Come eseguire in remoto un kill-switch su Windows 7?

10

Ho bisogno di eseguire da remoto un kill-switch su un computer Windows 7 Enterprise collegato a un annuncio. In particolare, ho bisogno di

  • accedere in remoto alla macchina senza l'interazione dell'utente visibile (ho un account di dominio che è amministratore sulla macchina)
  • fare in modo che la macchina non sia utilizzabile (si arresta in modo anomalo / riavvia e non si riavvia)
  • preservare il contenuto della macchina (essere in grado di documentare ciò che è stato modificato)

La macchina deve essere danneggiata a sufficienza in modo che la risoluzione dei problemi di base + non vada a buon fine e richieda di essere portata all'help desk aziendale.

Per anticipare i commenti: capisco che questo suona oscuro ma questa azione è richiesta, autorizzata e legale - in un ambiente aziendale.

Proveniente da un background Unix, non so cosa sia possibile in remoto su un computer Windows. Idealmente (e ancora, con uno sfondo unix in mente), vorrei guardare azioni come

  • cancellare l'MBR e forzare un riavvio
  • rimozione della chiave. dllche non verrebbero ripristinati automaticamente durante un avvio sicuro

MODIFICA i seguenti commenti: questo è un caso forense molto specifico che deve essere gestito in questo modo contorto.

windows  windows-7  remote-access  forensics 
dareils
fonte
4
Anche se non ho effettuato il downgrade, questo aspetto è un po 'ombroso. Non sarebbe più semplice andare lì e prendere il computer?
MichelZ,
3
Non hai descritto le circostanze che ti hanno portato a provare qualcosa del genere, che potrebbe aver portato al tuo voto negativo. Posso immaginare alcune cose che potrebbero giustificare qualcosa del genere, ma se descrivi effettivamente la situazione, potresti ottenere risposte migliori.
Michael Hampton,
6
Se questo è un caso forense, ti consiglio vivamente di non fare nulla di diverso che andare fisicamente lì e prendere la macchina. Tutto il resto è destinato a invalidare qualsiasi prova legale che potrebbe derivarne.
Massimo,
2
@frupfrup: nessuno sta andando fuori di testa qui; ma onestamente penso che, anche se vuoi davvero "rendere il sistema inutilizzabile", provare a cancellare C:\Windowsfarà solo casino, probabilmente senza nemmeno raggiungere l'obiettivo dichiarato; il blocco del boot manager è molto più sicuro, è annullabile e lascia intatto il sistema operativo effettivo (consentendo così l'analisi forense).
Massimo,
2
Massimo,

Risposte:

11

Non è necessario distruggere effettivamente la macchina; forzalo semplicemente a spegnere e bloccare l'utente.

  • Esegui shutdown /m <machinename> /f /t 0per forzare l'arresto di un computer.
  • Disabilita l'account utente di Active Directory per l'utente.
  • Disabilita l'account utente di Active Directory per il computer.

Assicurati di spegnere il computer prima di disabilitare il suo account, altrimenti verrai bloccato dalla gestione remota perché non sarà più in grado di autenticare nessuno contro il dominio, incluso te stesso.

Se l'utente ha anche un account utente locale sul computer di destinazione, è possibile disabilitarlo prima di eseguire i passaggi precedenti; puoi farlo avviando il MMC Gestione computer su qualsiasi altro computer come amministratore di dominio e collegandolo in remoto al computer che desideri gestire; da lì, puoi anche prendere qualsiasi altra misura necessaria per assicurarti che nessuno possa accedere al computer usando account utente locali (come disabilitarli o cambiare le loro password).

Nota a margine: se questo è per problemi legali / di conformità, questo è un motivo molto forte per non modificare o eliminare nulla sulla macchina; altrimenti l'utente potrebbe in seguito dire (forse correttamente) che la macchina è stata manomessa; inoltre, se elimini qualcosa sul filesystem, potresti perdere dati preziosi (chi può dire se l'utente ha archiviato file personali o applicazioni nelle cartelle di sistema?).

Massimo
fonte
Questo è totalmente corretto e un modo molto migliore. Ma l'OP ha detto che l'utente non dovrebbe prestare attenzione ... se non potesse più accedere, avrebbe notato ... La maggior parte degli utenti avrebbe quindi chiamare l'helpdesk e dire loro di sbloccare il proprio account ...
frupfrup
1
Se la macchina si blocca bruscamente, l'utente sicuramente noterà comunque ...
Massimo
Può impedire ad esempio l'avvio dell'utente da USB e aggiungere un account amministratore locale? (Non so nulla di Active Directory)
jingyu9575,
2
@ jingyu9575 Se l'utente è abbastanza esperto di tecnologia per modificare un database utenti offline, probabilmente reinstallare Windows da solo invece di portare la macchina all'help desk. Cosa stiamo esattamente cercando di realizzare qui?!?
Massimo,
Questi cambiamenti in realtà non lo fanno. Tutto quello che devono fare è avviare senza collegare il cavo di rete.
joshudson,
4

Come ho già detto più volte, se questo è un caso forense, ti consiglio vivamente di non fare nulla di diverso che andare fisicamente lì e prendere la macchina; manometterlo in alcun modo è tenuto a invalidare qualsiasi prova legale che potrebbe derivarne.

Detto questo, ci sono diversi modi per rendere la macchina non avviabile, danneggiandola il meno possibile, a seconda di come il sistema è effettivamente installato (le differenze principali sono se il sistema è basato su BIOS o UEFI e se viene utilizzata una partizione di avvio rispetto ai file di avvio memorizzati nella partizione di sistema); ecco alcune opzioni:

  • Elimina il contenuto della partizione di avvio e / o della partizione UEFI (generalmente nascosta ma è possibile montarla); o eliminare i file di avvio dalla partizione di sistema, se non è in uso alcuna partizione di avvio.
  • Elimina il file C:\bootmgr.
  • Modificare la configurazione del boot manager usando bcdedit.exe.
  • Modificare la tabella delle partizioni per non avere una partizione attiva.

E così via; pasticciare con il boot manager è di solito il modo migliore per rendere un sistema non avviabile, senza danneggiarlo. Ma poiché i moderni sistemi Windows hanno diversi possibili percorsi di avvio, non esiste un approccio universale (ad esempio un sistema UEFI non si basa affatto sull'MBR e non si preoccupa della partizione attiva, se presente).

Se si limita il proprio intervento all'avvio dei file, il sistema reale rimarrà intatto e si sarà in grado di recuperare tutto il suo contenuto (e anche di riavviarlo se si annulla il danno).

Massimo
fonte
3

Alcune domande:

  • C'è qualche motivo per cui hai bisogno di seguire una strada distruttiva?

Se sì, vai con la risposta di @frupfrup.

  • L'utente ha solo un accesso al dominio o ha anche un accesso locale?
  • Quanto velocemente deve avere effetto?

Un'altra cosa che potresti fare è causare un generico errore di accesso alla directory attiva. Prima disabilita gli accessi memorizzati nella cache su quella macchina, quindi disabilita o elimina l' account del computer nella directory attiva. Per far sembrare che il computer si adattasse, puoi fare un semplice get-process | stop-process -forcein una sessione remota PowerShell. O anche taskkill /im csrss.exe /fin un prompt dei comandi remoto, usando psexec o simili.

Quando "si arresta in modo anomalo", si riavvia e l'utente tenta di accedere, dovrebbe ottenere un tipo di errore "Questo computer non può essere autenticato rispetto al dominio", IIRC. Prima di tutto testerei tutto su qualcosa; Il problema di autenticazione potrebbe non avere effetto immediato o Windows potrebbe essere abbastanza intelligente da impedire l'esecuzione di tali comandi.

Neil
fonte
1

Ci sono molte cose che puoi fare per impedire all'utente di utilizzare il computer.

Tuttavia, nessuno di loro passerà inosservato dall'utente poiché tutti gli faranno chiamare l'Help Desk. Se ciò sta rendendo il dispositivo non avviabile, disabilitando il suo account, disabilitando l'account del computer in Active Directory o tutto quanto sopra.

Abbiamo problemi simili quando gli utenti remoti non si conformano e restituiscono un laptop che è stato sostituito ma continuano a usarlo (per pigrizia). Tuttavia, nel nostro caso è molto semplice poiché non stiamo provando a fare studi forensi. Remoto nel computer, elimina l'account dell'utente locale, rimuovi dal dominio ed elimina il computer da AD. Viola l'utente non può più utilizzarlo e non abbiamo reso completamente inutile il laptop.

Onestamente non conosco un modo per rendere un computer inutile per un utente senza che lo sappiano e / o che facciano chiamare l'Help Desk per renderlo operativo, ecc.

Jane Doe
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.