Como posso dificultar a instalação de um novo sistema operacional em um determinado computador?

12

Quero hospedar um site em um computador desktop executando o Ubuntu com uma máquina virtual Windows. Eu entregarei o computador em troca de vários meses de hospedagem remota na web. Quero adicionar algum tipo de bloqueio (hardware ou outro) para que os usuários finais tenham dificuldade em reinstalar o Windows e usar a máquina como desejarem, em contradição com o contrato.

Idealmente, eu gostaria que a máquina morresse se tentasse reinstalar o sistema operacional. Ele não tem que ser completamente intransponível , mas ele tem que ser difícil o suficiente para impedir a reinstalação ocasional . Talvez na inicialização o sistema possa verificar se existem certos arquivos no computador e recusar a inicialização, se não existirem. Não sei se isso é possível, mas talvez o BIOS esteja protegido por senha e procure arquivos antes da inicialização. Os arquivos que ele procura podem ser sensíveis à data, ou seja, requerem substituição remota em um agendamento.

installation operating-systems DW
fonte
4
Quem fará essa hospedagem para você? Se você não confia que eles não limpem o computador, por que confiaria neles com os dados do seu site?
Nhinkle
16
É a regra de ouro da segurança do computador: se alguém tiver acesso direto ao hardware, qualquer proteção que você colocar no lugar poderá ser derrotada. Só não vejo por que você gostaria de fazer isso. Se eles desligarem o computador ou tiverem algum tipo de problema, o site desaparecerá repentinamente. Um plano de hospedagem compartilhada barato é muito mais barato do que seria comprar um computador e oferece tempo de atividade garantido, backups e administradores de sistemas adequados.
Nhinkle
2
Por favor, não diminua esse voto apenas porque você não concorda com a idéia de bloquear um computador. Empresas bloqueiam celulares. As pessoas desbloqueiam os celulares. Tudo bem para mim, estou procurando a mesma idéia. Esta questão está no fórum certo, tanto quanto eu posso dizer, se você votar, por favor, deixe um comentário aqui para me informar o que fiz de errado.
DW
7
Essa é uma pergunta totalmente válida - a necessidade de bloquear um computador para impedir que o sistema operacional seja modificado está completamente no tópico e existem muitas boas razões para fazê-lo. Pessoalmente, sinto que seu objetivo final é ilógico, mas ainda é uma pergunta válida.
Nhinkle
3
Eu acho que é uma boa pergunta, clara e educadamente explicada, no tópico e com muita resposta do OP para comentar todas as respostas. Mesmo que a resposta seja agora, você não pode ver o motivo pelo qual o voto foi negativo, pelo contrário: +1.
005 Trufa

Respostas:

31

As únicas ferramentas que você tem para impedir a instalação de um novo sistema operacional no hardware padrão do PC seriam:

  • Tranque o estojo. Use o slot Kensington se o seu gabinete tiver um, caso contrário, bloqueie-o fisicamente de alguma forma.

  • Configure uma senha de configuração do BIOS.

  • Configure o BIOS para inicializar somente no primeiro disco rígido, para não inicializar nenhum dispositivo USB externo, LAN ou CD-ROM. Envie o computador sem um CD-ROM e / ou disquete, se possível. Desconecte internamente ou portas USB epóxi.

  • Não tenho certeza se você pode configurar o GRUB para nunca inicializar a partir de uma unidade externa, mas se for possível, o GRUB deve ser configurado dessa maneira.

  • Selecione boas senhas de raiz e usuário.

Obviamente, se eles abrirem o gabinete fisicamente, você não poderá fazer muito, mas isso deve impedir a reinstalação casual de outro sistema operacional.

LawrenceC
fonte
2
+1 Sim, impedindo a reinstalação casual é o que eu quero fazer. Eu gostaria de um método que permita o uso de CD-ROM e USB. Ninguém quer um computador sem um CD-ROM.
DW
7
Em seguida, envie-o com um CD-ROM / disquete, mas sem o CD-ROM ou o disquete conectado à placa-mãe.
LawrenceC
1
Isso não é útil para mim e não resolve o problema. Boa tentativa embora.
DW
7
@DW Na verdade, o que ele disse cobre você. Ele disse: "Envie o computador sem CD-ROM e / ou disquete, se possível" Então, e se não for possível? Veja a frase que ele escreveu antes disso: "Configure o BIOS para inicializar apenas a partir do primeiro disco rígido, para não inicializar nenhum dispositivo USB externo, LAN ou CD-ROM"
barlop
@ Barlop você está certo. Eu pensei que o ultrasawblade estava sendo sarcástico com seu último comentário, mas preciso reexaminar esta resposta.
DW
29

Se você estiver dando acesso físico a uma máquina, não há nada que você possa fazer para detê-la.

MDMarra
fonte
3
Devo esclarecer que estou tentando evitar a reinstalação casual.
DW
1
@DW - você pode redefinir uma senha do BIOS movendo um jumper na maioria das placas-mãe. Alguém levaria 10 minutos para pesquisar no Google, 5 minutos para cortar a trava e 2 minutos para remover a senha do BIOS. Realmente, não há um bom caminho.
MDMarra 16/02
1
@ DW - então você fez esta pergunta para que alguém lhe dissesse para trancá-la?
MDMarra 16/02
3
+1 nesta resposta. Não existe "instalação casual" - qualquer pessoa que se aproxime da sua caixa com um CD de inicialização o instalará e executará o sistema operacional da sua escolha quick smart. O melhor que qualquer uma das sugestões desta página fará é impedir a "instalação acidental", seja ela qual for.
bitslave
1
@ DW - Você precisa definir "facilmente" então. Para alguém que deseja reinstalar um sistema operacional, cortar uma trava no gabinete e mover um jumper é bastante fácil. Eu acho que muitos usuários deste site seriam capazes de fazer isso sem sequer olhar para qual jumper mover. Parece que o problema é resolvido com mais facilidade no nível da política e não no nível técnico, pois é literalmente impossível resolver no nível técnico.
MDMarra 16/02
5

Você pode substituir qualquer parafuso visível pelo Torx de segurança, especialmente os parafusos que mantêm o disco rígido no lugar. Dessa forma, eles não podem instalar outro sistema operacional em um disco rígido diferente, trocar o disco rígido e inicializar a partir do novo disco rígido. Qualquer um pode comprar drivers Torx de segurança, mas isso desacelera uma pessoa normal, que provavelmente não terá nenhum em sua caixa de ferramentas.

Marco A.
fonte
4

Existem alguns computadores Dell que precisam de uma senha de administrador para inicializar a partir de qualquer coisa que não seja o disco rígido. A desvantagem é que, se a bateria do CMOS for removida por 30 segundos, eles poderão ignorar quaisquer configurações do BIOS definidas anteriormente, pois serão completamente restauradas. Mas esses são apenas meus 2 centavos. A menos que a pessoa que você está dando isso também saiba muito sobre a redefinição do BIOS apenas para instalar o Windows, não forneça um computador para ela; caso contrário, isso pode impedir a instalação casual.

paradd0x
fonte
+1 Esta é a primeira resposta que se aproxima de uma solução. Você tem mais informações sobre isso?
DW
2
Esse é um recurso usual do BIOS, nada de especial para as máquinas DELL. O PC corporativo geralmente possui um bloqueio engraçado para impedir que você remova a bateria do CMOS ou faça outras coisas (keylogger de hardware, ...). Eles não resistem à força pura, mas você a reconheceria depois, se eles fossem quebrados.
usuário desconhecido
Mencionei as máquinas Dell devido à minha experiência com o uso de uma trava de BIOS nelas. Obviamente, deve ser um recurso amplamente utilizado em um ambiente corporativo.
23411 paradad0x
2

Faça o que a maioria das empresas faz, faça-as assinar um contrato dizendo que você se recusa a apoiá-lo se elas mudarem o sistema operacional.

Andee
fonte
Obrigado por seus dois centavos. O usuário final não precisará de muito suporte. Isso não terá nenhum efeito.
DW
1

Para a pergunta dos comentários:

Se existe uma maneira de fazer um computador morrer, se ele não conseguir conexão com a Internet por alguns dias.

Sim, possível, mas apenas ocasionalmente, e vulnerável a problemas de rede.

Você pode colocar um script na seção init-script, que verifica o acesso à Internet e faz um shutdownse não houver acesso.

Scripts mais elaborados podem gravar em um protocolo ou acessar um site com base na data.

Se o usuário tiver privilégios de superusuário, ele poderá detectar o script, removê-lo, desativá-lo e manipulá-lo de todas as maneiras.

Portanto, você precisa desativar o modo 'rescue' no grub e desativar a possibilidade de modificar o grub interrompendo a inicialização.

Se o usuário encontrar problemas aleatórios na rede, a máquina poderá desligar sem querer.

Usuário desconhecido
fonte
1
  • Defina o BIOS para inicializar primeiro o disco rígido (que remove a capacidade de inicializar do USB / CD-ROM)
  • Defina uma senha do BIOS
  • Verifique se o usuário do sistema operacional não possui privilégios de administrador (ou seja, para que eles não possam entrar em um CD de instalação no Windows / Linux e fazê-lo a partir daí).

Isso deve fornecer o nível de segurança que você procura.

Arne
fonte
Você também precisa proteger o GRUB (2). Talvez você tenha reconhecido que ele disse que será um PC Ubuntu com Windows virtual.
usuário desconhecido
Essa resposta é semelhante à superuser.com/questions/246234/… . Vou me concentrar nessa por enquanto.
DW
0

Como opção de hardware, você poderia usar um gabinete de computador seguro. Comprei este estojo há muito tempo (ele não está mais disponível, mas dá uma idéia do que você está procurando). Possui uma porta frontal com trava e um painel lateral com trava (o outro lado é rebitado e não sai). Basicamente, se estiver tudo bloqueado, tudo o que você pode acessar são os conectores traseiros e alguns conectores do painel frontal (dois usb, um firewire400). Não há acesso às unidades, botão liga / desliga ou botão redefinir. A lingüeta de travamento real é apenas de plástico, por isso tenho certeza de que ela pode ser quebrada com força suficiente, mas você não está procurando segurança de nível CIA aqui. Deve ser o suficiente para desencorajá-los.

Doug, o Próximo
fonte
1
Apenas para que você saiba, o FireWire permite acesso direto ao DMA.
precisa saber é o seguinte