Come posso rendere difficile l'installazione di un nuovo sistema operativo su un determinato computer?

Voglio ospitare un sito Web su un computer desktop che esegue Ubuntu con una macchina virtuale Windows. Darò via il computer in cambio di un numero di mesi di web hosting remoto. Voglio aggiungere una sorta di blocco (hardware o altro) in modo che gli utenti finali abbiano difficoltà a reinstallare Windows e utilizzare la macchina come vogliono, in contraddizione con il contratto.

Idealmente, vorrei che la macchina morisse se si tentava la reinstallazione del sistema operativo. Essa non deve essere del tutto insormontabili , ma deve essere abbastanza difficile evitare la reinstallazione casuale . Forse all'avvio il sistema può verificare se esistono determinati file sul computer e rifiutare di avviarsi in caso contrario. Non so se questo sia possibile, ma forse il BIOS è protetto da password e cerca i file prima dell'avvio. I file che cerca potrebbero essere sensibili alla data, cioè richiedere la sostituzione remota in base a una pianificazione.

Gli unici strumenti che hai per impedire l'installazione di un nuovo sistema operativo su hardware PC standard sarebbero fare qualcosa del genere:

• Chiudi la custodia. Usa lo slot Kensington se ne hai uno, altrimenti bloccalo fisicamente in qualche modo.

• Configurare una password di configurazione del BIOS.

• Configurare il BIOS per l'avvio solo dal primo disco rigido, per non avviare alcun dispositivo USB esterno, LAN o CD-ROM. Spedire il computer senza un CD-ROM e / o floppy, se possibile. Scollegare internamente o porte USB epossidiche.

• Non sono sicuro che sia possibile configurare GRUB in modo che non si avvii mai da un'unità esterna, ma se è possibile, GRUB dovrebbe essere configurato in questo modo.

• Seleziona le password utente e root valide.

Naturalmente, se aprono fisicamente il case, non puoi fare molto, ma questo dovrebbe impedire la reinstallazione casuale di un altro sistema operativo.

Se stai dando a qualcuno l'accesso fisico a una macchina, non c'è niente che puoi fare per fermarlo.

Si consiglia di sostituire eventuali viti visibili con Torx di sicurezza, in particolare le viti che fissano il disco rigido in posizione. In questo modo non possono installare un altro sistema operativo su un altro disco rigido, scambiare il disco rigido, quindi avviare dal nuovo disco rigido. Chiunque può acquistare i driver Torx di sicurezza, ma rallenterà una persona normale, che probabilmente non ne avrà nessuno nella sua cassetta degli attrezzi.

Esistono alcuni computer Dell che necessitano di una password dell'amministratore per l'avvio da qualcosa di diverso dal disco rigido. Il rovescio della medaglia è che se la batteria CMOS viene rimossa per 30 secondi, sarebbero quindi in grado di bypassare qualsiasi impostazione BIOS precedentemente impostata in quanto sono completamente ripristinati. Ma sono solo i miei 2 centesimi. A meno che la persona a cui stai dando questo non sappia davvero molto sul ripristino del BIOS solo per installare Windows, quindi non dare loro un computer, ma in caso contrario, ciò può impedire l'installazione casuale.

Fai quello che fanno la maggior parte delle aziende, falli firmare un contratto dicendo che ti rifiuti di supportarlo se cambiano il sistema operativo.

Alla domanda dai commenti:

Se esiste un modo per far morire un computer se non ottiene la connessione a Internet per alcuni giorni.

Sì, possibile, ma solo su base casuale e vulnerabile a problemi di rete.

È possibile inserire uno script nella sezione init-script, che verifica l'accesso a Internet, e fa un shutdownse non vi è accesso.

Script più elaborati potrebbero scrivere su un protocollo o accedere a un sito Web in base alla data.

Se l'utente dispone dei privilegi di superutente, potrebbe rilevare lo script, rimuoverlo, disattivarlo e manipolarlo in tutti i modi.

Pertanto è necessario disabilitare la modalità 'rescue' in grub e disabilitare la possibilità di modificare grub interrompendo l'avvio.

Se l'utente riscontra problemi di rete casuali, la macchina potrebbe spegnersi involontariamente.

• Impostare prima il BIOS per l'avvio dal disco rigido (che rimuove la possibilità di avviare da USB / CD-ROM)
• Imposta una password del BIOS
• Assicurati che l'utente del sistema operativo non disponga dei privilegi di amministratore (ovvero che non possa essere inserito in un CD di installazione in Windows / Linux e farlo da lì).

Questo dovrebbe darti il ​​livello di sicurezza che sembra tu stia cercando.

Come opzione hardware, potresti scegliere una custodia per computer sicura. Ho acquistato questo caso anni fa (non è più disponibile, ma ti dà un'idea per quello che stai cercando). Ha una porta anteriore bloccabile e un pannello laterale di chiusura (l'altro pannello laterale è rivettato, non si stacca). Fondamentalmente, se è tutto bloccato, tutto ciò a cui puoi accedere sono i connettori posteriori e alcuni connettori del pannello frontale (due usb, uno firewire400). Non è possibile accedere alle unità, al pulsante di accensione o al pulsante di ripristino. L'attuale linguetta di blocco è solo di plastica, quindi sono sicuro che potrebbe essere rotto con una forza sufficiente, ma non stai cercando sicurezza di livello CIA qui. Dovrebbe essere sufficiente per scoraggiarli.