Как удаленно выполнить kill-switch на Windows 7?

Мне нужно удаленно выполнить команду kill-switch на компьютере Windows 7 Enterprise, подключенном к AD. Конкретно мне нужно

• удаленный доступ к машине без видимого взаимодействия с пользователем (у меня есть учетная запись домена, которая является администратором на машине)
• сделать так, чтобы машина не использовалась (вылетает / перезагружается и не загружается обратно)
• сохранить содержимое машины (иметь возможность задокументировать, что было изменено)

Машина должна быть достаточно повреждена, чтобы устранить неисправность + и устранить ее, и она должна быть доставлена ​​в службу поддержки компании.

Чтобы предвидеть комментарии: я понимаю, что это звучит сомнительно, но это действие требуется, разрешено и законно - в корпоративной среде.

Исходя из фона Unix, я не знаю, что возможно удаленно на машине Windows. В идеале (и опять же, имея в виду Unix), я бы смотрел на такие действия, как

• стирание MBR и принудительная перезагрузка
• удаление ключа dlls, которые не будут автоматически восстановлены во время безопасной загрузки

РЕДАКТИРОВАТЬ следующие комментарии: это очень специфический случай судебной экспертизы, который должен быть обработан таким запутанным способом.

Вам не нужно на самом деле уничтожить машину; просто заставьте его выключиться и заблокировать пользователя.

• Запустите, shutdown /m <machinename> /f /t 0чтобы принудительно выключить компьютер.
• Отключите учетную запись пользователя Active Directory для пользователя.
• Отключите учетную запись пользователя Active Directory для компьютера.

Обязательно выключите компьютер перед отключением его учетной записи, иначе вы будете заблокированы от удаленного управления, поскольку он больше не сможет аутентифицировать кого-либо в домене, включая вас.

Если у пользователя также есть локальная учетная запись на целевом компьютере, вы можете отключить ее перед выполнением вышеуказанных действий; это можно сделать, запустив MMC Computer Management на любом другом компьютере в качестве администратора домена и подключив его удаленно к компьютеру, которым вы хотите управлять; оттуда вы также можете предпринять любые другие необходимые шаги, чтобы никто не мог войти в систему с помощью учетных записей локальных пользователей (например, отключить их или изменить их пароли).

Примечание: если это связано с юридическими проблемами / вопросами соблюдения, это очень веская причина не изменять или удалять что-либо на машине; в противном случае пользователь мог позже сказать (возможно, правильно), что машина была подделана; Кроме того, если вы удалите что-либо в файловой системе, вы можете потерять ценные данные (кто может сказать, хранил ли пользователь личные файлы или приложения в системных папках?).

Как я уже говорил несколько раз, если это судебно-медицинская экспертиза, я настоятельно рекомендую вам не делать ничего иного, чем физически ходить туда и поднимать машину; вмешательство в него каким-либо образом неизбежно приведет к аннулированию любого юридического доказательства, которое может быть получено.

Тем не менее, существует несколько способов сделать компьютер не загружаемым, повреждая его как можно меньше, в зависимости от того, как на самом деле установлена ​​система (основные различия заключаются в том, что система основана на BIOS или UEFI и используется ли загрузочный раздел). загрузочные файлы хранятся в системном разделе); вот несколько вариантов:

• Удалите содержимое загрузочного раздела и / или раздела UEFI (обычно скрытого, но вы можете смонтировать его); или удалите загрузочные файлы из системного раздела, если загрузочный раздел не используется.
• Удалить файл C:\bootmgr.
• Измените конфигурацию менеджера загрузки, используя bcdedit.exe.
• Измените таблицу разделов, чтобы не иметь активного раздела.

И так далее; связывание с менеджером загрузки обычно является лучшим способом сделать систему не загружаемой, но не повредить ее. Но поскольку современные системы Windows имеют несколько возможных путей загрузки, универсального подхода нет (например, система UEFI вообще не использует MBR и просто не заботится об активном разделе, если таковой имеется).

Если вы ограничите свое вмешательство загрузочными файлами, действительная система останется нетронутой, и вы сможете восстановить все ее содержимое (и даже загрузить его снова, если вы устраните повреждение).

Несколько вопросов:

• Есть ли причина, по которой вам нужно идти разрушительным путем?

Если да, воспользуйтесь ответом @ frupfrup.

• У пользователя есть только вход в домен или локальный вход?
• Как быстро это должно вступить в силу?

Еще одна вещь, которую вы можете сделать, это вызвать общую ошибку входа в активный каталог. Сначала отключите кэшированные имена входа на этом компьютере, затем отключите или удалите учетную запись компьютера в активном каталоге. Чтобы это выглядело так, будто компьютер подходит, вы можете сделать простую get-process | stop-process -forceсессию в PowerShell. Или даже taskkill /im csrss.exe /fв удаленной командной строке, используя psexec или подобное.

Когда он «падает», затем перезагружается, и пользователь пытается войти в систему, он должен получить несколько общий тип ошибки «Этот компьютер не может быть аутентифицирован по домену», IIRC. Я бы сначала все это проверил на чем-то; Проблема аутентификации может не вступить в силу сразу, или окна могут быть достаточно умными, чтобы помешать вам выполнять эти команды.

Есть много вещей, которые вы можете сделать, чтобы пользователь не использовал компьютер.

Тем не менее, ни один из них не останется незамеченным для пользователя, так как все они заставят его вызвать службу поддержки. Делает ли это устройство не загружаемым, отключает ли его учетную запись, отключает ли учетная запись компьютера в AD или все вышеперечисленное.

У нас есть подобные проблемы, когда удаленные пользователи не выполняют требования и возвращают ноутбук, который был заменен, но они продолжают его использовать (из-за лени). Однако в нашем случае это очень просто, так как мы не пытаемся заниматься какой-либо криминалистикой. Удаленно в компьютер, удалить учетную запись локального пользователя, удалить из домена и удалить компьютер из AD. Viola пользователь больше не может использовать, и мы не сделали ноутбук бесполезным.

Я, честно говоря, не знаю, как сделать компьютер бесполезным для пользователя, если он не узнает и / или не заставит его позвонить в службу поддержки, чтобы он заработал, и т. Д.