Angeregt durch das aktuelle Problem mit Croudstrike, das ja gerade Fernwartung ad absurdum führt, ging es mir gerade durch den Kopf, ob man nicht ein minimales (und damit wenig angreifbares) Linux auf einem PC installieren kann und darauf dann ein Windows als virtuelle Maschine laufen lässt.
Das hat den Vorteil, dass man selbst dann, wenn das Windows nicht mehr bootet, über as Linux Fernwartung betreiben könnte, also sich in einem Fall wie diesem nicht die Hacken ablaufen müsste.

Klar, sowas aufzuziehen ist erst mal im Prinzip kein Akt: Linux installieren, VM-Software installieren, Windows VM einrichten.
Aber:

• Performance
• lokales Display (ProxMox fällt also erstmal raus, wenn man keine zuätzliche lokale UI installieren will)
• Lizenz (Virtual Box ist für Firmen nur ohne die Extension Paks umsonst), VMWare Player gibt es nicht mehr. Was bleibt dann noch?)
• Das Linux sollte so minimal sein, dass es möglichst wenig Resourcen benötigt aber auch möglichst keine Angriffsfläche bietet. Viel mehr als ssh sollte remote nicht verfügbar sein.
• Was ist, wenn nicht das Windows sondern schon das Linux nicht mehr bootet?

Hat vielleicht schon jemand Erfahrung mit einer solchen Installation gemacht?

Ich habe vor vielen Jahren (in den 0-er Jahren) mal zu Hause Linux benutzt und für den Zugriff auf einen Terminal-Server im Büro dann darauf ein Windows XP in einer VMWare Workstation installiert. Das war allerdings ziemlich suboptimal. Die Performance war unterirdisch, was allerdings auch an der Internet-Verbindung oder der Serverseite gelegen haben könnte.

KVM / QEMU

Es gibt viele kleine Linuxe, vor allem kannst du hier eines ohne GUI verwenden.
Für die Wartung/Fernzugriff reicht dir ja die Konsole (SSH).

Ich glaub bei uns läuft ein Xubuntu.

Wenn ich unter Linux keine GUI installiere, habe ich mit KVM/QEMU dann trotzdem eine lokale GUI mit einer vernünftigen Auflösung für Windows?
Wenn ja, werde ich das mal ausprobieren. Wenn ich unter Linux eine GUI brauche, dann reicht mein Testrechner dafür wahrscheinlich nicht aus.

Damals war das dann ohne Hardwarebeschleunigung bzw. in den Anfängen nur mit schlechter Performance. Heute sieht das ganz anders aus. Da ist eine solche VM nicht mehr weit von der Performance als Host entfernt.

For years i use this method and recommend it, also i helped many in building and configuring such system for their servers.

But not with Linux, i used Windows Hyper-V as OS (https://www.microsoft.com/en-us/eval...-v-server-2019) and it is free, it doesn't have shell or user interface yet it is very powerful performance with all the crap removed, you have the firewall and administrative tools, also the remote desktop services, group policy and on top of that the Hyper-V Manager,
1) the host is prevented and configured to not do any updates, ... for real think about it, what an update (automatic or manual) could benefit such host ? except of course big f*** up from MS, or opening a door to breach.
2) the host is blocked form accessing the Internet !, no incoming or outgoing connection, except for one incoming port on TCP for the RDP, even this is configured to accept only few IPs and may be a specific range, here preferable to remember add all your servers IPs to the allowed between each others, hence even if you lost your local connection you still can do it from low importance server one that allow any IP to access its RDP, even the time is prevented form automatic update, one thing though, in some cases there is some software needed to monitor or use some of this server power, then great, build one application and allow its port for incoming connection, and if needed allow all its outgoing, i build many of these with RealThinClient, some to allow uploading files or even downloading the guests and acting as secured SFTP/FTPS/WebDav that build with Delphi, attacking such application will make worse case scenario as DoS, but impossible to breach, and faced many of these and never saw a real DoS, either my simple IP filter for failed authentication kicked in, or OVH DDoS stopped these IPs, OVH web portal report these incidents.
3) i love OVH and their servers, though don't have experience with (ANY) now, though had used and rented in the past many from UK and US, they all sucked, OVH can protect from DDoS and provided IPMI out of the box with every instance, with IPMI setting BIOS and configuring things like RAID, and disabling the network booting very nice feature to have, these devices are monsters and it is shame to see them takes 2 minutes to boot, but with few tweaks from the BIOS and it is less than 20 seconds for such Hyper-V OS.

So if i may suggest test the Hyper-V approach before switching to Linux and complicate things, the idea of Linux is more secure is relative, it is all about best practice, in other words, my cup of coffee on my desk is secure and un hackable, simply impossible, once it had an MP3 player and telemetry to report to its manufacturer and will keep checking for an update every hour, inevitably some one will hack it, and ruin my day without a cup of coffee, so no no wired or wireless connection of any sort for my cup, same goes for servers.

And about this point "same goes for servers", lets think about this for second, if the system is prevented form remote access, not talking about RDP (and not TS services here), then the system is secure, any weak point will come from the installed and running software, so even if IIS need an update then only update it, same goes for PHP, Apache... (on side note PHP on IIS is way more secure form direct/indirect PHP on Linux because it is sandboxed), other than that it is you own software running there, so why i need to update the OS, this is my way of thinking and doing, even on my Windows 10, i don't want to upload or download anything, i keep my browsers updated and beyond that, check for the tools i am using and almost none use the Internet to allow remote attack, keep your downloads monitored and don't click on any thing you don't know, and that is it.
I don't expect MS to push an update that makes my PC runs faster by anything close to %1, yet they could push one hot mess or allow some ransomware to run and ruin my day/week/month...

in 2017 you might recall there was the WannaCry ransomware it spread like fire, it did exploit the SMB protocol and executed remote attack to install it self, the thing about SMB and its functionality is these ports 445, 139, 138, and 137, that they are open you your device now, and the exploit in 2017 was almost identical for an exploit assumed fixed in Windows XP in 2004 (can't recall now), yet if you search the internet now for "windows smb vulnerability" you will be shocked for the history of these exploits existence, these are just examples :
https://www.csoonline.com/article/55...-affected.html
https://blog.barracuda.com/2022/05/1...ol-eternalblue
And this from June 2024, one month ago
https://blog.netwrix.com/smbv3-vulnerability

ps: for every case there is solution, lets say you are forced or must have be domain member or AD is needed then use VPN, and don't mistake VPN with Internet access, i have my android mobile using its WiFi or its 4G, while i have WireGurad installed and working to provide protected network with my PC and router on specific network 10.10.XX.XX, accessing each other in protected way while the connection to the internet is not touched, even though that VPN is tunnled over the Internet.

PS2: Many of my specific tools that are built for controlling and securing such servers do listen to a port, authenticate the connection by password or does not, it is up to the client and his preferences, some love the idea of custom client app, with one click the remote part will execute scripts remotely, such as allow RDP port to be accessed, and it will monitor the users connection, once the user disconnect or logged out will wait for 30 seconds and block the port again, all are configurable by simple scripts, like after a click the RDP port will be open for 5 minutes then the firewall will block it, i recall one client wanted SSH that able to do this, so twisted and refactored that application to do it, with minimum tweaks as RTC is exclusive to work on sockets directly and do support raw input,
forgot to mention in case you are build such application make it Windows Service they are not standalone application, so they are running without user logging and on every restart.

Es hätte bei Crowdstrikes BSOD, den Vorteil, dass auch wenn man 5000 Server hat, man den Fehler beheben kann in dem man ein Skript auf die Linux pcs verteilt und nicht in Person , von Angesicht zu Angesicht mit dem Windows-Server an der Rettung basteln muss.

Ich denke der eigentliche Fehler ist wahrscheinlich Windows Server zu betreiben. Aber oft muss man ja...

Aber man kann es auch anders sehen.
Noch ein Linux davor, wäre eine zusätzliche potentielle Sicherheitslücke.

Auch wenn es diesmal Windows erwischt hat, kann sowas auch dieses Linux betreffen und dann muß auch wieder jemand persönlich vor Ort.



Das Einzige, wäre sowas wie in Serverzentren, hat man entweder ein Chip/NanoPC (z.B. mit einem MiniLinux) auf dem Mainboard
oder es als "einen" Verwaltungsrechner im Schrank/Block (hier würde es Reichen dann notfalls nur diesen Einen upzudaten, um dann wieder auf mehrere Server draufzukommen)

Genauso kann dich auch ein BIOS-Update und verstärkt jetzt sogar das UEFI in die Knie zwingen, vor allem, da das EFI teilweise auf der Festplatte liegt.
Und natürlich auch Firmewareupdates für Grafikkarte, LAN, Festplatte, HW-RAID, Chipsets usw.

Also Offline ja?

Ich würde zum Reinfinden in die Thematik trotzdem mit Proxmox anfangen und versuchen, die Grafikkarte des Proxmox-Servers komplett an die VM durchzureichen (PCI passthrough). Damit steht diese dann als Hardware innerhalb der VM zur Verfügung und kann direkt angesprochen werden, sprich: Windows Desktop der VM wird auf auf dem Bildschirm des Proxmox-Servers nutzbar.
Leider weiß ich jetzt spontan nicht, welche Anforderungen an die verbaute Grafikkarte bestehen. Aber es gibt reichlich Infos dazu im Proxmox-Forum.

Wenn es dann unter Proxmox läuft und damit proof of concept erreicht wird, kann man ja mit einem Minimal-Linux und QEMU die Konfiguration nachbauen.

Hm, interessanter Ansatz. Ich habe am Wochenende mal versucht unter Debian kvm + Gedöhns zu installieren (nach dieser Anleitung), aber das hat sofort auch ein GUI-Desktop mitinstalliert. Das kann allerdings auch eine Abhängigkeit von virt-manager sei, nicht von kvm generell. Dabei habe ich dann anscheinend die Konfiguration so verwurstet, dass die VM nach einem Reboot des Hosts nicht mehr gestartet werden konnte. Irgendwas mit der Netzwerk-Konfiguration. Danach hatte ich erstmal keinen Bock mehr auf den Sch***.