Jak mogę utrudnić instalację nowego systemu operacyjnego na określonym komputerze?

12

Chcę hostować witrynę na komputerze stacjonarnym z systemem Ubuntu i maszyną wirtualną z systemem Windows. Oddam komputer w zamian za kilka miesięcy zdalnego hostingu. Chcę dodać jakąś blokadę (sprzętową lub inną), aby użytkownicy końcowi mieli trudności z ponowną instalacją systemu Windows i korzystaniem z maszyny w dowolny sposób, wbrew umowie.

Idealnie byłoby, gdyby maszyna zginęła, gdyby podjęto próbę ponownej instalacji systemu operacyjnego. To nie musi być całkowicie nie do pokonania , ale musi to być dość trudne, aby zapobiec dorywczo reinstalacji . Być może podczas uruchamiania system może sprawdzić, czy pewne pliki istnieją na komputerze i odmówić rozruchu, jeśli nie istnieją. Nie wiem, czy jest to możliwe, ale może BIOS jest chroniony hasłem i szuka plików przed uruchomieniem. Pliki, których szuka, mogą być wrażliwe na datę, tj. Wymagają zdalnej wymiany zgodnie z harmonogramem.

installation operating-systems DW
źródło
4
Kto będzie dla Ciebie robił ten hosting? Jeśli nie ufasz im, że nie wyczyszczą komputera, dlaczego miałbyś im ufać danymi witryny?
nhinkle
16
To złota zasada bezpieczeństwa komputerowego: jeśli ktoś ma bezpośredni dostęp do sprzętu, wszelkie wprowadzone zabezpieczenia mogą zostać pokonane. Po prostu nie rozumiem, dlaczego chcesz to zrobić. Jeśli wyłączą komputer lub napotkają jakiś problem, witryna nagle zniknie. Tani plan hostingu współdzielonego jest znacznie tańszy niż zakup komputera i zapewnia gwarantowany czas pracy, kopie zapasowe i odpowiednie sysadminy.
nhinkle
2
Proszę nie głosować za tym tylko dlatego, że nie zgadzasz się z pomysłem zablokowania komputera. Firmy blokują telefony komórkowe. Ludzie odblokowują telefony komórkowe. W porządku, szukam tego samego pomysłu. O ile wiem, to pytanie znajduje się na właściwym forum. Jeśli głosujesz, zostaw komentarz tutaj, aby poinformować mnie, co zrobiłem źle.
DW
7
To jest całkowicie ważne pytanie - potrzeba zablokowania komputera, aby zapobiec modyfikacji systemu operacyjnego, jest całkowicie tematem i istnieje wiele dobrych powodów, aby to zrobić. Osobiście uważam, że twój ostateczny cel jest nielogiczny, ale wciąż jest to ważne pytanie.
nhinkle
3
Myślę, że to dobre pytanie, jasno i grzecznie wyjaśnione, na temat i z dużą odpowiedzią PO, aby skomentować wszystkie odpowiedzi. Nawet jeśli odpowiedź brzmi: teraz nie możesz, nie widzę powodu, by głosować w dół, wręcz przeciwnie: +1.
Trufa

Odpowiedzi:

31

Jedynymi narzędziami, które masz do zapobiegania instalowaniu nowego systemu operacyjnego na standardowym sprzęcie komputerowym, byłoby zrobienie czegoś takiego:

  • Zamknij skrzynkę. Skorzystaj ze szczeliny Kensington, jeśli masz taką skrzynkę, w przeciwnym razie fizycznie ją zablokuj.

  • Skonfiguruj hasło konfiguracji systemu BIOS.

  • Skonfiguruj system BIOS, aby uruchamiał się tylko z pierwszego dysku twardego, aby nie uruchamiał zewnętrznego urządzenia USB, sieci LAN ani dysku CD-ROM. Wyślij komputer bez dysku CD-ROM i / lub dyskietki, jeśli to możliwe. Wewnętrznie odłącz lub epoksydowe porty USB.

  • Nie jestem pewien, czy możesz skonfigurować GRUB, aby nigdy nie uruchamiał się z zewnętrznego dysku, ale jeśli to możliwe, GRUB powinien być skonfigurowany w ten sposób.

  • Wybierz dobre hasła roota i hasła użytkownika.

Oczywiście, jeśli fizycznie otworzą obudowę, niewiele można zrobić, ale powinno to zapobiec przypadkowej ponownej instalacji innego systemu operacyjnego.

LawrenceC
źródło
2
+1 Tak, zapobieganie przypadkowej ponownej instalacji, to to, co chcę zrobić. Chciałbym jednak metody pozwalającej na użycie CD-ROM i USB. Nikt nie chce komputera bez dysku CD-ROM.
DW
7
Następnie dostarcz go z dyskiem CD-ROM / dyskietką, ale bez napędu CD-ROM lub dyskietki podłączonego do płyty głównej.
LawrenceC,
1
To mi nie pomaga i nie rozwiązuje problemu. Niezła próba.
DW
7
@DW Właściwie to, co powiedział, obejmuje cię. Powiedział „Wyślij komputer bez płyty CD-ROM i / lub dyskietki, jeśli to możliwe”. Co, jeśli nie jest to możliwe? Spójrz na zdanie, które napisał wcześniej: „Skonfiguruj BIOS, aby uruchamiał się tylko z pierwszego dysku twardego, aby nie uruchamiał żadnego zewnętrznego urządzenia USB, sieci LAN ani CD-ROM”
barlop
@barlop masz rację. Myślałem, że ultrasawe ostrze jest sarkastyczne w swoim ostatnim komentarzu, ale muszę ponownie przeanalizować tę odpowiedź.
DW
29

Jeśli dajesz komuś fizyczny dostęp do maszyny, nic nie możesz zrobić, aby go zatrzymać.

MDMarra
źródło
3
Powinienem wyjaśnić, że staram się unikać przypadkowej ponownej instalacji.
DW
1
@DW - możesz zresetować hasło systemu BIOS, przesuwając zworkę na większości płyt głównych. Przeszukanie go zajęłoby komuś 10 minut, odcięcie blokady 5 minut i usunięcie hasła systemu BIOS. Naprawdę nie ma dobrego sposobu.
MDMarra
1
@DW - więc zadałeś to pytanie, aby ktoś mógł Ci powiedzieć, żebyś go zablokował?
MDMarra
3
+1 do tej odpowiedzi. Nie ma czegoś takiego jak „zwykła instalacja” - każdy, kto podejdzie do twojego pudełka z bootowaną płytą CD, uruchomi go i uruchomi system operacyjny swojego wybranego smart smarta. Najlepsze, co zrobi jedna z sugestii na tej stronie, aby zapobiec „przypadkowej instalacji”, cokolwiek by to nie było.
bitslave,
1
@DW - Musisz wtedy zdefiniować „łatwo”. Dla kogoś, kto chce ponownie zainstalować system operacyjny, zamknięcie zamka na obudowie i przeniesienie zworki jest dość łatwe. Myślę, że wielu użytkowników tej witryny byłoby w stanie to zrobić, nawet nie sprawdzając, który zworkę przenieść. Wydaje się, że problem można rozwiązać na poziomie polityki, a nie na poziomie technicznym, ponieważ dosłownie niemożliwe jest jego rozwiązanie na poziomie technicznym.
MDMarra
5

Możesz zastąpić wszelkie widoczne śruby bezpiecznym Torx, szczególnie śruby przytrzymujące dysk twardy w miejscu. W ten sposób nie mogą zainstalować innego systemu operacyjnego na innym dysku twardym, wymienić dysku twardego, a następnie uruchomić z nowego dysku twardego. Każdy może kupić bezpieczne sterowniki Torx, ale spowolni to normalną osobę, która prawdopodobnie nie będzie miała żadnego w swoim zestawie narzędzi.

Marco A.
źródło
4

Istnieje kilka komputerów Dell, które potrzebują hasła administratora, aby uruchomić komputer z innego dysku niż dysk twardy. Minusem jest to, że jeśli bateria CMOS zostanie wyjęta na 30 sekund, będą w stanie ominąć wcześniej ustawione ustawienia BIOS, ponieważ wszystkie zostaną całkowicie przywrócone. Ale to tylko moje 2 centy. Chyba że osoba, której to dajesz, naprawdę wie o resetowaniu systemu BIOS tylko po to, aby zainstalować system Windows, to nie dawaj mu komputera, ale w przeciwnym razie może to uniemożliwić przypadkową instalację.

paradd0x
źródło
+1 To jest pierwsza odpowiedź, która zbliża się do rozwiązania. Czy masz więcej informacji na ten temat?
DW
2
Jest to zwykła funkcja BIOS-u, nic specjalnego w maszynach DELL. Komputer firmowy często ma małą zabawną blokadę, która uniemożliwia wyjęcie baterii CMOS lub wykonywanie innych czynności (keylogger sprzętowy, ...). Nie opierają się czystej sile, ale rozpoznałbyś ją później, gdyby zostały złamane.
użytkownik nieznany
Wspomniałem o komputerach Dell ze względu na moje doświadczenie w używaniu na nich blokady BIOS. Oczywiście musi to być funkcja powszechnie używana w środowisku korporacyjnym.
paradd0x
2

Rób to, co robi większość firm, zmuś je do podpisania umowy, w której odmówisz wsparcia, jeśli zmienią system operacyjny.

Andee
źródło
Dziękuję za dwa centy. Użytkownik końcowy nie będzie potrzebował dużego wsparcia. To nie będzie miało żadnego efektu.
DW
1

Na pytanie z komentarzy:

Czy istnieje sposób, aby komputer umarł, jeśli nie uzyska połączenia z Internetem przez kilka dni.

Tak, możliwe, ale tylko na co dzień i podatne na problemy z siecią.

Możesz umieścić skrypt w sekcji init-script, która sprawdza dostęp do Internetu i robi to, shutdownjeśli nie ma dostępu.

Bardziej rozbudowane skrypty mogą pisać do protokołu lub uzyskiwać dostęp do strony internetowej na podstawie daty.

Jeśli użytkownik ma uprawnienia administratora, może wykryć skrypt, usunąć go, dezaktywować i manipulować nim na wszystkie sposoby.

Dlatego musisz wyłączyć tryb „ratunkowy” w GRUB-ie i wyłączyć możliwość modyfikowania GRUB-a przez przerwanie uruchamiania.

Jeśli użytkownik napotka przypadkowe problemy z siecią, urządzenie może zostać przypadkowo wyłączone.

nieznany użytkownik
źródło
1
  • Ustaw BIOS tak, aby najpierw uruchamiał się z dysku twardego (co eliminuje możliwość uruchamiania z USB / CD-ROM)
  • Ustaw hasło BIOS
  • Upewnij się, że użytkownik systemu operacyjnego nie ma uprawnień administratora (tzn. Aby nie mógł włożyć instalacyjnego dysku CD w systemie Windows / Linux i zrobić to stamtąd).

To powinno dać ci poziom bezpieczeństwa, który wydaje się, że szukasz.

Arne
źródło
Musisz także zahartować GRUB (2). Być może wiesz, że powiedział, że będzie to Ubuntu-PC z wirtualnym Windows.
użytkownik nieznany
Ta odpowiedź jest podobna do jednej superuser.com/questions/246234/... . Na razie skupię się na tym.
DW
0

Opcją sprzętową jest bezpieczna obudowa komputera. Kupiłem tę skrzynkę wieki temu (nie jest już dostępna, ale daje wyobrażenie o tym, czego szukasz). Ma zamykane drzwi przednie i zamykany panel boczny (drugi panel boczny jest nitowany, nie zsuwa się). Zasadniczo, jeśli wszystko jest zamknięte, wszystko, co możesz uzyskać, to tylne złącza i kilka złączy na panelu przednim (dwa USB, jedno FireWire400). Nie ma dostępu do napędów, przycisku zasilania ani przycisku resetowania. Rzeczywista zakładka blokująca jest tylko plastikowa, więc jestem pewien, że można ją złamać z wystarczającą siłą, ale nie szukasz tutaj zabezpieczeń klasy CIA. Powinno wystarczyć, aby ich zniechęcić.

Doug the Neard
źródło
1
Informujemy, że FireWire umożliwia bezpośredni dostęp do DMA.
kinokijuf