Bagaimana cara melakukan kill-switch pada Windows 7 dari jarak jauh?

10

Saya perlu melakukan kill-switch dari jarak jauh pada komputer Windows 7 Enterprise yang terhubung ke AD. Secara khusus, saya perlu

  • mengakses mesin dari jarak jauh tanpa interaksi pengguna yang terlihat (saya memiliki akun domain yang merupakan administrator di mesin)
  • membuatnya agar mesin tidak dapat digunakan (crash / reboot dan tidak bisa boot kembali)
  • mempertahankan isi mesin (dapat mendokumentasikan apa yang diubah)

Mesin harus cukup rusak sehingga pemecahan masalah dasar + gagal dan mengharuskannya untuk dibawa ke meja bantuan perusahaan.

Untuk mengantisipasi komentar: Saya mengerti bahwa ini kedengarannya teduh tetapi tindakan ini diperlukan, sah dan sah - dalam lingkungan perusahaan.

Berasal dari latar belakang Unix, saya tidak tahu apa yang layak dari jarak jauh pada mesin Windows. Idealnya (dan sekali lagi, dengan latar belakang unix dalam pikiran) saya akan melihat tindakan seperti

  • menghapus MBR dan memaksa reboot
  • menghapus kunci. dlls yang tidak akan dipulihkan secara otomatis selama boot aman

Sunting komentar berikut: ini adalah kasus forensik yang sangat spesifik yang perlu ditangani melalui cara berbelit-belit ini.

keberanian
sumber
4
Meskipun saya belum menurunkan suara, ini terlihat agak teduh. Bukankah lebih mudah pergi ke sana dan mengambil komputer?
MichelZ
3
Anda tidak menggambarkan keadaan yang membuat Anda mencoba sesuatu seperti ini, yang mungkin menyebabkan Anda downvote. Saya dapat membayangkan beberapa hal yang dapat membenarkan beberapa kegiatan seperti ini, tetapi jika Anda benar-benar menggambarkan situasinya, Anda mungkin mendapatkan jawaban yang lebih baik.
Michael Hampton
6
Jika ini adalah kasus forensik, saya sangat menyarankan Anda untuk tidak melakukan sesuatu yang berbeda daripada secara fisik pergi ke sana dan mengambil mesin. Segala sesuatu yang lain terikat untuk membatalkan bukti hukum apa pun yang dapat berasal darinya.
Massimo
2
@frupfrup: tidak ada yang panik di sini; tapi saya jujur ​​berpikir bahwa, bahkan jika Anda benar - benar ingin pergi "mari kita membuat sistem tidak dapat digunakan", mencoba menghapus C:\Windowshanya akan membuat kekacauan, mungkin bahkan tanpa mencapai tujuan yang dinyatakan; memblokir boot manager jauh lebih aman, tidak dapat dibatalkan, dan akan meninggalkan OS yang sebenarnya tidak tersentuh (sehingga memungkinkan analisis forensik).
Massimo

Jawaban:

11

Anda tidak perlu benar-benar menghancurkan mesin; paksa saja untuk mematikan dan mengunci pengguna.

  • Jalankan shutdown /m <machinename> /f /t 0untuk memaksa komputer dimatikan.
  • Nonaktifkan akun pengguna Active Directory untuk pengguna.
  • Nonaktifkan akun pengguna Active Directory untuk komputer.

Pastikan untuk mematikan komputer sebelum menonaktifkan akunnya, jika tidak Anda akan dikunci dari manajemen jarak jauh karena tidak akan lagi dapat mengotentikasi siapa pun terhadap domain, termasuk Anda.

Jika pengguna juga memiliki akun pengguna lokal di komputer target, Anda dapat menonaktifkannya sebelum melakukan langkah-langkah di atas; Anda dapat melakukannya dengan memulai MMC Manajemen Komputer di komputer lain sebagai administrator domain dan menghubungkannya dari jarak jauh ke komputer yang ingin Anda kelola; dari sana, Anda juga dapat mengambil langkah-langkah lain yang diperlukan untuk memastikan tidak ada yang bisa masuk ke mesin menggunakan akun pengguna lokal (seperti menonaktifkannya atau mengubah kata sandi mereka).


Catatan: jika ini untuk masalah hukum / kepatuhan, ini adalah alasan yang sangat kuat untuk tidak mengubah atau menghapus apa pun pada mesin; jika tidak, pengguna kemudian dapat mengatakan (mungkin dengan benar) mesin telah dirusak; juga, jika Anda menghapus sesuatu pada sistem file, Anda bisa kehilangan data berharga (siapa yang tahu apakah pengguna telah menyimpan file pribadi atau aplikasi dalam folder sistem?).

Massimo
sumber
Itu sepenuhnya benar dan cara yang jauh lebih baik. Tetapi OP mengatakan, bahwa pengguna tidak boleh memperhatikan ... jika dia tidak bisa login lagi dia akan memperhatikan ... Sebagian besar pengguna kemudian akan memanggil helpdesk dan memberitahu mereka untuk membuka kunci akun mereka ...
frupfrup
1
Jika mesin tiba-tiba crash, pengguna pasti akan melihat ...
Massimo
Bisakah itu mencegah misalnya pengguna boot dari USB dan menambahkan akun administrator lokal? (Saya tidak tahu apa-apa tentang Active Directory)
jingyu9575
2
@ jingyu9575 Jika pengguna cukup paham teknologi untuk mengedit database pengguna offline, ia mungkin akan menginstal ulang Windows sendiri daripada membawa mesin ke meja bantuan. Apa sebenarnya yang ingin kita capai di sini?!?
Massimo
Perubahan ini tidak benar-benar melakukannya. Yang harus mereka lakukan adalah boot tanpa menghubungkan kabel jaringan.
joshudson
4

Seperti yang sudah saya katakan beberapa kali, jika ini adalah kasus forensik saya sangat menyarankan Anda untuk tidak melakukan sesuatu yang berbeda daripada pergi secara fisik ke sana dan mengambil mesin; merusaknya dengan cara apa pun pasti akan membatalkan bukti hukum apa pun yang dapat berasal darinya.


Yang mengatakan, ada beberapa cara untuk membuat mesin unbootable sementara merusaknya sesedikit mungkin, tergantung pada bagaimana sistem sebenarnya diinstal (perbedaan utama adalah jika sistem berbasis BIOS atau UEFI dan jika partisi boot digunakan vs. file boot yang disimpan di partisi sistem); berikut ini beberapa opsi:

  • Hapus isi partisi boot dan / atau partisi UEFI (biasanya disembunyikan tetapi Anda dapat memasangnya); atau hapus file boot dari partisi sistem, jika tidak ada partisi boot yang digunakan.
  • Hapus file C:\bootmgr.
  • Ubah konfigurasi boot manager menggunakan bcdedit.exe.
  • Ubah tabel partisi agar tidak memiliki partisi aktif.

Dan seterusnya; mengacaukan boot manager biasanya merupakan cara terbaik untuk membuat sistem tidak bisa di-boot, walaupun sebenarnya tidak merusaknya. Tetapi karena sistem Windows modern memiliki beberapa jalur boot yang memungkinkan, tidak ada pendekatan universal (karena sistem UEFI sama sekali tidak bergantung pada MBR dan tidak peduli dengan partisi aktif, jika ada).

Jika Anda membatasi intervensi Anda untuk mem-boot file, sistem yang sebenarnya tidak akan tersentuh, dan Anda akan dapat memulihkan semua kontennya (dan bahkan untuk mem-bootnya lagi jika Anda membatalkan kerusakan).

Massimo
sumber
3

Beberapa pertanyaan:

  • Apakah ada alasan Anda perlu menempuh rute yang merusak?

Jika ya, lanjutkan dengan jawaban @ frupfrup.

  • Apakah pengguna hanya memiliki log masuk domain, atau apakah mereka juga memiliki login lokal?
  • Seberapa cepat ini perlu diberlakukan?

Hal lain yang dapat Anda lakukan adalah menyebabkan kesalahan login direktori aktif generik. Pertama-tama nonaktifkan login yang di-cache pada mesin itu, kemudian nonaktifkan atau hapus akun komputer di direktori aktif. Agar terlihat seperti komputer cocok, Anda bisa melakukan yang sederhana get-process | stop-process -forcedalam sesi PowerShell jarak jauh. Atau bahkan taskkill /im csrss.exe /fdalam prompt perintah jarak jauh, menggunakan psexec atau yang serupa.

Ketika "crash" kemudian reboot dan pengguna mencoba masuk, ia harus mendapatkan generik "Komputer ini tidak dapat diautentikasi terhadap domain" jenis kesalahan, IIRC. Saya akan menguji semua ini pada sesuatu yang pertama; Masalah otentikasi mungkin tidak langsung berlaku, atau windows mungkin cukup pintar untuk mencegah Anda menjalankan perintah-perintah itu.

Neil
sumber
1

Ada banyak hal yang dapat Anda lakukan untuk mencegah pengguna menggunakan komputer.

Namun, tidak satu pun dari mereka akan luput dari perhatian pengguna karena semuanya akan membuatnya memanggil Help Desk. Apakah itu membuat perangkat tidak dapat di-boot, menonaktifkan akunnya, menonaktifkan Akun Komputer di AD atau semua hal di atas.

Kami memiliki masalah serupa ketika pengguna jarak jauh gagal mematuhi dan mengembalikan laptop yang diganti tetapi mereka terus menggunakannya (karena malas). Namun, dalam kasus kami sangat sederhana karena kami tidak mencoba melakukan forensik. Jauh ke komputer, hapus akun Pengguna Lokal, hapus dari Domain dan Hapus Komputer dari AD. Viola pengguna tidak dapat lagi pengguna dan kami belum benar-benar membuat laptop tidak berguna.

Jujur saya tidak tahu cara membuat komputer tidak berguna bagi pengguna tanpa mereka sadari dan / atau meminta mereka memanggil Help Desk untuk membuatnya beroperasi, dll.

Jane Doe
sumber