Windows 10 in der Linux-Sandbox

Microsoft hat zahlreiche Funktionen in Windows 10 integriert, die Daten zur Konzernmutter in die USA senden, insbesondere Informationen über die Art der Benutzung. Das Weiterleiten dieser Telemetriedaten lässt sich nicht voll und ganz abschalten, sondern nur – bei den Enterprise-Versionen – reduzieren. Darum bleibt beim Einsatz dieses Betriebssystems immer das Restrisiko, dass sensible Patienten- oder Kundendaten und Geschäftsgeheimnisse abfließen. Entgegen anderslautenden Beteuerungen also hat man als Benutzer keine vollständige Kontrolle über seine Daten. Dass neben Microsoft mittlerweile auch andere Hersteller, etwa NVIDIA und viele App-Anbieter, Kundendaten abgreifen, macht die Sache nicht besser.

Zwar hat das BSI im Rahmen des Projekts SiSyPHuS Win10 (siehe ix.de/ix1905112) dargelegt, wie man die Geschwätzigkeit Windows eindämmen kann. Doch leider braucht man für die meisten Maßnahmen eine eigene Firewall, einen Squid-Proxy oder eigene zentrale DNS-Infrastrukturen. Eine einfachere Möglichkeit ist, Windows im Hypervisor zu betreiben.

So entstand die Idee, Windows 10 Enterprise in ein schlankes Linux-System „einzusperren“, das nur auf transparenten Quellen aufsetzt. Die Netzwerkkarte wird virtualisiert und durchgereicht, auf der untersten Schicht, dem „fast baren“ Metal Hypervisor, lässt sich nun kontrollieren, welche Daten Windows 10 verschickt und empfängt. Dazu kommen Dienste zum Einsatz wie NTP, DHCP und ein spezi­eller DNS-Server (DNS-Masq), der DNS-Anfragen von Windows umleiten kann und somit Windows zum Schweigen verdonnert.

Host-Linux mit dediziertem Grafikchip

Auf dieser Basis kann man mit Tools wie dem Man-in-the-Middle-Proxy und tcpdump Microsoft und anderen Softwareentwicklern in Sachen Daten­in­konti­nenz auf die Finger schauen, um DSGVO-Verstöße schnell erkennen und blockieren zu können.