мы сокращаем нашу организацию и закрываем несколько магазинов. Это может показаться злонамеренным, но на самом деле подразумевает полное удаленное уничтожение данных оборудования компании. Моей команде было поручено удаленное уничтожение всех данных, включая операционные системы Windows 7, так что вообще ничего нельзя восстановить. У меня есть полный административный доступ ко всей инфраструктуре. Существуют сотни удаленных регистров во многих географических точках, посещение объектов, размагничивание и удаленные руки не являются возможными решениями. Это должно быть удаленное развертывание, удаленные сценарии в порядке. Юридический отдел хочет, чтобы все данные, включая операционные системы Windows 7, были уничтожены, прежде чем третьи стороны отправят компьютеры обратно в штаб-квартиру. Я не хочу просто удалять данные или операционную систему (удаляя библиотеки DLL Windows или базы данных), поскольку эти данные все еще можно восстановить. Я не хочу блокировать компьютер, так как диск можно удалить и добавить к рабочему компьютеру для восстановления данных. Мне нужно замуровать это оборудование. Мы, конечно, можем заплатить за инструменты, но лучше использовать удаленный fdisk или, возможно, PowerShell. После этого я могу создать сценарий для удаления листовых объектов из активного каталога.
На самом деле это звучит как "чертовски весело" (и я почти предлагаю сделать это за вас), но на самом деле это плохая идея. Удаленная проверка того, что очистка действительно сработала, в лучшем случае ненадежна. Без физической защиты оборудования вы рискуете. Было бы лучше нанять местного переработчика компьютеров, который предоставит вам договорную гарантию, что диски были очищены, или отправит диски вам обратно.
Сказав это, давайте перейдем к самому интересному.
PXE или USB-загрузка машин, как предлагали другие, упростят задачу, но невозможно сделать иначе. Все, что вам нужно сделать, это удаленно установить другую операционную систему. Это проще с чем-то вроде SCCM, но вы тоже можете сделать это самостоятельно с помощью сценариев.
Я бы начал с создания индивидуальной установки на жесткий диск SystemRescueCD Дистрибутив Linux. У него уже есть nwipe ластик диска включены. Вам просто нужно создать сценарий для его автоматического запуска при загрузке SystemRescueCD.
Я бы также добавил несколько битов в «домашний телефон» на центральный сервер, чтобы загрузить отчет после очистки, содержащий серийный номер компьютера, серийный номер жесткого диска, MAC-адрес и т. Д., А также результат команды «nwipe». Вероятно, имеет смысл сначала зарегистрироваться на сервере и, если он недоступен, снова загрузиться в стандартную среду Windows. Таким образом, вы не протираете машины без записи. Также имеет смысл проверить наличие флага «Эй, пока не начинайте стирать» на центральном сервере, который заставляет машины «звонить домой», но загружаться обратно в Windows в обычном режиме. Таким образом, вы можете проверить успешность развертывания до «нажатия кнопки».
Все, что осталось после этого, - это обильное тестирование и создание сценария установки в качестве сценария запуска для назначения через групповую политику или удаленного запуска через что-то вроде PSExec. Я бы лично выбрал путь сценария запуска. Поместите компьютер в нужное подразделение или группу объявлений, и он получит виртуальный дробовик, привязанный ко лбу!
По общему признанию, многое из этого оставлено читателю в качестве упражнения. Никто не должен строить эту штуку. Было бы очень весело создать эту устрашающую «систему самоуничтожения сети», но вы можете представить себе все виды ужасных злонамеренных применений для этой штуки. Замените nwipe на инструмент шифрования, и у вас есть программа-вымогатель. Вероятно, не самая лучшая идея делать инструмент «Мой первый раз разрушить инфраструктуру настольных ПК всего предприятия в Playschool».
Помимо загрузки PXE или использования USB со специальным дистрибутивом Linux для уничтожения данных на дисках, лучший вариант, который приходит мне в голову, - это зашифровать все диски с помощью BitLocker или другого инструмента шифрования полного диска, а затем отказаться от ключей, используемых для разблокировки эти диски.