Назад | Перейти на главную страницу

Как удаленно выполнить kill-switch в Windows 7?

Мне нужно удаленно выполнить аварийное отключение на компьютере с Windows 7 Enterprise, подключенном к AD. В частности, мне нужно

Машина должна быть повреждена настолько, чтобы не удалось выполнить базовый + поиск и устранение неисправностей, и ее необходимо доставить в службу поддержки компании.

Чтобы предвидеть комментарии: я понимаю, что это звучит сомнительно, но это действие требуется, санкционировано и законно - в корпоративной среде.

Исходя из опыта работы с Unix, я не знаю, что возможно сделать удаленно на машине с Windows. В идеале (и снова, имея в виду unix-фон) я бы смотрел на такие действия, как

ИЗМЕНИТЬ следующие комментарии: это очень конкретный судебно-медицинский случай, который необходимо обрабатывать таким запутанным способом.

Вам не нужно фактически уничтожать машину; просто заставьте его выключиться и заблокировать пользователя.

  • Бегать shutdown /m <machinename> /f /t 0 для принудительного выключения компьютера.
  • Отключите учетную запись пользователя Active Directory для пользователя.
  • Отключите учетную запись пользователя Active Directory для компьютера.

Просто не забудьте выключить компьютер перед отключение его учетной записи, иначе вы будете заблокированы от удаленного управления, потому что он больше не сможет аутентифицироваться кто угодно против домена, включая себя.

Если у пользователя также есть локальная учетная запись пользователя на целевом компьютере, вы можете отключить ее перед выполнением вышеуказанных шагов; вы можете сделать это, запустив MMC управления компьютером на любом другом компьютере в качестве администратора домена и подключив его удаленно к компьютеру, которым вы хотите управлять; оттуда вы также можете предпринять любые другие необходимые шаги, чтобы убедиться, что никто не может войти в систему с использованием локальных учетных записей пользователей (например, отключить их или изменить их пароли).

Боковое примечание: если это касается юридических вопросов / вопросов соответствия, это очень веская причина ничего не менять и не удалять на автомате; иначе пользователь мог бы позже сказать (возможно, правильно), что машина была взломана; Кроме того, если вы удалите что-либо в файловой системе, вы можете потерять ценные данные (кто может сказать, сохранил ли пользователь личные файлы или приложения в системных папках?).

Как я уже говорил несколько раз, если это дело судебной экспертизы, я сильно посоветуйте вам не делать ничего, кроме как физически идти туда и забирать машину; вмешиваться в это в любой way обречён на аннулирование любых юридических доказательств, которые могут быть получены из него.

Тем не менее, есть несколько способов сделать компьютер не загружаемым, повредив его как можно меньше, в зависимости от того, как фактически установлена ​​система (основные различия заключаются в том, что система основана на BIOS или UEFI и используется ли загрузочный раздел. по сравнению с загрузочными файлами, хранящимися в системном разделе); вот несколько вариантов:

  • Удалите содержимое загрузочного раздела и / или раздела UEFI (обычно скрытого, но его можно смонтировать); или удалите загрузочные файлы из системного раздела, если загрузочный раздел не используется.
  • Удалить файл C:\bootmgr.
  • Измените конфигурацию диспетчера загрузки с помощью bcdedit.exe.
  • Измените таблицу разделов, чтобы не было активного раздела.

И так далее; возня с менеджером загрузки обычно лучший способ сделать систему незагружаемой, но не повредить ее. Но поскольку современные системы Windows имеют несколько возможных путей загрузки, универсального подхода не существует (например, система UEFI вообще не полагается на MBR и просто не заботится об активном разделе, если таковой имеется).

Если вы ограничите свое вмешательство загрузочными файлами, реальная система останется нетронутой, и вы сможете восстановить все ее содержимое (и даже загрузить ее снова, если вы устраните повреждение).

Несколько вопросов:

  • Есть ли причина, по которой вам нужно идти разрушительным путем?

Если да, перейдите к ответу @frupfrup.

  • У пользователя есть только вход в домен или он также локальный?
  • Как быстро это должно вступить в силу?

Еще вы можете сделать общую ошибку входа в активный каталог. Сначала отключите кешированные учетные записи на этом компьютере, затем отключите или удалите компьютер аккаунт в активном каталоге. Чтобы все выглядело так, как будто компьютер подошел, можно сделать простой get-process | stop-process -force в удаленном сеансе PowerShell. Или даже taskkill /im csrss.exe /f в удаленной командной строке, используя psexec или аналогичный.

Когда он «вылетает», затем перезагружается и пользователь пытается войти в систему, он должен получить несколько типичную ошибку типа «Этот компьютер не может быть аутентифицирован в домене», IIRC. Я бы сначала на чем-нибудь все это проверил; Проблема аутентификации может не сработать сразу, или окна могут быть достаточно умными, чтобы помешать вам выполнить эти команды.

Вы можете сделать множество вещей, чтобы предотвратить использование компьютера пользователем.

Однако ни один из них не останется незамеченным пользователем, поскольку все они заставят его позвонить в службу поддержки. Делает ли это устройство незагружаемым, отключает его учетную запись, отключает учетную запись компьютера в AD или все вышеперечисленное.

У нас возникают аналогичные проблемы, когда удаленные пользователи не соблюдают правила и не возвращают замененный ноутбук, но продолжают его использовать (из-за лени). Однако в нашем случае это очень просто, поскольку мы не пытаемся проводить экспертизу. Удаленный доступ к компьютеру, удалите учетную запись локального пользователя, удалите из домена и удалите компьютер из AD. Виола пользователь больше не может пользоваться, и мы еще не сделали ноутбук бесполезным.

Я, честно говоря, не знаю, как сделать компьютер бесполезным для пользователя, чтобы он не знал об этом и / или не позвонил в службу поддержки, чтобы он заработал и т. Д.