Làm thế nào tôi có thể gây khó khăn khi cài đặt một hệ điều hành mới trên một máy tính nhất định?

12

Tôi muốn lưu trữ một trang web trên máy tính để bàn chạy Ubuntu bằng máy ảo Windows. Tôi sẽ cho đi máy tính để đổi lấy một số tháng lưu trữ web từ xa. Tôi muốn thêm một số loại khóa (phần cứng hoặc cách khác) để người dùng cuối sẽ gặp khó khăn khi chỉ cài đặt lại Windows và sử dụng máy theo ý muốn, trái với hợp đồng.

Lý tưởng nhất là tôi muốn máy chết nếu cài đặt lại hệ điều hành. Nó không phảihoàn toàn không thể vượt qua , nhưng nó phải đủ khó để ngăn chặn cài đặt lại thông thường . Có lẽ khi khởi động, hệ thống có thể kiểm tra xem một số tệp có tồn tại trên máy tính hay không và không khởi động nếu không. Tôi không biết nếu điều này là có thể, nhưng có lẽ BIOS được bảo vệ bằng mật khẩu và tìm kiếm các tập tin trước khi khởi động. Các tệp mà nó tìm kiếm có thể là ngày nhạy cảm, tức là yêu cầu thay thế từ xa theo lịch trình.

installation  operating-systems 
DW
nguồn
4
Ai sẽ làm hosting này cho bạn? Nếu bạn không tin tưởng họ không xóa máy tính, tại sao bạn lại tin tưởng họ với dữ liệu trang web của bạn?
nhink
16
Đó là quy tắc vàng của bảo mật máy tính: nếu ai đó có quyền truy cập trực tiếp vào phần cứng, thì mọi biện pháp bảo vệ bạn đặt có thể bị đánh bại. Tôi chỉ không thấy lý do tại sao bạn muốn làm điều này. Nếu họ tắt máy tính hoặc có bất kỳ vấn đề nào với nó, trang web của bạn đột nhiên biến mất. Một gói lưu trữ chia sẻ giá rẻ sẽ rẻ hơn nhiều so với việc mua một máy tính và cung cấp cho bạn thời gian hoạt động, sao lưu và sysadins thích hợp.
nhink
2
Xin đừng hạ thấp điều này chỉ vì bạn không đồng ý với ý tưởng khóa máy tính. Các công ty khóa điện thoại di động. Mọi người mở khóa điện thoại di động. Điều đó tốt với tôi Tôi đang tìm kiếm ý tưởng tương tự. Câu hỏi này nằm trong đúng diễn đàn theo như tôi có thể nói, nếu bạn downvote, xin vui lòng để lại một bình luận ở đây để cho tôi biết những gì tôi đã làm sai.
DW
7
Đây là một câu hỏi hoàn toàn hợp lệ - sự cần thiết phải khóa máy tính để ngăn hệ điều hành bị sửa đổi là hoàn toàn theo chủ đề và có nhiều lý do chính đáng để làm điều đó. Cá nhân tôi cảm thấy như mục tiêu cuối cùng của bạn là phi logic, nhưng nó vẫn là một câu hỏi hợp lệ.
nhink
3
Tôi nghĩ rằng đó là một câu hỏi hay, được giải thích rõ ràng và lịch sự, về chủ đề và với nhiều phản hồi của OP để bình luận tất cả các câu trả lời. Ngay cả id, câu trả lời bây giờ là bạn không thể thấy lý do tại sao bỏ phiếu, tất cả ngược lại: +1.
Trufa

Câu trả lời:

31

Các công cụ duy nhất bạn có để ngăn cài đặt hệ điều hành mới trên phần cứng PC tiêu chuẩn là làm một việc như thế này:

  • Khóa vỏ máy. Sử dụng khe Kensington nếu trường hợp của bạn có một, nếu không thì khóa vật lý bằng cách nào đó.

  • Cấu hình mật khẩu thiết lập BIOS.

  • Cấu hình BIOS để chỉ khởi động khỏi ổ cứng đầu tiên, để không khởi động bất kỳ thiết bị USB, LAN hoặc CD-ROM bên ngoài nào. Vận chuyển máy tính mà không có CD-ROM và / hoặc đĩa mềm nếu có thể. Ngắt kết nối nội bộ hoặc cổng USB epoxy.

  • Tôi không chắc liệu bạn có thể định cấu hình GRUB để không bao giờ khởi động từ ổ đĩa ngoài hay không, nhưng nếu có thể, GRUB nên được cấu hình theo cách này.

  • Chọn mật khẩu gốc và người dùng tốt.

Tất nhiên, nếu họ thực sự mở vỏ máy, bạn không thể làm gì nhiều, nhưng điều này sẽ ngăn việc cài đặt lại hệ điều hành khác.

LawrenceC
nguồn
2
+1 Có ngăn chặn cài đặt lại thông thường là những gì tôi muốn làm. Tôi muốn một phương pháp cho phép sử dụng CD-ROM và USB. Không ai muốn một máy tính mà không có CD-ROM.
DW
7
Sau đó gửi nó với CD-ROM / đĩa mềm, nhưng không có CD-ROM hoặc đĩa mềm được kết nối với bo mạch chủ.
LawrenceC
1
Điều đó không hữu ích với tôi và không giải quyết được vấn đề. Rất cố gắng nhưng.
DW
7
@DW Thật ra những gì anh nói bao trùm bạn. Anh ấy nói "Vận chuyển máy tính mà không có CD-ROM và / hoặc đĩa mềm nếu có thể" Vậy, nếu không thể thì sao? Nhìn vào câu anh ấy đã viết trước đó, nó nói "Cấu hình BIOS chỉ khởi động từ ổ cứng đầu tiên, để không khởi động bất kỳ thiết bị USB, LAN hoặc CD-ROM bên ngoài nào"
barlop 16/211
@barlop bạn nói đúng. Tôi nghĩ ultrasawblade đã bị mỉa mai với bình luận cuối cùng của anh ấy nhưng tôi cần phải xem lại câu trả lời này.
DW
29

Nếu bạn đang đưa ra một ai đó truy cập vật lý đến một máy, có mà bạn có thể làm gì để ngăn chặn chúng.

MDMarra
nguồn
3
Tôi nên làm rõ rằng tôi đang cố gắng tránh cài đặt lại thông thường.
DW
1
@DW - bạn có thể đặt lại mật khẩu BIOS bằng cách di chuyển một nút nhảy trên hầu hết các bo mạch chủ. Sẽ mất 10 phút để google, 5 phút để cắt khóa và 2 phút để xóa mật khẩu BIOS. Thực sự, không có cách nào tốt.
MDMarra
1
@DW - vậy bạn đã hỏi câu hỏi này để ai đó có thể bảo bạn đặt khóa không?
MDMarra
3
+1 cho câu trả lời này. Không có thứ gọi là "cài đặt thông thường" - bất cứ ai tiếp cận hộp của bạn với đĩa CD khởi động sẽ có nó và chạy hệ điều hành của sự lựa chọn nhanh chóng thông minh của họ. Điều tốt nhất mà bất kỳ đề xuất nào trên trang này sẽ làm là ngăn chặn "cài đặt ngẫu nhiên", bất cứ điều gì có thể.
bitslave
1
@DW - Bạn cần xác định "dễ dàng" rồi. Đối với ai đó muốn cài đặt lại hệ điều hành, việc lấy khóa trên vỏ và di chuyển một người nhảy là khá dễ dàng. Tôi nghĩ rằng nhiều người dùng trên trang web này sẽ có thể làm điều đó mà không cần phải tìm kiếm người nhảy nào để di chuyển. Điều này có vẻ như vấn đề của bạn được giải quyết dễ dàng hơn ở cấp chính sách và không phải là cấp kỹ thuật vì thực sự không thể giải quyết ở cấp kỹ thuật.
MDMarra
5

Bạn có thể muốn thay thế bất kỳ ốc vít có thể nhìn thấy bằng Torx bảo mật, đặc biệt là các vít giữ ổ cứng tại chỗ. Bằng cách đó, họ không thể cài đặt một hệ điều hành khác trên một ổ cứng khác, trao đổi ổ cứng, sau đó khởi động từ ổ cứng mới. Bất cứ ai cũng có thể mua trình điều khiển Torx bảo mật, nhưng nó sẽ làm chậm một người bình thường, những người có lẽ sẽ không có bất kỳ thứ gì trong hộp công cụ của họ.

Marco A.
nguồn
4

Có một vài máy tính Dell cần mật khẩu quản trị viên để khởi động từ bất cứ thứ gì khác ngoài Ổ cứng. Nhược điểm là nếu tháo pin CMOS trong 30 giây, thì chúng sẽ có thể bỏ qua mọi cài đặt BIOS được đặt trước đó vì tất cả đều được khôi phục hoàn toàn. Nhưng đó chỉ là 2 xu của tôi. Trừ khi người bạn đưa ra điều này thực sự biết rất nhiều về việc đặt lại BIOS chỉ để cài đặt Windows, sau đó không cung cấp cho họ một máy tính, nhưng nếu không, điều này có thể ngăn cài đặt thông thường.

paradd0x
nguồn
+1 Đây là câu trả lời đầu tiên tiếp cận giải pháp. Bạn có thêm thông tin về điều này?
DW
2
Đó là một tính năng BIOS thông thường, không có gì đặc biệt đối với các máy DELL. PC công ty thường có một khóa nhỏ vui nhộn để ngăn bạn tháo pin CMOS hoặc làm những việc khác (keylogger phần cứng, ...). Họ không chống lại lực lượng thuần túy, nhưng bạn sẽ nhận ra nó sau đó, nếu chúng bị phá vỡ.
người dùng không xác định
Tôi đã đề cập đến các máy Dell do kinh nghiệm của tôi khi sử dụng khóa BIOS trên chúng. Rõ ràng phải là một tính năng được sử dụng rộng rãi trong môi trường công ty.
paradd0x
2

Làm những gì hầu hết các công ty làm, khiến họ ký hợp đồng nói rằng bạn từ chối hỗ trợ nếu họ thay đổi hệ điều hành.

Andee
nguồn
Cảm ơn bạn cho hai xu của bạn. Người dùng cuối sẽ không cần nhiều hỗ trợ. Điều này sẽ không có bất kỳ ảnh hưởng.
DW
1

Đối với câu hỏi từ các ý kiến:

Liệu có cách nào để làm cho máy tính chết đi nếu nó không có kết nối internet trong vài ngày.

Có, có thể, nhưng chỉ trên cơ sở ngẫu nhiên, và dễ bị các vấn đề mạng.

Bạn có thể đặt tập lệnh vào phần init-script để kiểm tra internetaccess và thực hiện shutdownnếu không có quyền truy cập.

Các tập lệnh phức tạp hơn có thể ghi vào một giao thức hoặc truy cập một trang web dựa trên ngày.

Nếu người dùng có đặc quyền siêu người dùng, anh ta có thể phát hiện tập lệnh, xóa tập lệnh, tắt nó và thao tác bằng mọi cách.

Do đó, bạn phải tắt chế độ 'cứu' trong grub và vô hiệu hóa khả năng sửa đổi grub bằng cách gián đoạn khi khởi động.

Nếu người dùng gặp sự cố mạng ngẫu nhiên, máy có thể vô tình tắt máy.

người dùng không biết
nguồn
1
  • Đặt BIOS khởi động ổ đĩa cứng trước (loại bỏ khả năng khởi động từ USB / CD-ROM)
  • Đặt mật khẩu BIOS
  • Đảm bảo rằng người dùng HĐH không có đặc quyền quản trị viên (nghĩa là họ không thể bật CD cài đặt trong khi ở Windows / Linux và thực hiện việc đó từ đó).

Điều này sẽ cung cấp cho bạn mức độ bảo mật có vẻ như bạn đang theo đuổi.

Arne
nguồn
Bạn cũng cần làm cứng GRUB (2). Có thể bạn nhận ra rằng anh ấy bảo nó sẽ là một Ubuntu-PC với Windows ảo.
người dùng không xác định
Câu trả lời này tương tự như một superuser.com/questions/246234/ . Tôi sẽ tập trung vào cái đó bây giờ.
DW
0

Là một tùy chọn phần cứng, bạn có thể đi với một trường hợp máy tính an toàn. Tôi đã mua trường hợp này từ lâu (nó không còn nữa, nhưng cung cấp cho bạn một ý tưởng cho những gì bạn đang tìm kiếm). Nó có một cửa trước khóa và bảng điều khiển bên khóa (bảng điều khiển bên kia được gắn đinh tán, không tắt). Về cơ bản, nếu tất cả bị khóa, tất cả những gì bạn có thể truy cập là các đầu nối phía sau và một vài đầu nối bảng mặt trước (hai usb, một firewire400). Không có quyền truy cập vào các ổ đĩa, nút nguồn hoặc nút đặt lại. Tab khóa thực tế chỉ bằng nhựa, vì vậy tôi chắc chắn rằng nó có thể bị phá vỡ với lực đủ mạnh, nhưng bạn không tìm kiếm bảo mật cấp CIA ở đây. Nó là đủ để làm nản lòng họ.

Doug gần
nguồn
1
Chỉ cần cho bạn biết, FireWire cho phép truy cập DMA trực tiếp.
kinokijuf
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.