Eine unternehmenskritische Windows Anwendung auf einem Internetfähigen PC laufen zu lassen ist gefährlich. Ein Netzwanschluss ist immer eine potentielle Gefahr im Sinne des Datenschutzes. Rechtlich ist der Anwender für den Schutz der Daten zuständig. Aber dieser hat wenig Fachkenntnis im Bereich Firewalls.
Im Sinne der Datensparsamkeit kann es eine Lösung sein beide „Welten“ voneinander zu trennen:
In einen „Windows-Teil“ mit der Unternehmenssoftware und einen „Internet-Teil“ für WWW und Mail. Das geht natürlich nicht immer. Aber wenn möglich ist das super.
Lösung 1:
Dabei werden zwei PC’s mit KVM Switch verwendet: Aber: Der KVM Switch hat einen weiteren USB Anschluss zum Betrieb eines USB Sticks. Wir benutzen einen KVM Switch von ATEN mit Tastatur Hotkey. Dieser kann bei drücken einer speziellen Tastenkombination (Roll-Roll 1) zwischen den Rechnern umschalten.. Sehr praktisch!
Der Windows Rechner ist nur im privaten Netz. Aber beide Rechner sind über den KVM Switch mit dem gemeinsamen USB Laufwerk verbunden, über den ein Datenaustausch, zb. zum Dokumentenversand möglich ist.
Welche Vorteile hat das:
Erstens: Der kritische Rechner ist nicht mit dem Internet verbunden. D.h. man kommt bei einer Datenpanne nicht in Erklärungs-Nöte.
Zweitens, wenn man sich einen Virus eingefangen hat, ist dieser oftmals auf Online-Verbindungen angewiesen um Schadcode nachzuladen. Da der befallene Windows Rechner nicht im Netz ist, kann kein Schadcode nachgeladen werden.
Der Internet Rechner ist natürlich ein exponiertes Opfer und sollte entsprechend sorgfältig eingerichtet sein.
Lösung 2:
Weniger Kabelsalat, aber nicht unbedingt weniger Kosten (man braucht einen schnellen Rechner mit viel RAM), bietet eine Virtuelle Maschine innerhalb des Windows PC. Hier ist schonmal ein „Grundvertrauen“ in die EDV nötig, dem kritischen „Internet Rechner“ einen Teil des Rechners zu überlassen. Aber es ist mehr Ordnung auf dem Schreibtisch. Es entfällt der KVM Switch und der zweite Rechner. Mittels einer VM benutzen wir ein Linux für den Internet Teil. Dabei kann Virtual Box für den Internet Rechner eine eigene Netzwerk-Karte verwenden. Also der Wirtsrechner (Windows) hat zwar die Netzwerkkarte installiert, aber alle Treiber sind deaktiviert, nur der sogenannte „Bridge“ Treiber wird verwendet.
In diesem Beispiel verwende ich das WLAN für den Internet Zugriff, und das LAN für den Firmen-Anschluss. Via WiFi verbinden wir uns mit dem Access Point und dem Internet. Das macht man auf dem Windows Rechner. Nachdem die Verbindung mit dem Internet funktioniert schaltet man alle Treiber ab, und den Virtual Box Adapter wird aktiviert.
Ich erzeuge eine neue Virtuelle Maschine, hier mit einem Linux und stelle den Netzwerktreiber um:
Die VirtualBox kennt hier einen speziellen Modus für den Netzwerkbetrieb: Netzwerk-Brücke, oder Bridged Mode:
Anstatt die eingebauten Netzwerkkarte mit dem Gastrechner zu teilen, bekommt die VM den Wireless Adapter exclusiv zugewiesen.
Der Wirtsrehcner (Windows) hat so keine möglichkeit ins Internet zu kommen und Der Gastrechner (Linux) kann den Windows Rechner nicht sehen.
Damit gibt es wirklich zwei komplett getrennte Netzwerke, alles auf einem PC, ohne KVM Switch…
Teil 2: Shared Drive
Um einen Datenaustausch zu ermöglichen kann jetzt kein USB Laufwerk verwendet werden, denn das kann nur exclusiv einem System zugeordnet werden. Wir brauchen einen „gemeinsamen Ordner“. Dazu muss die Gasterweiterung von VirtualBox geladen und installiert werden.
Ganz wichtig: DIe Gasterweiterung muss auf dem Gast „eingelegt“ werden. Dazu im Menü „Geräte/Gasterweiterung einlegen“ wählen.
Unter Linux kann es auch nötig sein die Gasterweiterung zu aktivieren: Dazu muss man den Ordner mit den Gasterweiterungen öffnen und das Installationsskript starten. Das kann je nach Linux Version unterschiedlich sein. Wie das geht ist genauer bei Oracle beschrieben.
Nachdem die Gasterweiterung läuft muss man auf beiden Rechnern das Laufwerk eingerichtet werden. Wir nennen es SWAP und es soll auf dem Windows Rechner unter c:\user\user\Desktop\SWAP erscheinen und auf dem Linux Rechner unter /user/team/home/Desktop/SWAP.
Die beiden Ordner bitte erzeugen.
mkdir /home/team/Desktop/SWAP
md C:\Users\<user>\Desktop\shared
Dann muss der Ordner in der Konfiguration von Virtual Box eingetragen werden:
Unter Linux muss man den shared Folder nun noch mounten:
sudo mount -t vboxsf SWAP /home/team/Desktop/SWAP/
Damit hat man innerhalb von Windows 10 eine Linux VM, die Internet Zugriff hat, was ansich schonmal sicherer ist, und benutzt dort seinen Mailer. Datenaustausch erfolgt dann via „SWAP“ zum Windows Rechner. Die Dokumente kann man schön dort bearbeiten und via Internetrechner versenden…