Saya perlu melakukan kill-switch dari jarak jauh pada komputer Windows 7 Enterprise yang terhubung ke AD. Secara khusus, saya perlu
- mengakses mesin dari jarak jauh tanpa interaksi pengguna yang terlihat (saya memiliki akun domain yang merupakan administrator di mesin)
- membuatnya agar mesin tidak dapat digunakan (crash / reboot dan tidak bisa boot kembali)
- mempertahankan isi mesin (dapat mendokumentasikan apa yang diubah)
Mesin harus cukup rusak sehingga pemecahan masalah dasar + gagal dan mengharuskannya untuk dibawa ke meja bantuan perusahaan.
Untuk mengantisipasi komentar: Saya mengerti bahwa ini kedengarannya teduh tetapi tindakan ini diperlukan, sah dan sah - dalam lingkungan perusahaan.
Berasal dari latar belakang Unix, saya tidak tahu apa yang layak dari jarak jauh pada mesin Windows. Idealnya (dan sekali lagi, dengan latar belakang unix dalam pikiran) saya akan melihat tindakan seperti
- menghapus MBR dan memaksa reboot
- menghapus kunci.
dlls yang tidak akan dipulihkan secara otomatis selama boot aman
Sunting komentar berikut: ini adalah kasus forensik yang sangat spesifik yang perlu ditangani melalui cara berbelit-belit ini.
windows
windows-7
remote-access
forensics
keberanian
sumber
sumber
C:\Windowshanya akan membuat kekacauan, mungkin bahkan tanpa mencapai tujuan yang dinyatakan; memblokir boot manager jauh lebih aman, tidak dapat dibatalkan, dan akan meninggalkan OS yang sebenarnya tidak tersentuh (sehingga memungkinkan analisis forensik).Jawaban:
Anda tidak perlu benar-benar menghancurkan mesin; paksa saja untuk mematikan dan mengunci pengguna.
shutdown /m <machinename> /f /t 0untuk memaksa komputer dimatikan.Pastikan untuk mematikan komputer sebelum menonaktifkan akunnya, jika tidak Anda akan dikunci dari manajemen jarak jauh karena tidak akan lagi dapat mengotentikasi siapa pun terhadap domain, termasuk Anda.
Jika pengguna juga memiliki akun pengguna lokal di komputer target, Anda dapat menonaktifkannya sebelum melakukan langkah-langkah di atas; Anda dapat melakukannya dengan memulai MMC Manajemen Komputer di komputer lain sebagai administrator domain dan menghubungkannya dari jarak jauh ke komputer yang ingin Anda kelola; dari sana, Anda juga dapat mengambil langkah-langkah lain yang diperlukan untuk memastikan tidak ada yang bisa masuk ke mesin menggunakan akun pengguna lokal (seperti menonaktifkannya atau mengubah kata sandi mereka).
Catatan: jika ini untuk masalah hukum / kepatuhan, ini adalah alasan yang sangat kuat untuk tidak mengubah atau menghapus apa pun pada mesin; jika tidak, pengguna kemudian dapat mengatakan (mungkin dengan benar) mesin telah dirusak; juga, jika Anda menghapus sesuatu pada sistem file, Anda bisa kehilangan data berharga (siapa yang tahu apakah pengguna telah menyimpan file pribadi atau aplikasi dalam folder sistem?).
sumber
Seperti yang sudah saya katakan beberapa kali, jika ini adalah kasus forensik saya sangat menyarankan Anda untuk tidak melakukan sesuatu yang berbeda daripada pergi secara fisik ke sana dan mengambil mesin; merusaknya dengan cara apa pun pasti akan membatalkan bukti hukum apa pun yang dapat berasal darinya.
Yang mengatakan, ada beberapa cara untuk membuat mesin unbootable sementara merusaknya sesedikit mungkin, tergantung pada bagaimana sistem sebenarnya diinstal (perbedaan utama adalah jika sistem berbasis BIOS atau UEFI dan jika partisi boot digunakan vs. file boot yang disimpan di partisi sistem); berikut ini beberapa opsi:
C:\bootmgr.bcdedit.exe.Dan seterusnya; mengacaukan boot manager biasanya merupakan cara terbaik untuk membuat sistem tidak bisa di-boot, walaupun sebenarnya tidak merusaknya. Tetapi karena sistem Windows modern memiliki beberapa jalur boot yang memungkinkan, tidak ada pendekatan universal (karena sistem UEFI sama sekali tidak bergantung pada MBR dan tidak peduli dengan partisi aktif, jika ada).
Jika Anda membatasi intervensi Anda untuk mem-boot file, sistem yang sebenarnya tidak akan tersentuh, dan Anda akan dapat memulihkan semua kontennya (dan bahkan untuk mem-bootnya lagi jika Anda membatalkan kerusakan).
sumber
Beberapa pertanyaan:
Jika ya, lanjutkan dengan jawaban @ frupfrup.
Hal lain yang dapat Anda lakukan adalah menyebabkan kesalahan login direktori aktif generik. Pertama-tama nonaktifkan login yang di-cache pada mesin itu, kemudian nonaktifkan atau hapus akun komputer di direktori aktif. Agar terlihat seperti komputer cocok, Anda bisa melakukan yang sederhana
get-process | stop-process -forcedalam sesi PowerShell jarak jauh. Atau bahkantaskkill /im csrss.exe /fdalam prompt perintah jarak jauh, menggunakan psexec atau yang serupa.Ketika "crash" kemudian reboot dan pengguna mencoba masuk, ia harus mendapatkan generik "Komputer ini tidak dapat diautentikasi terhadap domain" jenis kesalahan, IIRC. Saya akan menguji semua ini pada sesuatu yang pertama; Masalah otentikasi mungkin tidak langsung berlaku, atau windows mungkin cukup pintar untuk mencegah Anda menjalankan perintah-perintah itu.
sumber
Ada banyak hal yang dapat Anda lakukan untuk mencegah pengguna menggunakan komputer.
Namun, tidak satu pun dari mereka akan luput dari perhatian pengguna karena semuanya akan membuatnya memanggil Help Desk. Apakah itu membuat perangkat tidak dapat di-boot, menonaktifkan akunnya, menonaktifkan Akun Komputer di AD atau semua hal di atas.
Kami memiliki masalah serupa ketika pengguna jarak jauh gagal mematuhi dan mengembalikan laptop yang diganti tetapi mereka terus menggunakannya (karena malas). Namun, dalam kasus kami sangat sederhana karena kami tidak mencoba melakukan forensik. Jauh ke komputer, hapus akun Pengguna Lokal, hapus dari Domain dan Hapus Komputer dari AD. Viola pengguna tidak dapat lagi pengguna dan kami belum benar-benar membuat laptop tidak berguna.
Jujur saya tidak tahu cara membuat komputer tidak berguna bagi pengguna tanpa mereka sadari dan / atau meminta mereka memanggil Help Desk untuk membuatnya beroperasi, dll.
sumber