Comment empêcher Microsoft Windows de s'exécuter sur un PC [fermé]

3

Suggérer que j'ai un PC avec un BIOS avec les options couramment disponibles ou un UEFI. Existe-t-il un moyen de modifier les paramètres pour qu'aucun système Windows NT ne démarre plus (même pas Windows PE, y compris les DVD d'installation de Windows). Cela devrait être réalisé sans affecter les CD live GNU / Linux ni les systèmes GNU / Linux installés.

Merci pour vos réponses.

PS: C'est un peu une question idéaliste et j'espère que ce n'est pas hors sujet.

PPS: Je ne veux pas faire ça, c'est juste une question de preuve de concept.

FSMaxB
la source
2
Non, c'est une très mauvaise idée.
Frank Thomas
@FrankThomas Suggère que je veux donner à quelqu'un un ordinateur et le laisser pouvoir faire tout ce qu'il veut, mais pas pour installer Windows (pour ce faire, utilisez un mot de passe du BIOS).
FSMaxB
2
Tout comme je pense que c’est un mauvais MS qui essaie de rendre difficile l’exécution de Linux, je pense que c’est une mauvaise idée. Les utilisateurs devraient être autorisés à installer le logiciel de leur choix sur leur PC!
Brad Patton
6
vous pouvez protéger le bios par mot de passe, désactiver le démarrage à partir d'un support externe et mettre un cadenas sur le boîtier, mais au final, rappelez-vous, "L'accès physique est un accès root."
Frank Thomas
2
Tout ce que vous pouvez faire pour l'ordinateur, tout le monde peut annuler. Cela serait certainement possible pour le fabricant de matériel, mais aucun d’entre eux n’envisagerait de le faire. Votez jusqu'à la fin puisque vous ne devriez poser que des questions pratiques et répondant aux problèmes auxquels vous êtes confrontés . .
Dennis

Réponses:

3

Pour élaborer sur l'option n ° 1 de FSMaxB, j'ai écrit une page avec (principalement) des instructions étape par étape pour remplacer vos clés Secure Boot ici. Notez cependant que certains détails de ce qu'il faut sélectionner dans l'interface utilisateur du micrologiciel sont spécifiques au système. Il existe également d'autres moyens d'atteindre cet objectif. L'ajout de nouvelles clés (comme décrit ci-dessous) nécessitera des étapes non décrites sur cette page.

Cette approche permet de limiter les capacités de démarrage de l'ordinateur, mais va un peu trop loin en termes de configuration requise par FSMaxB. Plus précisément, cela empêche non seulement Windows de démarrer, mais également la plupart des Live CD Linux. Je peux penser à plusieurs façons de réduire ce problème, mais certaines d’entre elles sont maladroites et la plupart ne fonctionnent que sur des distributions compatibles avec Secure Boot:

  • Ajoutez les clés publiques des distributions aux clés de démarrage sécurisé de l'ordinateur et ajustez leurs processus de démarrage pour contourner shim et démarrer directement GRUB ou un autre chargeur de démarrage. Cela nécessite cependant de modifier les fichiers sur les CD live, ce qui est une tâche fastidieuse pour les utilisateurs finaux techniquement peu avertis.
  • Placez une copie de rEFInd sur le disque dur. Cela devrait permettre de rediriger le processus de démarrage vers GRUB sur un CD live, en contournant sa copie de shim. En théorie, cela devrait fonctionner pour tout ce qui utilise shim, à condition que la clé de la distribution soit dans la liste de clés de démarrage sécurisée que vous avez créée.
  • Placez une copie de rEFInd sur le disque dur, lancé via le PreBootloader de la Linux Foundation . Cela permettra aux utilisateurs d’ajouter au microprogramme des hachages pour n’importe quel chargeur de démarrage, ce qui leur permettra de lancer n’importe quelle version de Linux, même si son chargeur de démarrage et ses noyaux ne sont pas signés. Cela leur permettrait probablement aussi de démarrer Windows également, mais au moins ils devraient approuver explicitement cette action.
  • Placez une copie de rEFInd sur le disque dur, lancé via shim. Cela n’a aucun avantage par rapport à la configuration de base, sauf qu’il est plus facile pour les utilisateurs d’ajouter des clés (via la liste MOK de shim). Il est concevable que la présence de shim puisse aider avec certains chargeurs de démarrage.
  • Incluez dans la liste de clés que vous ajoutez à la liste Secure Boot la clé publique associée à celle utilisée par Microsoft pour signer les fichiers binaires tiers. Etant donné que Microsoft signe ses propres produits avec une clé différente, le microprogramme pourra lancer des outils tiers, tels que Ubuntu 12.10 ou Fedora 18, mais pas la version propre de Microsoft. Les produits tiers basés sur Windows, cependant, peuvent être signés avec la clé tierce Microsoft et sont donc lancés. Notez que certaines cartes plug-in ont un micrologiciel signé avec cette clé. Cette action peut donc être nécessaire pour utiliser le micrologiciel de ces cartes.

En ce qui concerne l'idée que c'est une mauvaise idée, je ne suis pas d'accord, à condition que le propriétaire de la machine veuille réellement le faire. À l'époque du DOS, il était courant que des ordinateurs soient infectés en démarrant accidentellement une disquette contenant un virus du secteur de démarrage. En principe, la même chose pourrait se produire aujourd'hui via une clé USB ou un CD-R. Fermer cette voie d’attaque, même si elle n’est pas courante aujourd’hui, en vaut la peine. Cela dit, je ne recommanderais pas de faire un cadeau ou de vendre un tel ordinateur sans expliquer clairement au destinataire ce qui lui a été fait et sans indiquer comment annuler les modifications, si vous le souhaitez.

Rod Smith
la source
6

J'ai posé cette question pour que les gens puissent s'amuser avec la discussion qui suit.

Lorsque je poste ce texte en guise de réponse, voici trois manières possibles d’atteindre cet objectif:

  1. Demander à UEFI Secure Boot de supprimer la clé Microsoft et d'ajouter les clés utilisées par les chargeurs de démarrage GNU / Linux (À partir du commentaire de Frank Thomas)
  2. Utiliser une architecture de processeur autre que ARM compatible avec x86 ou Windows 8 qui est prise en charge par le noyau linux (à compter de la réponse de winfreak).
  3. Utilisation d'un coreboot personnalisé ( http://www.coreboot.org ) empêchant Windows de démarrer.
FSMaxB
la source