¿Cómo puedo dificultar la instalación de un nuevo sistema operativo en una computadora determinada?

Quiero alojar un sitio web en una computadora de escritorio que ejecute Ubuntu con una máquina virtual de Windows. Regalaré la computadora a cambio de varios meses de alojamiento web remoto. Quiero agregar algún tipo de bloqueo (hardware o de otro tipo) para que los usuarios finales tengan dificultades para volver a instalar Windows y usar la máquina como quieran, en contradicción con el contrato.

Idealmente, me gustaría que la máquina muriera si se intenta la reinstalación del sistema operativo. Que no tiene que ser completamente insuperables , pero tiene que ser lo suficientemente difícil evitar la reinstalación informal . Quizás en el arranque, el sistema puede verificar si existen ciertos archivos en la computadora y negarse a arrancar si no lo hacen. No sé si esto es posible, pero tal vez el BIOS está protegido con contraseña y busca archivos antes de arrancar. Los archivos que busca pueden ser sensibles a la fecha, es decir, requieren un reemplazo remoto en un horario.

Las únicas herramientas que tiene para evitar la instalación de un nuevo sistema operativo en el hardware estándar de una PC serían hacer algo como esto:

• Cierra el estuche. Use la ranura Kensington si su estuche tiene uno, de lo contrario, bloquéelo físicamente de alguna manera.

• Configure una contraseña de configuración del BIOS.

• Configure BIOS para arrancar solo desde el primer disco duro, para no arrancar ningún dispositivo USB externo, LAN o CD-ROM. Envíe la computadora sin un CD-ROM y / o disquete si es posible. Desconecte internamente o puertos USB epoxi.

• No estoy seguro de si puede configurar GRUB para que nunca arranque desde una unidad externa, pero si es posible, GRUB debe configurarse de esta manera.

• Seleccione buenas contraseñas de usuario y root.

Por supuesto, si abren físicamente el caso, no puede hacer mucho, pero esto debería evitar la reinstalación casual de otro sistema operativo.

Si le está dando a alguien acceso físico a una máquina, no hay nada que pueda hacer para detenerlo.

Es posible que desee reemplazar cualquier tornillo visible con Torx de seguridad, especialmente los tornillos que sostienen el disco duro en su lugar. De esa manera, no pueden instalar otro sistema operativo en un disco duro diferente, cambiar el disco duro y luego arrancar desde el nuevo disco duro. Cualquiera puede comprar controladores Torx de seguridad, pero ralentizará a una persona normal, que probablemente no tendrá ninguno en su caja de herramientas.

Hay algunas computadoras Dell que necesitan una contraseña de administrador para arrancar desde otra cosa que no sea el disco duro. La desventaja es que si se quita la batería CMOS durante 30 segundos, entonces podrían omitir cualquier configuración de BIOS establecida previamente, ya que todas están completamente restauradas. Pero eso es solo mis 2 centavos. A menos que la persona a la que le esté dando esto también sepa mucho sobre restablecer el BIOS solo para instalar Windows, entonces no le dé una computadora, pero de lo contrario, esto puede evitar una instalación casual.

Haga lo que la mayoría de las empresas hacen, haga que firmen un contrato diciendo que se niega a respaldarlo si cambian el sistema operativo.

A la pregunta de los comentarios:

Si hay una manera de hacer que una computadora muera si no tiene conexión a Internet durante unos días.

Sí, posible, pero solo de manera casual y vulnerable a problemas de red.

Puede poner una secuencia de comandos en la sección de secuencia de comandos de inicio, que verifica el acceso interno y hace un shutdownsi no hay acceso.

Los scripts más elaborados podrían escribir en un protocolo o acceder a un sitio web en función de la fecha.

Si el usuario tiene privilegios de superusuario, puede detectar el script, eliminarlo, desactivarlo y manipularlo de todas las formas.

Por lo tanto, debe deshabilitar el modo 'rescate' en grub y deshabilitar la posibilidad de modificar grub interrumpiendo el arranque.

Si el usuario encuentra problemas de red aleatorios, la máquina puede apagarse involuntariamente.

• Primero configure el BIOS para que arranque desde el disco duro (eso elimina la capacidad de arranque desde USB / CD-ROM)
• Establecer una contraseña de BIOS
• Asegúrese de que el usuario del sistema operativo no tenga privilegios de administrador (es decir, para que no pueda ingresar un CD de instalación mientras esté en Windows / Linux y hacerlo desde allí).

Esto debería darte el nivel de seguridad que parece que buscas.

Como opción de hardware, podría elegir una carcasa segura para computadora. Compré este estuche hace mucho tiempo (ya no está disponible, pero te da una idea de lo que estás buscando). Tiene una puerta frontal con cerradura y un panel lateral con cerradura (el otro panel lateral está remachado, no se desprende). Básicamente, si todo está bloqueado, todo lo que puede acceder son los conectores traseros y algunos conectores del panel frontal (dos usb, un firewire400). No hay acceso a las unidades, al botón de encendido ni al botón de reinicio. La pestaña de bloqueo real es solo de plástico, así que estoy seguro de que podría romperse con suficiente fuerza, pero no está buscando seguridad de grado CIA aquí. Debería ser suficiente para desanimarlos.