Como executar remotamente um kill-switch no Windows 7?

10

Preciso executar remotamente um interruptor de interrupção em um computador Windows 7 Enterprise conectado a um AD. Especificamente, eu preciso

  • acessar remotamente a máquina sem interação visível do usuário (eu tenho uma conta de domínio que é administrador na máquina)
  • faça com que a máquina não seja utilizável (trava / reinicia e não reinicia)
  • preservar o conteúdo da máquina (documentar o que foi alterado)

A máquina deve estar danificada o suficiente para que a solução de problemas básicos + falhe e exija que ela seja levada ao suporte técnico da empresa.

Para antecipar comentários: Entendo que isso parece obscuro, mas essa ação é necessária, autorizada e legal - dentro de um ambiente corporativo.

Vindo de um plano de fundo Unix, não sei o que é viável remotamente em uma máquina Windows. Idealmente (e de novo, com um background unix em mente), eu estaria olhando para ações como

  • apagando o MBR e forçando uma reinicialização
  • chave de remoção. dlls que não seriam recuperados automaticamente durante uma inicialização segura

EDITAR comentários a seguir: esse é um caso forense muito específico que precisa ser tratado dessa maneira complicada.

dareils
fonte
4
Embora eu não tenha diminuído o voto, isso parece um pouco sombrio. Não seria mais fácil ir lá e pegar o computador?
MichelZ
3
Você não descreveu as circunstâncias que o levaram a tentar algo assim, o que pode ter levado ao seu voto negativo. Posso imaginar algumas coisas que poderiam justificar algo assim, mas se você realmente descrever a situação, poderá obter melhores respostas.
Michael Hampton
6
Se este é um caso forense, I fortemente aconselhar contra fazer qualquer coisa diferente do que fisicamente de ir lá e pegar a máquina. Todo o resto é obrigado a invalidar qualquer prova legal que possa vir dele.
Massimo
2
@frupfrup: ninguém está pirando aqui; mas sinceramente acho que, mesmo se você realmente quiser "vamos tornar o sistema inutilizável", tentar excluir C:\Windowssó fará uma bagunça, possivelmente sem sequer atingir o objetivo declarado; bloquear o gerenciador de inicialização é muito mais seguro, pode ser desfeito e deixará o sistema operacional real intocado (permitindo análise forense).
Massimo

Respostas:

11

Você não precisa realmente destruir a máquina; basta forçá-lo a desligar e bloquear o usuário.

  • Execute shutdown /m <machinename> /f /t 0para forçar o desligamento do computador.
  • Desabilite a conta de usuário do Active Directory para o usuário.
  • Desabilite a conta de usuário do Active Directory para o computador.

Apenas desligue o computador antes de desabilitar sua conta; caso contrário, você ficará bloqueado do gerenciamento remoto, pois ele não poderá mais autenticar ninguém no domínio, inclusive você.

Se o usuário também tiver uma conta de usuário local no computador de destino, você poderá desativá-la antes de executar as etapas acima; você pode fazer isso iniciando o MMC de gerenciamento do computador em qualquer outro computador como administrador de domínio e conectando-o remotamente ao computador que deseja gerenciar; a partir daí, você também pode executar outras etapas necessárias para garantir que ninguém possa fazer login na máquina usando contas de usuário local (como desativá-las ou alterar suas senhas).


Nota lateral: se for por questões legais / de conformidade, esse é um motivo muito forte para não alterar ou excluir nada na máquina; caso contrário, o usuário poderá dizer mais tarde (talvez corretamente) que a máquina foi violada; Além disso, se você excluir qualquer coisa no sistema de arquivos, poderá perder dados valiosos (quem pode saber se o usuário armazenou arquivos ou aplicativos pessoais nas pastas do sistema?).

Massimo
fonte
Isso é totalmente correto e é uma maneira muito melhor. Mas o OP disse que o usuário não deve prestar atenção ... se não puder mais fazer login, ele notará ... A maioria dos usuários
ligará para o suporte técnico
1
Se a máquina travar abruptamente, o usuário definitivamente perceberá ...
Massimo
Pode impedir, por exemplo, a inicialização do usuário a partir do USB e adicionar uma conta de administrador local? (Eu não sei nada sobre o Active Directory)
jingyu9575 27/11
2
@ jingyu9575 Se o usuário tiver conhecimento técnico suficiente para editar um banco de dados de usuários offline, provavelmente reinstalará o Windows por conta própria, em vez de levar a máquina ao suporte técnico. O que exatamente estamos tentando realizar aqui?!?
Massimo
Essas mudanças realmente não fazem isso. Tudo o que eles precisam fazer é inicializar sem conectar o cabo de rede.
Joshudson 27/11/2015
4

Como eu já disse várias vezes, se este é um caso forense I fortemente aconselhar contra fazer diferente nada do que fisicamente de ir lá e pegar a máquina; adulterá-lo de qualquer forma pode invalidar qualquer prova legal que possa vir dele.


Dito isto, existem várias maneiras de tornar uma máquina não inicializável e danificá-la o menos possível, dependendo de como o sistema está realmente instalado (as principais diferenças são se o sistema for baseado em BIOS ou UEFI e se uma partição de inicialização for usada vs. arquivos de inicialização armazenados na partição do sistema); aqui estão algumas opções:

  • Exclua o conteúdo da partição de inicialização e / ou partição UEFI (geralmente oculta, mas você pode montá-la); ou exclua os arquivos de inicialização da partição do sistema, se nenhuma partição de inicialização estiver em uso.
  • Excluir o arquivo C:\bootmgr.
  • Altere a configuração do gerenciador de inicialização usando bcdedit.exe.
  • Altere a tabela de partições para não ter uma partição ativa.

E assim por diante; mexer com o gerenciador de inicialização geralmente é a melhor maneira de tornar um sistema não inicializável, sem danificá-lo. Mas como os sistemas Windows modernos têm várias vias de inicialização possíveis, não existe uma abordagem universal (por exemplo, um sistema UEFI não depende do MBR e não se importa com a partição ativa, se houver).

Se você limitar sua intervenção aos arquivos de inicialização, o sistema real permanecerá intocado e você poderá recuperar todo o seu conteúdo (e até inicializá-lo novamente se você desfazer o dano).

Massimo
fonte
3

Algumas questões:

  • Existe alguma razão para você precisar seguir uma rota destrutiva?

Se sim, vá com a resposta de @ frupfrup.

  • O usuário tem apenas um logon de domínio ou também tem um logon local?
  • Com que rapidez isso precisa entrar em vigor?

Outra coisa que você pode fazer é causar um erro genérico de login no diretório ativo. Primeiro desabilite os logins em cache na máquina e, em seguida, desabilite ou exclua a conta do computador no diretório ativo. Para fazer parecer que o computador tinha um encaixe, você poderia fazer um simples get-process | stop-process -forceem uma sessão remota do PowerShell. Ou mesmo taskkill /im csrss.exe /fem um prompt de comando remoto, usando psexec ou similar.

Quando ele "falha" e reinicia, e o usuário tenta fazer login, ele deve obter o tipo de erro "Este computador não pôde ser autenticado no domínio", IIRC. Eu testaria tudo isso primeiro em algo; O problema de autenticação pode não ter efeito imediato ou o Windows pode ser inteligente o suficiente para impedir que você execute esses comandos.

Neil
fonte
1

Há muitas coisas que você pode fazer para impedir que o usuário use o computador.

No entanto, nenhum deles passará despercebido pelo usuário, pois todos farão com que ele ligue para o Suporte Técnico. Se isso está tornando o dispositivo não inicializável, desabilitando sua conta, desabilitando a Conta de Computador no AD ou todas as opções acima.

Temos problemas semelhantes quando usuários remotos não cumprem e retornam um laptop que foi substituído, mas continuam a usá-lo (por preguiça). No entanto, no nosso caso, é muito simples, pois não estamos tentando fazer nenhuma perícia. Remoto para o computador, exclua a conta do usuário local, remova do domínio e exclua o computador do AD. Viola, o usuário não pode mais usar e não tornamos totalmente inútil o laptop.

Sinceramente, não conheço uma maneira de tornar um computador inútil para um usuário sem que ele saiba e / ou faça com que ele ligue para o Suporte Técnico para operá-lo, etc.

Jane Doe
fonte