¿Cómo puedo dificultar la instalación de un nuevo sistema operativo en una computadora determinada?

12

Quiero alojar un sitio web en una computadora de escritorio que ejecute Ubuntu con una máquina virtual de Windows. Regalaré la computadora a cambio de varios meses de alojamiento web remoto. Quiero agregar algún tipo de bloqueo (hardware o de otro tipo) para que los usuarios finales tengan dificultades para volver a instalar Windows y usar la máquina como quieran, en contradicción con el contrato.

Idealmente, me gustaría que la máquina muriera si se intenta la reinstalación del sistema operativo. Que no tiene que ser completamente insuperables , pero tiene que ser lo suficientemente difícil evitar la reinstalación informal . Quizás en el arranque, el sistema puede verificar si existen ciertos archivos en la computadora y negarse a arrancar si no lo hacen. No sé si esto es posible, pero tal vez el BIOS está protegido con contraseña y busca archivos antes de arrancar. Los archivos que busca pueden ser sensibles a la fecha, es decir, requieren un reemplazo remoto en un horario.

installation operating-systems DW
fuente
44
¿Quién va a hacer este hosting por ti? Si no confías en ellos para que no borren la computadora, ¿por qué confiarías en ellos con los datos de tu sitio web?
nhinkle
16
Es la regla de oro de la seguridad informática: si alguien tiene acceso directo al hardware, cualquier protección que establezca puede ser anulada. Simplemente no veo por qué querrías hacer esto. Si apagan la computadora o tienen algún tipo de problema, su sitio web desaparece repentinamente. Un plan de alojamiento compartido barato es mucho menos costoso de lo que sería comprar una computadora y le brinda tiempo de actividad garantizado, copias de seguridad y administradores de sistemas adecuados.
nhinkle
2
Por favor, no rechace esto solo porque no está de acuerdo con la idea de bloquear una computadora. Las empresas bloquean los teléfonos celulares. La gente desbloquea los teléfonos celulares. Eso está bien conmigo, estoy buscando la misma idea. Esta pregunta se encuentra en el foro correcto, por lo que puedo decir, si vota negativamente, por favor deje un comentario aquí para hacerme saber lo que hice mal.
DW
77
Esta es una pregunta totalmente válida : la necesidad de bloquear una computadora para evitar que se modifique el sistema operativo es completamente sobre el tema y hay muchas buenas razones para hacerlo. Personalmente, creo que su objetivo final es ilógico, pero sigue siendo una pregunta válida.
nhinkle
3
Creo que es una buena pregunta, explicada clara y cortésmente, sobre el tema y con mucha respuesta del OP para comentar todas las respuestas. Incluso si la respuesta es ahora, no puedes No puedo ver una razón por la cual votar en contra, todo lo contrario: +1.
Trufa

Respuestas:

31

Las únicas herramientas que tiene para evitar la instalación de un nuevo sistema operativo en el hardware estándar de una PC serían hacer algo como esto:

  • Cierra el estuche. Use la ranura Kensington si su estuche tiene uno, de lo contrario, bloquéelo físicamente de alguna manera.

  • Configure una contraseña de configuración del BIOS.

  • Configure BIOS para arrancar solo desde el primer disco duro, para no arrancar ningún dispositivo USB externo, LAN o CD-ROM. Envíe la computadora sin un CD-ROM y / o disquete si es posible. Desconecte internamente o puertos USB epoxi.

  • No estoy seguro de si puede configurar GRUB para que nunca arranque desde una unidad externa, pero si es posible, GRUB debe configurarse de esta manera.

  • Seleccione buenas contraseñas de usuario y root.

Por supuesto, si abren físicamente el caso, no puede hacer mucho, pero esto debería evitar la reinstalación casual de otro sistema operativo.

LawrenceC
fuente
2
+1 Sí, lo que quiero hacer es evitar la reinstalación casual. Sin embargo, me gustaría un método que permita el uso de CD-ROM y USB. Nadie quiere una computadora sin un CD-ROM.
DW
77
Luego envíelo con un CD-ROM / disquete, pero sin el CD-ROM o disquete conectado a la placa base.
LawrenceC
1
Eso no me ayuda y no resuelve el problema. Buen intento sin embargo.
DW
77
@DW En realidad, lo que dijo te cubre. Él dijo "Envíe la computadora sin un CD-ROM y / o disquete si es posible" Entonces, ¿qué pasa si no es posible? Mire la oración que escribió antes de eso, dice "Configure BIOS para arrancar solo desde el primer disco duro, para no arrancar ningún dispositivo USB externo, LAN o CD-ROM"
barlop
@barlop tienes razón. Pensé que ultrasawblade estaba siendo sarcástica con su último comentario, pero necesito volver a examinar esta respuesta.
DW
29

Si le está dando a alguien acceso físico a una máquina, no hay nada que pueda hacer para detenerlo.

MDMarra
fuente
3
Debo aclarar que estoy tratando de evitar la reinstalación casual.
DW
1
@DW: puede restablecer una contraseña de BIOS moviendo un puente en la mayoría de las placas base. A alguien le tomaría 10 minutos buscarlo en Google, 5 minutos para cortar el bloqueo y 2 minutos para eliminar la contraseña del BIOS. Realmente, no hay una buena manera.
MDMarra
1
@DW: ¿así que hiciste esta pregunta para que alguien te diga que la bloquees?
MDMarra
3
+1 a esta respuesta. No existe tal cosa como "instalación casual": cualquier persona que se acerque a su caja con un CD de arranque lo tendrá en funcionamiento y ejecutará el sistema operativo de su elección rápidamente. Lo mejor que hará cualquiera de las sugerencias en esta página es evitar la "instalación accidental", sea lo que sea.
bitslave
1
@DW: entonces debes definir "fácilmente". Para alguien que quiere reinstalar un sistema operativo, es muy fácil cortar el gabinete y mover un puente. Creo que muchos usuarios en este sitio podrían hacerlo sin siquiera buscar qué puente mover. Parece que su problema se resuelve más fácilmente a nivel de política, y no a nivel técnico, ya que es literalmente imposible de resolver a nivel técnico.
MDMarra
5

Es posible que desee reemplazar cualquier tornillo visible con Torx de seguridad, especialmente los tornillos que sostienen el disco duro en su lugar. De esa manera, no pueden instalar otro sistema operativo en un disco duro diferente, cambiar el disco duro y luego arrancar desde el nuevo disco duro. Cualquiera puede comprar controladores Torx de seguridad, pero ralentizará a una persona normal, que probablemente no tendrá ninguno en su caja de herramientas.

Marco A.
fuente
4

Hay algunas computadoras Dell que necesitan una contraseña de administrador para arrancar desde otra cosa que no sea el disco duro. La desventaja es que si se quita la batería CMOS durante 30 segundos, entonces podrían omitir cualquier configuración de BIOS establecida previamente, ya que todas están completamente restauradas. Pero eso es solo mis 2 centavos. A menos que la persona a la que le esté dando esto también sepa mucho sobre restablecer el BIOS solo para instalar Windows, entonces no le dé una computadora, pero de lo contrario, esto puede evitar una instalación casual.

paradd0x
fuente
+1 Esta es la primera respuesta que se acerca a una solución. ¿Tienes más información sobre esto?
DW
2
Esa es una característica habitual del BIOS, nada especial para las máquinas DELL. Las PC corporativas a menudo tienen un pequeño bloqueo divertido para evitar que retire la batería CMOS o que haga otras cosas (keylogger de hardware, ...). No resisten la fuerza pura, pero después la reconocerías si se rompieran.
usuario desconocido
Mencioné las máquinas Dell debido a mi experiencia con el uso de un bloqueo de BIOS en ellas. Obviamente debe ser una característica que se use ampliamente en un entorno corporativo.
paradd0x
2

Haga lo que la mayoría de las empresas hacen, haga que firmen un contrato diciendo que se niega a respaldarlo si cambian el sistema operativo.

Andee
fuente
Gracias por tus dos centavos. El usuario final no necesitará mucho apoyo. Esto no tendrá ningún efecto.
DW
1

A la pregunta de los comentarios:

Si hay una manera de hacer que una computadora muera si no tiene conexión a Internet durante unos días.

Sí, posible, pero solo de manera casual y vulnerable a problemas de red.

Puede poner una secuencia de comandos en la sección de secuencia de comandos de inicio, que verifica el acceso interno y hace un shutdownsi no hay acceso.

Los scripts más elaborados podrían escribir en un protocolo o acceder a un sitio web en función de la fecha.

Si el usuario tiene privilegios de superusuario, puede detectar el script, eliminarlo, desactivarlo y manipularlo de todas las formas.

Por lo tanto, debe deshabilitar el modo 'rescate' en grub y deshabilitar la posibilidad de modificar grub interrumpiendo el arranque.

Si el usuario encuentra problemas de red aleatorios, la máquina puede apagarse involuntariamente.

usuario desconocido
fuente
1
  • Primero configure el BIOS para que arranque desde el disco duro (eso elimina la capacidad de arranque desde USB / CD-ROM)
  • Establecer una contraseña de BIOS
  • Asegúrese de que el usuario del sistema operativo no tenga privilegios de administrador (es decir, para que no pueda ingresar un CD de instalación mientras esté en Windows / Linux y hacerlo desde allí).

Esto debería darte el nivel de seguridad que parece que buscas.

Arne
fuente
Necesita endurecer GRUB (2) también. Tal vez reconociste que él dijo que sería una PC Ubuntu con Windows virtual.
usuario desconocido
Esta respuesta es similar a la de superuser.com/questions/246234/… . Me centraré en eso por ahora.
DW
0

Como opción de hardware, podría elegir una carcasa segura para computadora. Compré este estuche hace mucho tiempo (ya no está disponible, pero te da una idea de lo que estás buscando). Tiene una puerta frontal con cerradura y un panel lateral con cerradura (el otro panel lateral está remachado, no se desprende). Básicamente, si todo está bloqueado, todo lo que puede acceder son los conectores traseros y algunos conectores del panel frontal (dos usb, un firewire400). No hay acceso a las unidades, al botón de encendido ni al botón de reinicio. La pestaña de bloqueo real es solo de plástico, así que estoy seguro de que podría romperse con suficiente fuerza, pero no está buscando seguridad de grado CIA aquí. Debería ser suficiente para desanimarlos.

Doug el Neard
fuente
1
Solo para hacerle saber, FireWire permite el acceso directo a DMA.
kinokijuf