle, joita kommentoin aiemmin, näkyvät tästä testistä hyvin

- näköjään uusi versio osaa automaattisesti tehdä "shrinkin", eli tilanvapauttamisen silloin kun snapshottia ei ole. Tämä ei välttämättä toteutunut automaattisesti vanhemmilla versioilla.

Esitetyt tilantarpeet fyysisellä levyllä on aina mitattu rivillä mainitun tempun jälkeen. Kaikki tilantarpeet on mitattu silloin kun kone ei ole käynnissä. Käynnin aikana tilantarve on suurempi.


Ubuntu 11.10, 32-bit, 40 GB, ei preallocate, 2 GB:n filet. Uusi asennus testiä varten.


7.81 GB asennettu Ubuntu, päivitykset, VMware Tools, 1.8 GB:n datatiedosto.

7.82 GB otettu snapshot koneen ulkopuolelta.

7.83 GB seuraavan bootin jälkeen

7.83 GB poistettu 1.8 GB:n datatiedosto (tila ei vapautunut)

11.9 GB lisätty 2.2 GB:tä dataa

13.4 GB lisätty takaisin 1.8 GB:n datatiedosto

13.4 GB poistettu edelliset 4 GB:tä dataa

13.4 GB ajettu VMware defrag ja compact levylle (siis koneella kahdessa vaiheessa käynyt data 4 GB on pysyvästi kasvattanut koneen kokoa 5.6 GB:tä, jos snapshot säilytetään)


9.91 GB poistettu snapshot

9.90 GB ajettu VMware defrag ja compact levylle (tilaa vapautui mutta alkuperäiseen kokoon ei päästy, saattaa johtua joistakin temp-tiedostoista)

EDIT - jatkettu ilman snapshottia

Jotta tuo tilantarpeen arviointi virtuaalikoneella ei tuntuisi liian selvältä, niin laitetaan tähän vielä jatkotyöskentelyn tilantarpeet kun edellä poistettiin tuo snapshot ja tila EI vapautunut kokonaan.

11.9 GB lisätty 4.1 GB dataa (vertaa koneen alkuperäiseen kokoon. Vaikka edellä tila ei vapautunut fyysisen levyn kulutuksesta, niin 4 GB:n lisäys vaati vain 2 GB:tä lisää tilaa. Eli tilaa oli oikeasti käytettävissä ja ollaan takaisin alkuperäisen koneen koossa + datat)

11.9 GB poistettu 4.1 GB:tä dataa koneesta

11.9 GB ajettu VMware defrag ja compact levylle (tämän olisi teoriassa pitänyt tehdä shrink, mutta ei aina tee. Ehkä olisi onnistunut vanhemmilla konsteilla, en kokeillut ... tässä on kyllä muitakin juttuja taustalla ...)

12.0 GB lisätty 4.1 GB:tä dataa koneelle (edellä tila jäi varatuksi fyysisellä konella, mutta tämä 4 GB:n lisääminen ei kuitenkaan kasvattanut tarvetta yhtään)

Joka tapauksessa tässä jatkotyöskentelyssä ilman snapshottia kone ei kasvanut jatkuvasti vaan kaikki tuhottu data vastasi sitä, että koneelle voi tuoda lisää dataa ilman että koneen tilantarve fyysisellä koneella kasvoi yhtään. Fyysisellä koneella tilaa voi palaa, mutta lisädatalle tilaa löytyy joka tapauksessa ilman että fyysinen levytilantarve kasvaa - tilanteessa jossa snapshotteja siis ei ole ollenkaan. Kuten aina - muitakin tilanteita ja mahdollisia käyttötapoja on.