Muszę zdalnie wykonać kill-switch na komputerze z systemem Windows 7 Enterprise podłączonym do AD. W szczególności muszę
- zdalny dostęp do komputera bez widocznej interakcji użytkownika (mam konto domeny, które jest administratorem komputera)
- spraw, aby maszyna nie nadawała się do użytku (ulega awarii / uruchamia się ponownie i nie uruchamia się ponownie)
- zachowaj zawartość urządzenia (być w stanie udokumentować to, co zostało zmienione)
Maszyna musi być na tyle uszkodzona, że podstawowe + rozwiązywanie problemów kończy się niepowodzeniem i wymaga przekazania jej do pomocy technicznej w firmie.
Aby antycypować komentarze: Rozumiem, że to brzmi podejrzanie, ale to działanie jest wymagane, autoryzowane i legalne - w środowisku korporacyjnym.
Pochodząc z systemu Unix, nie wiem, co jest możliwe zdalnie na komputerze z systemem Windows. Idealnie (i znowu, mając na uwadze uniksowe tło) szukałbym takich działań
- kasowanie MBR i wymuszenie ponownego uruchomienia
- usunięcie klucza.
dlls, które nie zostaną automatycznie odzyskane podczas bezpiecznego rozruchu
EDYTUJ następujące komentarze: jest to bardzo konkretna sprawa kryminalistyczna, którą należy rozwiązać w ten zawiły sposób.
windows
windows-7
remote-access
forensics
Dareils
źródło
źródło
C:\Windowsspowoduje tylko bałagan, być może nawet nie osiągnie wyznaczonego celu; zablokowanie menedżera rozruchu jest znacznie bezpieczniejsze, nie można go przywrócić i pozostawi rzeczywisty system operacyjny nietknięty (umożliwiając w ten sposób analizę kryminalistyczną).Odpowiedzi:
Nie musisz tak naprawdę niszczyć maszyny; po prostu wymuś zamknięcie i zablokowanie użytkownika.
shutdown /m <machinename> /f /t 0aby wymusić zamknięcie komputera.Po prostu wyłącz komputer przed wyłączeniem konta, w przeciwnym razie zostaniesz zablokowany przed zdalnym zarządzaniem, ponieważ nie będzie on już w stanie uwierzytelnić nikogo w domenie, w tym ciebie .
Jeśli użytkownik ma także konto użytkownika lokalnego na komputerze docelowym, możesz je wyłączyć przed wykonaniem powyższych kroków; możesz to zrobić, uruchamiając program Computer Management MMC na dowolnym innym komputerze jako administrator domeny i łącząc go zdalnie z komputerem, którym chcesz zarządzać; stamtąd możesz również podjąć wszelkie inne niezbędne kroki, aby upewnić się, że nikt nie będzie mógł zalogować się do komputera przy użyciu lokalnych kont użytkowników (takich jak wyłączenie ich lub zmiana hasła).
Uwaga dodatkowa: jeśli dotyczy to kwestii prawnych / zgodności, jest to bardzo silny powód, aby nie zmieniać ani nie usuwać niczego na komputerze; w przeciwnym razie użytkownik może później (być może poprawnie) sfałszować maszynę; Ponadto, jeśli usuniesz cokolwiek z systemu plików, możesz stracić cenne dane (kto może stwierdzić, czy użytkownik zapisał osobiste pliki lub aplikacje w folderach systemowych?).
źródło
Jak już kilkakrotnie powiedziałem, jeśli jest to sprawa kryminalistyczna, zdecydowanie odradzam robienie czegokolwiek innego niż fizyczne pójście tam i podniesienie maszyny; manipulowanie nim w jakikolwiek sposób jest zobowiązane do unieważnienia jakiegokolwiek dowodu prawnego, który mógłby z niego wyniknąć.
To powiedziawszy, istnieje kilka sposobów na uniemożliwienie uruchomienia komputera przy jednoczesnym uszkodzeniu go w jak najmniejszym stopniu, w zależności od tego, jak system jest faktycznie zainstalowany (główne różnice polegają na tym, czy system jest oparty na systemie BIOS lub UEFI i czy używana jest partycja rozruchowa vs. pliki rozruchowe przechowywane na partycji systemowej); oto kilka opcji:
C:\bootmgr.bcdedit.exe.I tak dalej; bałagan za pomocą menedżera rozruchu jest zwykle najlepszym sposobem na uniemożliwienie rozruchu systemu, ale w rzeczywistości go nie uszkadza. Ale ponieważ współczesne systemy Windows mają kilka możliwych ścieżek rozruchu, nie ma uniwersalnego podejścia (na przykład system UEFI w ogóle nie opiera się na MBR i po prostu nie dba o aktywną partycję, jeśli taka istnieje).
Jeśli ograniczysz interwencję do plików rozruchowych, rzeczywisty system pozostanie nietknięty i będziesz w stanie odzyskać całą jego zawartość (a nawet uruchomić go ponownie, jeśli cofniesz uszkodzenie).
źródło
Kilka pytań:
Jeśli tak, idź z odpowiedzią @ frupfrup.
Inną rzeczą, którą możesz zrobić, to spowodować ogólny błąd logowania do katalogu aktywnego. Najpierw wyłącz buforowane dane logowania na tym komputerze, a następnie wyłącz lub usuń konto komputera w Active Directory. Aby wyglądało na to, że komputer ma dopasowanie, możesz wykonać prostą
get-process | stop-process -forcesesję w zdalnym programie PowerShell. Lub nawettaskkill /im csrss.exe /fw zdalnym wierszu poleceń, używając psexec lub podobnego.Kiedy „ulega awarii”, a następnie uruchamia się ponownie, a użytkownik próbuje się zalogować, powinien uzyskać dość ogólny komunikat „Ten komputer nie może zostać uwierzytelniony w przypadku błędu typu IIRC”. Najpierw przetestowałbym to wszystko na czymś; Problem z uwierzytelnieniem może od razu nie zadziałać lub system Windows może być wystarczająco inteligentny, aby uniemożliwić uruchomienie tych poleceń.
źródło
Istnieje wiele rzeczy, które możesz zrobić, aby uniemożliwić użytkownikowi korzystanie z komputera.
Jednak żaden z nich nie pozostanie niezauważony przez użytkownika, ponieważ wszystkie spowodują, że zadzwoni do działu pomocy technicznej. Czy powoduje to, że urządzenie nie nadaje się do rozruchu, wyłącza swoje konto, wyłącza konto komputera w reklamie lub wszystkie powyższe.
Mamy podobne problemy, gdy zdalni użytkownicy nie przestrzegają i zwracają laptopa, który został wymieniony, ale nadal go używają (z lenistwa). Jednak w naszym przypadku jest to bardzo proste, ponieważ nie próbujemy wykonywać żadnych badań kryminalistycznych. Zdalnie na komputerze, usuń konto użytkownika lokalnego, usuń z domeny i usuń komputer z AD. Viola, użytkownik nie może już korzystać, a my całkowicie nie uczyniliśmy laptopa bezużytecznym.
Szczerze mówiąc, nie znam sposobu, aby uczynić komputer bezużytecznym dla użytkownika bez jego wiedzy i / lub wezwania pomocy technicznej w celu uruchomienia go itp.
źródło