Как я могу затруднить установку новой операционной системы на определенный компьютер?

12

Я хочу разместить веб-сайт на настольном компьютере под управлением Ubuntu с виртуальной машиной Windows. Я отдам компьютер в обмен на несколько месяцев удаленного веб-хостинга. Я хочу добавить какую-то блокировку (аппаратную или другую), чтобы конечным пользователям было трудно просто переустановить Windows и использовать машину по своему усмотрению, что противоречит договору.

В идеале, я бы хотел, чтобы машина умерла, если будет предпринята попытка переустановки ОС. Это не должно быть полностью непреодолимым , но это должно быть достаточно сложно, чтобы предотвратить случайную переустановку . Возможно, при загрузке система может проверить, существуют ли определенные файлы на компьютере, и отказаться от загрузки, если их нет. Я не знаю, возможно ли это, но, возможно, BIOS защищен паролем и ищет файлы перед загрузкой. Файлы, которые он ищет, могут быть чувствительными к дате, т.е. требуют удаленной замены по расписанию.

DW
источник
4
Кто будет делать этот хостинг для вас? Если вы не доверяете им не стирать компьютер, почему вы доверяете им данные вашего сайта?
nhinkle
16
Это золотое правило компьютерной безопасности: если кто-то имеет прямой доступ к оборудованию, то любые средства защиты, которые вы устанавливаете, могут быть побеждены. Я просто не понимаю, почему вы хотели бы сделать это. Если они выключают компьютер или имеют какие-либо проблемы с ним, ваш сайт внезапно исчезает. Дешевый план совместного хостинга намного дешевле, чем покупка компьютера, и обеспечивает вам гарантированную работоспособность, резервные копии и правильных системных администраторов.
nhinkle
2
Пожалуйста, не отрицайте это только потому, что вы не согласны с идеей блокировки компьютера. Компании блокируют мобильные телефоны. Люди разблокируют мобильные телефоны. Это нормально со мной, я ищу ту же идею. Насколько я могу судить, этот вопрос находится на правильном форуме. Если вы не согласны с комментариями, оставьте здесь свой комментарий, чтобы сообщить мне, что я сделал не так.
DW
7
Это вполне обоснованный вопрос - необходимость блокировать компьютер, чтобы предотвратить изменение ОС, полностью обсуждается, и для этого есть много веских причин. Я лично чувствую, что ваша конечная цель нелогична, но это все еще актуальный вопрос.
nhinkle
3
Я думаю, что это хороший вопрос, четко и вежливо объясненный, по теме и с большим откликом ФП прокомментировать все ответы. Даже если я и сейчас отвечу, что вы не можете, я не вижу причины, по которой стоит голосовать, все наоборот: +1.
Труфа

Ответы:

31

Единственные инструменты, которые вы можете использовать для предотвращения установки новой операционной системы на стандартном оборудовании ПК, - это сделать что-то вроде этого:

  • Зафиксируйте корпус. Используйте слот Kensington, если он есть в вашем случае, иначе каким-либо образом заблокируйте его.

  • Настройте пароль для настройки BIOS.

  • Настройте BIOS для загрузки только с первого жесткого диска, чтобы не загружаться с внешнего USB-устройства, локальной сети или компакт-диска. Поставьте компьютер без CD-ROM и / или дискеты, если это возможно. Внутренне отключите или эпоксидные USB-порты.

  • Я не уверен, что вы можете настроить GRUB так, чтобы он никогда не загружался с внешнего диска, но если это возможно, GRUB должен быть настроен таким образом.

  • Выберите хорошие корневые и пользовательские пароли.

Конечно, если они физически открывают кейс, вы ничего не можете сделать, но это должно предотвратить случайную переустановку другой операционной системы.

LawrenceC
источник
2
+1 Да, предотвращение случайной переустановки - вот что я хочу сделать. Я хотел бы метод, который позволяет использование CD-ROM и USB, хотя. Никто не хочет компьютер без CD-ROM.
DW
7
Затем поставьте его с CD-ROM / дискетой, но без CD-ROM или дискеты, подключенной к материнской плате.
LawrenceC
1
Это не полезно для меня и не решает проблему. Хорошая попытка, хотя
DW
7
@DW На самом деле то, что он сказал, охватывает тебя. Он сказал: «Поставьте компьютер без CD-ROM и / или дискеты, если это возможно». Так что, если это невозможно? Посмотрите на предложение, которое он написал до этого: «Настроить BIOS для загрузки только с первого жесткого диска, чтобы не загружаться ни с какого внешнего USB-устройства, локальной сети или CD-ROM»
barlop
@ barlop ты прав. Я думал, что ультразвук саркастичен с его последним комментарием, но мне нужно пересмотреть этот ответ.
DW
29

Если вы предоставляете кому-то физический доступ к машине, вы ничего не можете сделать, чтобы остановить его.

MDMarra
источник
3
Я должен уточнить, что я пытаюсь избежать случайной переустановки.
DW
1
@DW - вы можете сбросить пароль BIOS, переместив перемычку на большинстве материнских плат. Это займет у кого-то 10 минут, чтобы погуглить, 5 минут, чтобы снять блокировку и 2 минуты, чтобы удалить пароль BIOS. На самом деле, нет хорошего пути.
MDMarra
1
@DW - так вы задали этот вопрос, чтобы кто-то мог сказать вам, чтобы поставить на него замок?
MDMarra
3
+1 к этому ответу. Не существует такой вещи, как «случайная установка» - любой, кто подойдет к вашей коробке с загрузочным компакт-диском, получит его и запустит операционную систему по своему выбору quick smart. Лучшее, что может сделать любое из предложений на этой странице, - это предотвратить «случайную установку», какой бы она ни была.
битник
1
@DW - Вам нужно определить «легко» тогда. Для кого-то, кто хочет переустановить ОС, снять блокировку на корпусе и переместить перемычку довольно легко. Я думаю, что многие пользователи на этом сайте могли бы сделать это, даже не глядя, какую перемычку перемещать. Это звучит так, как будто ваша проблема легче решается на уровне политики, а не на техническом уровне, поскольку на техническом уровне ее практически невозможно решить.
MDMarra
5

Возможно, вы захотите заменить любые видимые винты на защитные Torx, особенно те винты, которые удерживают жесткий диск на месте. Таким образом, они не смогут установить другую ОС на другой жесткий диск, выгрузить жесткий диск и загрузить с нового жесткого диска. Любой может купить драйверы безопасности Torx, но это замедлит нормального человека, которого, вероятно, не будет в их наборе инструментов.

Марко А.
источник
4

Есть несколько компьютеров Dell, которым требуется пароль администратора для загрузки с чего-либо, кроме жесткого диска. Недостатком является то, что если батарею CMOS извлечь в течение 30 секунд, они смогут обойти любые ранее установленные параметры BIOS, поскольку все они полностью восстановлены. Но это только мои 2 цента. Если человек, которому вы это даете, тоже действительно не знает так много о перезагрузке BIOS просто для установки Windows, то не предоставляйте им компьютер, но в противном случае это может предотвратить случайную установку.

paradd0x
источник
+1 Это первый ответ, который подходит к решению. У вас есть больше информации об этом?
DW
2
Это обычная функция BIOS, ничего особенного для машин DELL. Корпоративный ПК часто имеет забавную небольшую блокировку, чтобы помешать вам извлечь батарею CMOS или делать другие вещи (аппаратный кейлоггер, ...). Они не противостоят чистой силе, но вы бы узнали это позже, если бы они были сломлены.
пользователь неизвестен
Я упомянул машины Dell из-за моего опыта использования блокировки BIOS на них. Очевидно, это должна быть функция, которая широко используется в корпоративной среде.
paradd0x
2

Делайте то, что делает большинство компаний, заставляйте их подписывать контракт, в котором говорится, что вы отказываетесь поддерживать его, если они меняют операционную систему.

Энди
источник
Спасибо за ваши два цента. Конечный пользователь не нуждается в особой поддержке. Это не будет иметь никакого эффекта.
DW
1

На вопрос из комментариев:

Есть ли способ заставить компьютер умереть, если он не подключится к Интернету в течение нескольких дней.

Да, возможно, но только на случайной основе и уязвимо для сетевых проблем.

Вы можете поместить скрипт в раздел init-script, который проверяет наличие доступа к интернету и делает, shutdownесли нет доступа.

Более сложные сценарии могут писать в протокол или получать доступ к веб-сайту на основе даты.

Если пользователь имеет привилегии суперпользователя, он может обнаружить скрипт, удалить его, деактивировать и манипулировать им всеми способами.

Поэтому вы должны отключить режим «восстановления» в grub и отключить возможность изменять grub путем прерывания при загрузке.

Если пользователь сталкивается со случайными проблемами в сети, машина может непреднамеренно завершить работу.

Пользователь неизвестен
источник
1
  • Настройте BIOS на первую загрузку с жесткого диска (это устраняет возможность загрузки с USB / CD-ROM)
  • Установите пароль BIOS
  • Убедитесь, что у пользователя ОС нет прав администратора (то есть чтобы он не мог вставить установочный компакт-диск в Windows / Linux и делать это оттуда).

Это должно дать вам уровень безопасности, который вам нужен.

Arne
источник
Вы должны укрепить GRUB (2) тоже. Возможно, вы поняли, что он сказал, что это будет Ubuntu-ПК с виртуальной Windows.
пользователь неизвестен
Этот ответ похож на один superuser.com/questions/246234/… . Сейчас я сосредоточусь на этом.
DW
0

В качестве аппаратной опции, вы можете использовать защищенный компьютерный корпус. Я купил это дело много лет назад (оно больше не доступно, но дает представление о том, что вы ищете). У него запирающаяся передняя дверь и запирающаяся боковая панель (другая боковая панель приклепана, не отрывается). По сути, если все это заблокировано, все, что вы можете получить доступ, это разъемы на задней панели и несколько разъемов на передней панели (два USB, один FireWire400). Нет доступа к дискам, кнопке питания или кнопке сброса. Фактически фиксирующий язычок только пластиковый, так что я уверен, что он может быть сломан с достаточным усилием, но вы не ищете здесь безопасность ЦРУ. Этого должно быть достаточно, чтобы отговорить их.

Дуг Ближний
источник
1
Просто чтобы вы знали, FireWire позволяет прямой доступ к DMA.
киноюф