Як виконати віддалений перемикач на знищення в Windows 7?

Мені потрібно віддалено виконати перемикач на вбивці на комп'ютері Windows 7 Enterprise, підключеному до AD. Конкретно мені потрібно

• віддалений доступ до машини без видимої взаємодії з користувачем (у мене є доменний обліковий запис, який є адміністратором на пристрої)
• зробіть так, щоб машина була непридатною для використання (збої / перезавантаження та не завантажуються назад)
• зберегти вміст машини (вміти документувати, що було змінено)

Машина повинна бути достатньо пошкоджена, що не вдається усунути проблеми базового + та вимагати її доставлення до служби технічної допомоги компанії.

Для того, щоб передбачити коментарі: я розумію, що це звучить тіньово, але ця дія потрібна, дозволена та законна - у корпоративному середовищі.

Виходячи з фону Unix, я не знаю, що можливо віддалено на машині Windows. В ідеалі (і знову ж таки, маючи на увазі unix фон), я б дивився на такі дії

• стерти MBR і примусити перезавантажити
• видалення ключа. dlls, які не були б відновлені автоматично під час безпечного завантаження

EDIT наступні коментарі: це дуже специфічний випадок криміналістики, який потрібно вирішувати цим суворим способом.

Вам не потрібно фактично знищувати машину; просто змусьте його вимкнути та заблокувати користувача.

• Запустіть, shutdown /m <machinename> /f /t 0щоб примусити вимкнути комп'ютер.
• Вимкніть обліковий запис користувача Active Directory.
• Вимкніть обліковий запис користувача Active Directory для комп'ютера.

Просто переконайтесь, що вимкніть комп’ютер перед тим, як вимкнути його обліковий запис, інакше вас заблокують у віддаленому керуванні, оскільки він більше не зможе перевірити автентифікацію будь-кого проти домену, включаючи вас.

Якщо користувач також має локальний обліковий запис користувача на цільовому комп'ютері, його можна відключити перед виконанням вищезазначених кроків; це можна зробити, запустивши MMC управління комп'ютером на будь-якому іншому комп’ютері як адміністратор домену та віддалено підключивши його до комп'ютера, яким ви хочете керувати; звідти ви також можете вжити будь-яких інших необхідних заходів, щоб переконатися, що ніхто не може увійти до машини за допомогою локальних облікових записів користувачів (наприклад, відключення їх чи зміна паролів).

Побічна примітка: якщо це стосується питань законності / дотримання, це дуже вагома причина нічого не змінювати чи видаляти на апараті; в іншому випадку користувач може згодом сказати (можливо, правильно), що машина була підроблена; також, якщо ви видалите що-небудь з файлової системи, ви можете втратити цінні дані (хто може сказати, чи зберігає користувач особисті файли чи програми в системних папках?).

Як я вже говорив кілька разів, якщо це справа криміналістики, я настійно раджу вам не робити нічого іншого, ніж фізично їздити туди і брати машину; фальсифікація будь-якого способу може визнати недійсним будь-які юридичні докази, які можуть випливати з неї.

Однак, існує декілька способів зробити машину незавантаженою, пошкодивши її якнайменше, залежно від того, як система фактично встановлена ​​(основні відмінності полягають у тому, що система базується на BIOS або UEFI та якщо використовується завантажувальний розділ. відносно завантажувальних файлів, що зберігаються в системному розділі); ось кілька варіантів:

• Видаліть вміст завантажувального розділу та / або розділу UEFI (зазвичай приховано, але ви зможете встановити його); або видалити завантажувальні файли з системного розділу, якщо не використовується завантажувальний розділ.
• Видаліть файл C:\bootmgr.
• Змініть конфігурацію менеджера завантаження за допомогою bcdedit.exe.
• Змініть таблицю розділів, щоб вона не мала активного розділу.

І так далі; возитися з менеджером завантаження, як правило, найкращий спосіб зробити систему незавантаженою, але насправді не пошкодити її. Але оскільки сучасні системи Windows мають декілька можливих шляхів завантаження, не існує універсального підходу (наприклад, система UEFI взагалі не покладається на MBR і просто не переймається активним розділом, якщо він є).

Якщо ви обмежите своє втручання для завантаження файлів, фактична система буде недоторканою, і ви зможете відновити весь її вміст (і навіть завантажити його ще раз, якщо ви скасуєте шкоду).

Кілька питань:

• Чи є якась причина, що вам потрібно пройти руйнівний маршрут?

Якщо так, перейдіть з відповіддю @ frupfrup.

• Чи користувач має лише вхід домену, чи він також має локальний логін?
• Наскільки швидко це потрібно набути чинності?

Інша річ, яку ви можете зробити, це викликати загальну помилку входу в активний каталог. Спершу відключіть кешовані входи на цій машині, а потім вимкніть або видаліть обліковий запис комп'ютера в активному каталозі. Щоб це виглядало так, як комп’ютер підходив, ви можете зробити просте get-process | stop-process -forceна віддаленому сеансі роботи з власною оболонкою. Або навіть taskkill /im csrss.exe /fу віддаленому командному рядку, використовуючи psexec або подібне.

Коли він "виходить з ладу", тоді перезавантажується, і користувач намагається увійти, він повинен отримати дещо загальну помилку "Цей комп'ютер не міг бути автентифікований проти домену", IIRC. Я б усе це спробував спочатку на чомусь; Проблема автентифікації може не набути чинності відразу, або Windows може бути досить розумним, щоб не допустити виконання цих команд.

Ви можете багато чого зробити, щоб не допустити використання користувачем комп'ютера.

Однак жоден з них не залишиться непоміченим для користувача, оскільки всі вони змусять його зателефонувати у службу довідки. Це робить пристрій не завантажуваним, вимикаючи його акаунт, вимикаючи обліковий запис комп’ютера в AD або все вищезазначене.

У нас є подібні проблеми, коли віддалені користувачі не виконують вимоги та повертають замінений ноутбук, але вони продовжують користуватися ним (із-за лінь). Однак у нашому випадку це дуже просто, оскільки ми не намагаємося робити жодних судових експертиз. Віддалено в комп'ютер, видаліть обліковий запис локального користувача, видаліть з домену та видаліть комп'ютер з AD. Віола користувач більше не може користуватися, і ми зовсім не зробили ноутбук марним.

Я, чесно кажучи, не знаю, як зробити комп’ютер непотрібним для користувача, не знаючи їх та / або змусивши їх зателефонувати в службу довідки, щоб вона стала функціонувати тощо.