Preciso executar remotamente um interruptor de interrupção em um computador Windows 7 Enterprise conectado a um AD. Especificamente, eu preciso
- acessar remotamente a máquina sem interação visível do usuário (eu tenho uma conta de domínio que é administrador na máquina)
- faça com que a máquina não seja utilizável (trava / reinicia e não reinicia)
- preservar o conteúdo da máquina (documentar o que foi alterado)
A máquina deve estar danificada o suficiente para que a solução de problemas básicos + falhe e exija que ela seja levada ao suporte técnico da empresa.
Para antecipar comentários: Entendo que isso parece obscuro, mas essa ação é necessária, autorizada e legal - dentro de um ambiente corporativo.
Vindo de um plano de fundo Unix, não sei o que é viável remotamente em uma máquina Windows. Idealmente (e de novo, com um background unix em mente), eu estaria olhando para ações como
- apagando o MBR e forçando uma reinicialização
- chave de remoção.
dlls que não seriam recuperados automaticamente durante uma inicialização segura
EDITAR comentários a seguir: esse é um caso forense muito específico que precisa ser tratado dessa maneira complicada.
windows
windows-7
remote-access
forensics
dareils
fonte
fonte
C:\Windowssó fará uma bagunça, possivelmente sem sequer atingir o objetivo declarado; bloquear o gerenciador de inicialização é muito mais seguro, pode ser desfeito e deixará o sistema operacional real intocado (permitindo análise forense).Respostas:
Você não precisa realmente destruir a máquina; basta forçá-lo a desligar e bloquear o usuário.
shutdown /m <machinename> /f /t 0para forçar o desligamento do computador.Apenas desligue o computador antes de desabilitar sua conta; caso contrário, você ficará bloqueado do gerenciamento remoto, pois ele não poderá mais autenticar ninguém no domínio, inclusive você.
Se o usuário também tiver uma conta de usuário local no computador de destino, você poderá desativá-la antes de executar as etapas acima; você pode fazer isso iniciando o MMC de gerenciamento do computador em qualquer outro computador como administrador de domínio e conectando-o remotamente ao computador que deseja gerenciar; a partir daí, você também pode executar outras etapas necessárias para garantir que ninguém possa fazer login na máquina usando contas de usuário local (como desativá-las ou alterar suas senhas).
Nota lateral: se for por questões legais / de conformidade, esse é um motivo muito forte para não alterar ou excluir nada na máquina; caso contrário, o usuário poderá dizer mais tarde (talvez corretamente) que a máquina foi violada; Além disso, se você excluir qualquer coisa no sistema de arquivos, poderá perder dados valiosos (quem pode saber se o usuário armazenou arquivos ou aplicativos pessoais nas pastas do sistema?).
fonte
Como eu já disse várias vezes, se este é um caso forense I fortemente aconselhar contra fazer diferente nada do que fisicamente de ir lá e pegar a máquina; adulterá-lo de qualquer forma pode invalidar qualquer prova legal que possa vir dele.
Dito isto, existem várias maneiras de tornar uma máquina não inicializável e danificá-la o menos possível, dependendo de como o sistema está realmente instalado (as principais diferenças são se o sistema for baseado em BIOS ou UEFI e se uma partição de inicialização for usada vs. arquivos de inicialização armazenados na partição do sistema); aqui estão algumas opções:
C:\bootmgr.bcdedit.exe.E assim por diante; mexer com o gerenciador de inicialização geralmente é a melhor maneira de tornar um sistema não inicializável, sem danificá-lo. Mas como os sistemas Windows modernos têm várias vias de inicialização possíveis, não existe uma abordagem universal (por exemplo, um sistema UEFI não depende do MBR e não se importa com a partição ativa, se houver).
Se você limitar sua intervenção aos arquivos de inicialização, o sistema real permanecerá intocado e você poderá recuperar todo o seu conteúdo (e até inicializá-lo novamente se você desfazer o dano).
fonte
Algumas questões:
Se sim, vá com a resposta de @ frupfrup.
Outra coisa que você pode fazer é causar um erro genérico de login no diretório ativo. Primeiro desabilite os logins em cache na máquina e, em seguida, desabilite ou exclua a conta do computador no diretório ativo. Para fazer parecer que o computador tinha um encaixe, você poderia fazer um simples
get-process | stop-process -forceem uma sessão remota do PowerShell. Ou mesmotaskkill /im csrss.exe /fem um prompt de comando remoto, usando psexec ou similar.Quando ele "falha" e reinicia, e o usuário tenta fazer login, ele deve obter o tipo de erro "Este computador não pôde ser autenticado no domínio", IIRC. Eu testaria tudo isso primeiro em algo; O problema de autenticação pode não ter efeito imediato ou o Windows pode ser inteligente o suficiente para impedir que você execute esses comandos.
fonte
Há muitas coisas que você pode fazer para impedir que o usuário use o computador.
No entanto, nenhum deles passará despercebido pelo usuário, pois todos farão com que ele ligue para o Suporte Técnico. Se isso está tornando o dispositivo não inicializável, desabilitando sua conta, desabilitando a Conta de Computador no AD ou todas as opções acima.
Temos problemas semelhantes quando usuários remotos não cumprem e retornam um laptop que foi substituído, mas continuam a usá-lo (por preguiça). No entanto, no nosso caso, é muito simples, pois não estamos tentando fazer nenhuma perícia. Remoto para o computador, exclua a conta do usuário local, remova do domínio e exclua o computador do AD. Viola, o usuário não pode mais usar e não tornamos totalmente inútil o laptop.
Sinceramente, não conheço uma maneira de tornar um computador inútil para um usuário sem que ele saiba e / ou faça com que ele ligue para o Suporte Técnico para operá-lo, etc.
fonte