Wie kann ich die Installation eines neuen Betriebssystems auf einem bestimmten Computer erschweren?

12

Ich möchte eine Website auf einem Desktop-Computer hosten, auf dem Ubuntu mit einer virtuellen Windows-Maschine ausgeführt wird. Ich werde den Computer im Austausch für einige Monate Remote-Webhosting verschenken. Ich möchte eine Art Sperre (Hardware oder auf andere Weise) hinzufügen, damit die Endbenutzer im Widerspruch zum Vertrag Schwierigkeiten haben, Windows neu zu installieren und den Computer so zu verwenden, wie sie möchten.

Idealerweise möchte ich, dass der Computer abstirbt, wenn eine Neuinstallation des Betriebssystems versucht wird. Es nicht muss sein völlig unüberwindlich , aber es muss sein schwierig genug, um eine gelegentliche Neuinstallation zu verhindern . Möglicherweise kann das System beim Systemstart prüfen, ob bestimmte Dateien auf dem Computer vorhanden sind, und den Systemstart ablehnen, wenn dies nicht der Fall ist. Ich weiß nicht, ob dies möglich ist, aber möglicherweise ist das BIOS passwortgeschützt und sucht vor dem Booten nach Dateien. Die Dateien, nach denen gesucht wird, sind möglicherweise datumsabhängig, d. H. Sie müssen nach einem Zeitplan per Fernzugriff ersetzt werden.

installation operating-systems D W
quelle
4
Wer macht dieses Hosting für Sie? Wenn Sie ihnen nicht vertrauen, den Computer nicht zu löschen, warum sollten Sie ihnen dann die Daten Ihrer Website anvertrauen?
nhinkle
16
Es ist die goldene Regel der Computersicherheit: Wenn jemand direkten Zugriff auf die Hardware hat, können alle von Ihnen eingerichteten Schutzmaßnahmen aufgehoben werden. Ich verstehe nur nicht, warum Sie das tun wollen. Wenn sie den Computer ausschalten oder Probleme damit haben, ist Ihre Website plötzlich verschwunden. Ein billiger Shared-Hosting-Plan ist viel günstiger als der Kauf eines Computers und bietet Ihnen garantierte Verfügbarkeit, Backups und ordnungsgemäße Systemadministratoren.
nhinkle
2
Bitte stimmen Sie dem nicht zu, nur weil Sie der Idee, einen Computer zu sperren, nicht zustimmen. Unternehmen sperren Handys. Die Leute entsperren die Handys. Das ist in Ordnung für mich, ich suche nach der gleichen Idee. Diese Frage steht, soweit ich weiß, im richtigen Forum. Wenn Sie dagegen stimmen, hinterlassen Sie bitte hier einen Kommentar, damit ich weiß, was ich falsch gemacht habe.
D W
7
Dies ist eine völlig gültige Frage - Die Notwendigkeit, einen Computer zu sperren, um zu verhindern, dass das Betriebssystem geändert wird, ist völlig umstritten, und es gibt viele gute Gründe, dies zu tun. Ich persönlich halte Ihr Endziel für unlogisch, aber es ist immer noch eine berechtigte Frage.
nhinkle
3
Ich denke, es ist eine gute Frage, klar und höflich erklärt, zum Thema und mit viel Resonanz des OP, alle Antworten zu kommentieren. Selbst wenn die Antwort jetzt ist, dass Sie nicht können, kann ich keinen Grund sehen, warum Sie abstimmen sollten, im Gegenteil: +1.
Trufa

Antworten:

31

Die einzigen Tools, die Sie haben, um die Installation eines neuen Betriebssystems auf Standard-PC-Hardware zu verhindern, sind folgende:

  • Schließe den Koffer ab. Verwenden Sie den Kensington-Steckplatz, falls vorhanden, andernfalls schließen Sie ihn physisch ab.

  • Konfigurieren Sie ein BIOS-Setup-Passwort.

  • Konfigurieren Sie das BIOS so, dass nur von der ersten Festplatte und nicht von einem externen USB-Gerät, LAN oder einer CD-ROM gebootet wird. Versenden Sie den Computer nach Möglichkeit ohne CD-ROM und / oder Diskette. Interne USB-Anschlüsse trennen oder epoxidieren.

  • Ich bin nicht sicher, ob Sie GRUB so konfigurieren können, dass es niemals von einem externen Laufwerk bootet. Wenn dies jedoch möglich ist, sollte GRUB auf diese Weise konfiguriert werden.

  • Wählen Sie gute Root- und Benutzerkennwörter.

Wenn sie das Gehäuse physisch öffnen, können Sie natürlich nicht viel tun, aber dies sollte eine gelegentliche Neuinstallation eines anderen Betriebssystems verhindern.

LawrenceC
quelle
2
+1 Ja, ich möchte eine gelegentliche Neuinstallation verhindern. Ich hätte gerne eine Methode, die die Verwendung von CD-ROMs und USBs erlaubt. Niemand möchte einen Computer ohne CD-ROM.
D W
7
Versenden Sie es dann mit einer CD-ROM / Diskette, jedoch ohne die mit dem Motherboard verbundene CD-ROM oder Diskette.
LawrenceC
1
Das ist für mich nicht hilfreich und löst das Problem nicht. Trotzdem netter Versuch.
D W
7
@D W Eigentlich deckt dich das, was er gesagt hat. Er sagte: "Versenden Sie den Computer nach Möglichkeit ohne CD-ROM und / oder Diskette." Also, was ist, wenn nicht möglich? Schauen Sie sich den Satz an, den er zuvor geschrieben hat: "Konfigurieren Sie das BIOS so, dass es nur von der ersten Festplatte und nicht von einem externen USB-Gerät, LAN oder CD-ROM gestartet wird."
barlop
@barlop du hast recht. Ich dachte, Ultrasawblade wäre mit seinem letzten Kommentar sarkastisch, aber ich muss diese Antwort noch einmal überprüfen.
D W
29

Wenn Sie jemandem physischen Zugriff auf eine Maschine gewähren, gibt es nichts dass Sie tun können, um sie zu stoppen.

MDMarra
quelle
3
Ich sollte klarstellen, dass ich versuche, eine gelegentliche Neuinstallation zu vermeiden.
D W
1
@D W - Sie können ein BIOS-Kennwort zurücksetzen, indem Sie auf den meisten Motherboards einen Jumper verschieben. Es würde jemand 10 Minuten dauern, um es zu googeln, 5 Minuten, um die Sperre aufzuheben und 2 Minuten, um das BIOS-Passwort zu entfernen. Wirklich, es gibt keinen guten Weg.
MDMarra
1
@D W - hast du diese Frage gestellt, damit dir jemand sagen kann, dass du sie sperren sollst?
MDMarra
3
+1 auf diese Antwort. Es gibt keine "Gelegenheitsinstallation" - jeder, der sich mit einer Boot-CD an Ihre Box wendet, kann das Betriebssystem seiner Wahl schnell und intelligent starten. Das Beste, was die Vorschläge auf dieser Seite bewirken, ist, eine "versehentliche Installation" zu verhindern.
bitslave
1
@D W - Sie müssen dann "leicht" definieren. Für jemanden, der ein Betriebssystem neu installieren möchte, ist es ziemlich einfach, ein Schloss auf dem Gehäuse zu öffnen und einen Jumper zu bewegen. Ich denke, dass viele Benutzer auf dieser Website dies tun können, ohne nachzuschauen, welcher Jumper bewegt werden soll. Dies hört sich so an, als ob Ihr Problem auf Richtlinienebene und nicht auf technischer Ebene leichter gelöst werden kann, da es auf technischer Ebene buchstäblich unmöglich ist, es zu lösen.
MDMarra
5

Möglicherweise möchten Sie alle sichtbaren Schrauben durch Sicherheitstorx ersetzen, insbesondere die Schrauben, mit denen die Festplatte befestigt ist. Auf diese Weise können sie kein anderes Betriebssystem auf einer anderen Festplatte installieren, die Festplatte austauschen und dann von der neuen Festplatte booten. Jeder kann Sicherheitstorx-Treiber kaufen, aber das wird einen normalen Menschen, der wahrscheinlich keine in seiner Werkzeugkiste hat, verlangsamen.

Marco A.
quelle
4

Es gibt einige Dell-Computer, die ein Administratorkennwort benötigen, um von einer anderen Festplatte als der Festplatte zu starten. Der Nachteil ist, dass die zuvor festgelegten BIOS-Einstellungen umgangen werden können, wenn die CMOS-Batterie 30 Sekunden lang entfernt wird, da alle Einstellungen vollständig wiederhergestellt sind. Das sind aber nur meine 2 Cent. Wenn die Person, die Sie hiermit beauftragen, nicht wirklich genau weiß, wie man das BIOS zurücksetzt, um nur Windows zu installieren, geben Sie ihnen keinen Computer. Andernfalls kann dies eine gelegentliche Installation verhindern.

paradd0x
quelle
+1 Dies ist die erste Antwort, die sich einer Lösung nähert. Haben Sie weitere Informationen dazu?
D W
2
Dies ist eine übliche BIOS-Funktion, die für DELL-Computer nichts Besonderes ist. Firmen-PCs haben oft ein lustiges kleines Schloss, um zu verhindern, dass Sie die CMOS-Batterie herausnehmen oder andere Dinge tun (Hardware-Keylogger, ...). Sie widerstehen nicht der reinen Gewalt, aber Sie würden es später erkennen, wenn sie gebrochen wären.
user unknown
Ich erwähnte die Dell-Maschinen aufgrund meiner Erfahrung mit der Verwendung einer BIOS-Sperre für sie. Offensichtlich muss es sich um eine Funktion handeln, die in Unternehmen weit verbreitet ist.
paradd0x
2

Machen Sie das, was die meisten Unternehmen tun, und lassen Sie sie einen Vertrag unterzeichnen, in dem steht, dass Sie die Unterstützung verweigern, wenn sie das Betriebssystem ändern.

Andee
quelle
Vielen Dank für Ihre zwei Cent. Der Endbenutzer wird nicht viel Unterstützung benötigen. Dies hat keine Auswirkungen.
D W
1

Zur Frage aus den Kommentaren:

Gibt es eine Möglichkeit, einen Computer zum Sterben zu bringen, wenn er einige Tage lang keine Internetverbindung hat?

Ja, möglich, aber nur gelegentlich und anfällig für Netzwerkprobleme.

Sie können ein Skript in den Abschnitt init-script einfügen, der den Internetzugriff überprüft, und a shutdown wenn es keinen zugang gibt.

Ausgefeiltere Skripte können je nach Datum in ein Protokoll geschrieben oder auf eine Website zugegriffen werden.

Wenn der Benutzer über Superuser-Berechtigungen verfügt, kann er das Skript erkennen, entfernen, deaktivieren und auf alle Arten bearbeiten.

Daher müssen Sie den 'Rescue'-Modus in Grub deaktivieren und die Möglichkeit deaktivieren, Grub durch Unterbrechung beim Booten zu ändern.

Wenn der Benutzer auf zufällige Netzwerkprobleme stößt, wird der Computer möglicherweise unbeabsichtigt heruntergefahren.

user unknown
quelle
1
  • Stellen Sie das BIOS so ein, dass es zuerst von der Festplatte bootet (wodurch das Booten von USB / CD-ROM verhindert wird).
  • Legen Sie ein BIOS-Passwort fest
  • Stellen Sie sicher, dass der Benutzer des Betriebssystems keine Administratorrechte hat (d. H., Dass er unter Windows / Linux keine Installations-CD einlegen und von dort aus ausführen kann).

Dies sollte Ihnen die Sicherheitsstufe geben, nach der Sie zu suchen scheinen.

Arne
quelle
Sie müssen auch GRUB (2) härten. Vielleicht haben Sie gemerkt, dass es sich um einen Ubuntu-PC mit virtuellem Windows handeln wird.
user unknown
Diese Antwort ähnelt der einen superuser.com/questions/246234/… . Ich werde mich vorerst darauf konzentrieren.
D W
0

Als Hardware-Option bietet sich ein sicheres Computergehäuse an. ich kaufte dieser Fall vor Ewigkeiten (es ist nicht mehr verfügbar, gibt Ihnen aber eine Vorstellung davon, wonach Sie suchen). Es hat eine abschließbare Vordertür und eine abschließbare Seitenwand (die andere Seitenwand ist angenietet und löst sich nicht). Wenn alles gesperrt ist, haben Sie nur Zugriff auf die rückseitigen Anschlüsse und einige Anschlüsse auf der Vorderseite (zwei USB-Anschlüsse, ein Firewire400-Anschluss). Es besteht kein Zugriff auf die Laufwerke, den Netzschalter oder den Rücksetzschalter. Die eigentliche Verriegelungslasche besteht nur aus Kunststoff. Ich bin mir also sicher, dass sie mit ausreichender Kraft zerbrochen werden kann, aber Sie suchen hier keine Sicherheit nach CIA-Standard. Es sollte genug sein, um sie zu entmutigen.

Doug the Neard
quelle
1
Nur um Sie zu informieren, ermöglicht FireWire den direkten DMA-Zugriff.
kinokijuf