Bagaimana saya dapat membuatnya sulit untuk menginstal sistem operasi baru pada komputer tertentu?

12

Saya ingin meng-host situs web di komputer desktop yang menjalankan Ubuntu dengan mesin virtual Windows. Saya akan memberikan komputer sebagai imbalan untuk beberapa bulan hosting web jarak jauh. Saya ingin menambahkan semacam kunci (perangkat keras atau lainnya) sehingga pengguna akhir akan mengalami kesulitan hanya menginstal ulang Windows dan menggunakan mesin seperti yang mereka inginkan, bertentangan dengan kontrak.

Idealnya, saya ingin mesin mati jika menginstal ulang OS dicoba. Ini tidak harus sepenuhnya tidak dapat diatasi , tetapi harus cukup sulit untuk mencegah instalasi ulang kasual . Mungkin saat boot sistem dapat memeriksa apakah ada file tertentu di komputer dan menolak untuk boot jika tidak. Saya tidak tahu apakah ini mungkin, tetapi mungkin BIOS dilindungi kata sandi, dan mencari file sebelum boot. File yang dicari mungkin sensitif tanggal, yaitu memerlukan penggantian jarak jauh sesuai jadwal.

installation operating-systems DW
sumber
4
Siapa yang akan melakukan hosting ini untuk Anda? Jika Anda tidak mempercayai mereka untuk tidak menghapus komputer, mengapa Anda mempercayai mereka dengan data situs web Anda?
nhinkle
16
Ini adalah aturan utama keamanan komputer: jika seseorang memiliki akses langsung ke perangkat keras, maka perlindungan apa pun yang Anda tempatkan dapat dikalahkan. Saya hanya tidak mengerti mengapa Anda ingin melakukan ini. Jika mereka mematikan komputer atau memiliki masalah dengan itu, situs web Anda tiba-tiba hilang. Paket hosting bersama yang murah jauh lebih murah daripada membeli komputer, dan memberi Anda jaminan waktu aktif, cadangan, dan sysadmin yang tepat.
nhinkle
2
Tolong jangan downvote ini hanya karena Anda tidak setuju dengan gagasan mengunci komputer. Perusahaan mengunci ponsel. Orang membuka kunci ponsel. Tidak masalah dengan saya, saya mencari ide yang sama. Pertanyaan ini ada di forum yang tepat sejauh yang saya tahu, jika Anda downvote, silakan tinggalkan komentar di sini untuk memberi tahu saya apa yang saya lakukan salah.
DW
7
Ini adalah pertanyaan yang benar-benar valid - kebutuhan untuk mengunci komputer agar OS tidak dimodifikasi sepenuhnya sesuai topik dan ada banyak alasan bagus untuk melakukannya. Saya pribadi merasa bahwa tujuan akhir Anda tidak logis, tetapi itu masih merupakan pertanyaan yang valid.
nhinkle
3
Saya pikir ini adalah pertanyaan yang bagus, dijelaskan dengan jelas dan sopan, mengenai topik dan dengan banyak tanggapan OP untuk mengomentari semua jawaban. Bahkan id jawabannya adalah sekarang Anda tidak bisa. Saya tidak dapat melihat alasan mengapa memilih-turun, sebaliknya: +1.
Trufa

Jawaban:

31

Satu-satunya alat yang Anda miliki untuk mencegah pemasangan sistem operasi baru pada perangkat keras PC standar adalah dengan melakukan sesuatu seperti ini:

  • Kunci kasing. Gunakan slot Kensington jika kasing Anda memiliki, jika tidak, kuncilah secara fisik.

  • Konfigurasikan kata sandi pengaturan BIOS.

  • Konfigurasikan BIOS untuk mem-boot hanya dari hard drive pertama, untuk tidak mem-boot perangkat USB eksternal, LAN, atau CD-ROM. Kirim komputer tanpa CD-ROM dan / atau disket jika memungkinkan. Lepaskan secara internal atau port USB epoksi.

  • Saya tidak yakin apakah Anda dapat mengkonfigurasi GRUB agar tidak pernah boot dari drive eksternal, tetapi jika memungkinkan, GRUB harus dikonfigurasi dengan cara ini.

  • Pilih kata sandi root dan pengguna yang baik.

Tentu saja, jika mereka secara fisik membuka kasing, Anda tidak bisa berbuat banyak, tetapi ini seharusnya mencegah instalasi ulang sistem operasi lain secara sembarangan.

LawrenceC
sumber
2
+1 Ya mencegah instalasi ulang biasa adalah yang ingin saya lakukan. Saya ingin metode yang memungkinkan penggunaan CD-ROM dan USB. Tidak ada yang menginginkan komputer tanpa CD-ROM.
DW
7
Kemudian kirimkan dengan CD-ROM / floppy, tetapi tanpa CD-ROM atau floppy yang terhubung ke motherboard.
LawrenceC
1
Itu tidak membantu saya dan tidak menyelesaikan masalah. Tapi usaha yang bagus.
DW
7
@DW Sebenarnya apa yang dia katakan melindungimu. Dia berkata "Kirim komputer tanpa CD-ROM dan / atau disket jika memungkinkan" Jadi, bagaimana jika tidak mungkin? Lihatlah kalimat yang ditulisnya sebelum itu, yang berbunyi "Konfigurasikan BIOS untuk mem-boot hanya dari hard drive pertama, untuk tidak mem-boot perangkat USB eksternal, LAN, atau CD-ROM"
barlop
@barlop Anda benar. Saya pikir ultrasawblade sedang menyindir dengan komentar terakhirnya tetapi saya perlu memeriksa kembali jawaban ini.
DW
29

Jika Anda memberi seseorang akses fisik ke mesin, tidak ada yang dapat Anda lakukan untuk menghentikannya.

MDMarra
sumber
3
Saya harus mengklarifikasi bahwa saya mencoba menghindari instalasi ulang biasa.
DW
1
@ WD - Anda dapat mengatur ulang kata sandi BIOS dengan menggerakkan jumper pada sebagian besar motherboard. Diperlukan seseorang 10 menit untuk google itu, 5 menit untuk memotong kunci dan 2 menit untuk menghapus kata sandi BIOS. Sungguh, tidak ada cara yang baik.
MDMarra
1
@ WD - jadi Anda mengajukan pertanyaan ini sehingga seseorang dapat memberi tahu Anda untuk meletakkan kunci padanya?
MDMarra
3
Memberi +1 pada jawaban ini. Tidak ada yang namanya "instalasi biasa" - siapa pun yang mendekati kotak Anda dengan cd boot akan memilikinya dan menjalankan os pilihan cepat pintar mereka. Yang terbaik yang dilakukan salah satu saran pada halaman ini adalah mencegah "instalasi tidak disengaja", apa pun itu.
bitslave
1
@ DW - Anda harus mendefinisikan "dengan mudah" lalu. Untuk seseorang yang ingin menginstal ulang OS, mengambil kunci pada case dan memindahkan jumper cukup mudah. Saya pikir banyak pengguna di situs ini akan dapat melakukannya tanpa melihat jumper mana yang akan dipindahkan. Ini sepertinya masalah Anda lebih mudah diselesaikan pada tingkat kebijakan, dan bukan tingkat teknis karena secara harfiah tidak mungkin diselesaikan pada tingkat teknis.
MDMarra
5

Anda mungkin ingin mengganti sekrup yang terlihat dengan Torx pengaman, terutama sekrup yang menahan hard drive pada tempatnya. Dengan begitu mereka tidak dapat menginstal OS lain pada hard drive yang berbeda, menukar hard drive, lalu boot dari hard drive baru. Siapa pun dapat membeli driver Torx keamanan, tetapi itu akan memperlambat orang normal, yang mungkin tidak akan memilikinya di kotak peralatan mereka.

Marco A.
sumber
4

Ada beberapa komputer Dell yang memerlukan kata sandi administrator untuk mem-boot dari apa pun selain Hard Drive. Kelemahannya adalah bahwa jika baterai CMOS dilepas selama 30 detik, maka mereka akan dapat mem-bypass pengaturan BIOS yang telah ditetapkan sebelumnya karena semuanya telah sepenuhnya pulih. Tapi itu hanya 2 sen saya. Kecuali jika orang yang Anda berikan ini juga benar-benar tahu banyak tentang mengatur ulang BIOS hanya untuk menginstal Windows, maka jangan berikan mereka komputer, tetapi jika tidak, ini dapat mencegah instalasi biasa.

paradd0x
sumber
+1 Ini adalah jawaban pertama yang mendekati solusi. Apakah Anda memiliki informasi lebih lanjut tentang ini?
DW
2
Itu adalah fitur BIOS biasa, tidak ada yang istimewa untuk mesin DELL. Corporate PC seringkali memiliki kunci kecil yang lucu untuk mencegah Anda melepas baterai CMOS atau melakukan hal-hal lain (hardware keylogger, ...). Mereka tidak melawan kekuatan murni, tetapi Anda akan mengenalinya setelah itu, jika mereka rusak.
pengguna tidak diketahui
Saya menyebutkan mesin Dell karena pengalaman saya menggunakan kunci BIOS. Jelas harus fitur yang digunakan secara luas dalam pengaturan perusahaan.
paradd0x
2

Lakukan apa yang dilakukan kebanyakan perusahaan, buat mereka menandatangani kontrak dengan mengatakan bahwa Anda menolak untuk mendukungnya jika mereka mengubah sistem operasi.

Andee
sumber
Terima kasih untuk dua sen kamu. Pengguna akhir tidak perlu banyak dukungan. Ini tidak akan berpengaruh apa pun.
DW
1

Untuk pertanyaan dari komentar:

Apakah ada cara untuk membuat komputer mati jika tidak mendapatkan koneksi internet selama beberapa hari.

Ya, mungkin, tetapi hanya secara kasual, dan rentan terhadap masalah jaringan.

Anda dapat memasukkan skrip ke bagian skrip init, yang memeriksa akses internet, dan melakukan a shutdownjika tidak ada akses.

Skrip yang lebih rumit dapat menulis ke protokol, atau mengakses situs web berdasarkan tanggal.

Jika pengguna memiliki hak pengguna super, ia mungkin mendeteksi skrip, menghapusnya, menonaktifkannya dan memanipulasi dengan segala cara.

Karenanya Anda harus menonaktifkan mode 'rescue'-in di grub, dan menonaktifkan kemungkinan untuk memodifikasi grub dengan gangguan saat boot.

Jika pengguna menemukan masalah jaringan acak, mesin mungkin mati secara tidak sengaja.

Pengguna tidak diketahui
sumber
1
  • Atur BIOS untuk boot dari hard drive terlebih dahulu (yang menghilangkan kemampuan untuk boot dari USB / CD-ROM)
  • Tetapkan kata sandi BIOS
  • Pastikan pengguna OS tidak memiliki hak admin (yaitu sehingga mereka tidak dapat muncul dalam CD instalasi saat di Windows / Linux dan melakukannya dari sana).

Ini akan memberi Anda tingkat keamanan yang tampaknya Anda kejar.

Arne
sumber
Anda perlu mengeraskan GRUB (2) juga. Mungkin Anda tahu bahwa ia mengatakan itu akan menjadi Ubuntu-PC dengan Windows virtual.
pengguna tidak diketahui
Jawaban ini mirip dengan satu superuser.com/questions/246234/… . Saya akan fokus pada yang itu untuk saat ini.
DW
0

Sebagai opsi perangkat keras, Anda bisa menggunakan casing komputer yang aman. Saya membeli case ini berabad-abad yang lalu (tidak lagi tersedia, tetapi memberi Anda ide untuk apa yang Anda cari). Itu punya pintu depan penguncian, dan panel samping penguncian (panel sisi lain terpaku, tidak lepas). Pada dasarnya, jika semuanya terkunci, yang dapat Anda akses hanyalah konektor belakang dan beberapa konektor panel depan (dua usb, satu firewire400). Tidak ada akses ke drive, tombol power, atau tombol reset. Tab pengunci yang sebenarnya hanya plastik, jadi saya yakin itu bisa rusak dengan kekuatan yang cukup, tetapi Anda tidak mencari keamanan tingkat CIA di sini. Itu harus cukup untuk mencegah mereka.

Doug the Neard
sumber
1
Untuk memberi tahu Anda, FireWire memungkinkan akses DMA langsung.
kinokijuf