我遇到过这样的问题:有人绕过强密码保护非法访问实验室计算机。
我大学 VLSI 实验室的几台计算机都安装了 Windows 7 HE。有些是双启动计算机,安装了 Fedora 或 Ubuntu。所有 Windows 计算机都有按部门划分的用户帐户,而 Fedora/Ubuntu 帐户则对所有人开放。所有计算机都连接到本地 LAN,并可以访问互联网。
最近,我发现有些人正在访问管理员帐户并进行未经授权的更改/下载/安装。一些基本研究表明韓國可能是罪魁祸首。管理员查看了日志并找到了一些罪魁祸首 - 但这总是事后才采取的行动。
我还发现一些有进取心的人使用 Live CD 来代替实用程序和命令执行程序,在登录时获得 root 访问权限并使用替换管理员密码网络用户命令。
大多数(但不是全部)肇事者都会被抓获,但都是在造成损害之后。
我的问题是,我该如何阻止这些人,而不删除操作系统、不禁止物理媒体或不开始搜查?
预防措施是最好的。不过,如果可能的话,我也会采取实时检测。
答案1
你真的不需要。物理访问权 == root。
您可以通过保护 BIOS/UEFI 访问和禁用 USB/光学媒体启动来使事情变得更加困难,具体取决于您的硬件。剩下的就是 Linux 方面。如果您允许用户在 Linux 启动时拥有 root 权限,那么您就完蛋了 - root 意味着 ROOT,所以如果他们想挂载您的 ntfs 分区并进行一些方便的编辑,实际上没有任何方法可以阻止他们。
当然,如果您没有在 Linux 端授予他们根权限,那么也没问题 - 您需要根访问权限才能挂载 ntfs 分区。
答案2
设置比特锁。全盘加密将使他们很难/不可能在不破坏整个系统的情况下更改任何东西。
不过,您需要具有 TPM 的系统才能实现透明操作模式。您需要使用 TPM 来最大程度地降低对用户体验的影响。您还需要升级到支持 Bitlocker 的 Windows 版本。