Como posso dificultar a instalação de um novo sistema operacional em um determinado computador?

Quero hospedar um site em um computador desktop executando o Ubuntu com uma máquina virtual Windows. Eu entregarei o computador em troca de vários meses de hospedagem remota na web. Quero adicionar algum tipo de bloqueio (hardware ou outro) para que os usuários finais tenham dificuldade em reinstalar o Windows e usar a máquina como desejarem, em contradição com o contrato.

Idealmente, eu gostaria que a máquina morresse se tentasse reinstalar o sistema operacional. Ele não tem que ser completamente intransponível , mas ele tem que ser difícil o suficiente para impedir a reinstalação ocasional . Talvez na inicialização o sistema possa verificar se existem certos arquivos no computador e recusar a inicialização, se não existirem. Não sei se isso é possível, mas talvez o BIOS esteja protegido por senha e procure arquivos antes da inicialização. Os arquivos que ele procura podem ser sensíveis à data, ou seja, requerem substituição remota em um agendamento.

As únicas ferramentas que você tem para impedir a instalação de um novo sistema operacional no hardware padrão do PC seriam:

• Tranque o estojo. Use o slot Kensington se o seu gabinete tiver um, caso contrário, bloqueie-o fisicamente de alguma forma.

• Configure uma senha de configuração do BIOS.

• Configure o BIOS para inicializar somente no primeiro disco rígido, para não inicializar nenhum dispositivo USB externo, LAN ou CD-ROM. Envie o computador sem um CD-ROM e / ou disquete, se possível. Desconecte internamente ou portas USB epóxi.

• Não tenho certeza se você pode configurar o GRUB para nunca inicializar a partir de uma unidade externa, mas se for possível, o GRUB deve ser configurado dessa maneira.

• Selecione boas senhas de raiz e usuário.

Obviamente, se eles abrirem o gabinete fisicamente, você não poderá fazer muito, mas isso deve impedir a reinstalação casual de outro sistema operacional.

Se você estiver dando acesso físico a uma máquina, não há nada que você possa fazer para detê-la.

Você pode substituir qualquer parafuso visível pelo Torx de segurança, especialmente os parafusos que mantêm o disco rígido no lugar. Dessa forma, eles não podem instalar outro sistema operacional em um disco rígido diferente, trocar o disco rígido e inicializar a partir do novo disco rígido. Qualquer um pode comprar drivers Torx de segurança, mas isso desacelera uma pessoa normal, que provavelmente não terá nenhum em sua caixa de ferramentas.

Existem alguns computadores Dell que precisam de uma senha de administrador para inicializar a partir de qualquer coisa que não seja o disco rígido. A desvantagem é que, se a bateria do CMOS for removida por 30 segundos, eles poderão ignorar quaisquer configurações do BIOS definidas anteriormente, pois serão completamente restauradas. Mas esses são apenas meus 2 centavos. A menos que a pessoa que você está dando isso também saiba muito sobre a redefinição do BIOS apenas para instalar o Windows, não forneça um computador para ela; caso contrário, isso pode impedir a instalação casual.

Faça o que a maioria das empresas faz, faça-as assinar um contrato dizendo que você se recusa a apoiá-lo se elas mudarem o sistema operacional.

Para a pergunta dos comentários:

Se existe uma maneira de fazer um computador morrer, se ele não conseguir conexão com a Internet por alguns dias.

Sim, possível, mas apenas ocasionalmente, e vulnerável a problemas de rede.

Você pode colocar um script na seção init-script, que verifica o acesso à Internet e faz um shutdownse não houver acesso.

Scripts mais elaborados podem gravar em um protocolo ou acessar um site com base na data.

Se o usuário tiver privilégios de superusuário, ele poderá detectar o script, removê-lo, desativá-lo e manipulá-lo de todas as maneiras.

Portanto, você precisa desativar o modo 'rescue' no grub e desativar a possibilidade de modificar o grub interrompendo a inicialização.

Se o usuário encontrar problemas aleatórios na rede, a máquina poderá desligar sem querer.

• Defina o BIOS para inicializar primeiro o disco rígido (que remove a capacidade de inicializar do USB / CD-ROM)
• Defina uma senha do BIOS
• Verifique se o usuário do sistema operacional não possui privilégios de administrador (ou seja, para que eles não possam entrar em um CD de instalação no Windows / Linux e fazê-lo a partir daí).

Isso deve fornecer o nível de segurança que você procura.

Como opção de hardware, você poderia usar um gabinete de computador seguro. Comprei este estojo há muito tempo (ele não está mais disponível, mas dá uma idéia do que você está procurando). Possui uma porta frontal com trava e um painel lateral com trava (o outro lado é rebitado e não sai). Basicamente, se estiver tudo bloqueado, tudo o que você pode acessar são os conectores traseiros e alguns conectores do painel frontal (dois usb, um firewire400). Não há acesso às unidades, botão liga / desliga ou botão redefinir. A lingüeta de travamento real é apenas de plástico, por isso tenho certeza de que ela pode ser quebrada com força suficiente, mas você não está procurando segurança de nível CIA aqui. Deve ser o suficiente para desencorajá-los.