Eine Möglichkeit: Die VMs hängen in einer eigenständigen
Domain und sind vom eigentlichen Netzwerk nicht zu erreichen.
Da ist kein Remote möglich.
Wenn die VMs nie externe Daten verarbeiten ist auch kein Virenschutz nötig. Was verstehst du aber unter „eigenen Domain“? Benutze die VMs doch einfach im Host-Only Betrieb, dann gibt es - egal welche Domain die haben oder welche IP du da einstellst - keinen Zugang nach außen von den VMs aus.
Da kein WSUS eingesetzt wird,
gestalltet es sich mit den Updates auch schwierig.
Wenn du keine Updates einspielst, würde ich zumindest die Windows Firewall in den VMs aktivieren und ohne Ausnahmen. Denn im Falle einer Infektion des Host-Systems könnte sich ein Wurm wie Conficker sonst remote auf die VMs vom Host aus übertragen.
Füge ich ein 2. NW Interface hinzu und mache die VMs auch für
das „normale“ Netz zugänglich, gefärde ich doch dann das
Netz?! Wobei auf dem Host System ein Virenschutz vorhanden
ist.
Ein Virenschutz ist aber auch keine Garantie für Virenfreiheit. Ein Virenscanner erkennt nur ihm bekannte Viren zuverlässig, neue Viren schlüpfen nicht gerade selten durch. Der beste Schutz vor Viren ist ein sorgsamer Umgang mit Fremddaten und ein aktuelles System mit komplett eingespielten Updates/Patches.
Du könntest die VMs aber auch im NAT-Modus betreiben und ihnen Zugang zum Netz gestatten. Solange niemand auf den VMs Unfug treibt, also z.B. surft, was runterlädt etc kann auch kein Virus drauf kommen. Und so kannst du die VMs auch wenigstens mit Updates füttern, denn komplett ungepatchte VMs sind IMO auch nicht das gelbe vom Ei.
