จะทำการ kill-switch บน Windows 7 จากระยะไกลได้อย่างไร?

10

ฉันต้องทำการ kill-switch บนคอมพิวเตอร์ที่ใช้ Windows 7 Enterprise จากระยะไกลกับโฆษณา โดยเฉพาะฉันต้องการ

  • เข้าถึงเครื่องจากระยะไกลโดยไม่ต้องมีการโต้ตอบกับผู้ใช้ (ฉันมีบัญชีโดเมนซึ่งเป็นผู้ดูแลระบบของเครื่อง)
  • ทำให้เครื่องใช้งานไม่ได้ (ขัดข้อง / เรียบและไม่บู๊ต)
  • รักษาเนื้อหาของเครื่อง (สามารถบันทึกสิ่งที่มีการเปลี่ยนแปลง)

เครื่องต้องได้รับความเสียหายเพียงพอที่การแก้ไขปัญหาพื้นฐาน + ล้มเหลวและต้องนำเครื่องไปที่แผนกช่วยเหลือของ บริษัท

เพื่อคาดการณ์ความคิดเห็น: ฉันเข้าใจว่าสิ่งนี้ฟังดูร่มรื่น แต่การกระทำนี้จำเป็นต้องได้รับอนุญาตและถูกต้องตามกฎหมาย - ภายในสภาพแวดล้อมขององค์กร

มาจากพื้นหลัง Unix ฉันไม่ทราบว่าสิ่งที่เป็นไปได้จากระยะไกลบนเครื่อง Windows เป็นการดี (และอีกครั้งโดยมีพื้นหลังยูนิกซ์ในใจ) ฉันจะดูการกระทำเช่น

  • การลบ MBR และบังคับให้รีบูต
  • ถอดกุญแจ dlls ซึ่งจะไม่ถูกกู้คืนโดยอัตโนมัติในระหว่างการบูตปลอดภัย

แก้ไขความคิดเห็นที่ตามมา: นี่เป็นกรณีนิติเวชที่เฉพาะเจาะจงมากซึ่งจำเป็นต้องได้รับการจัดการผ่านวิธีการที่ซับซ้อนนี้

windows  windows-7  remote-access  forensics 
dareils
แหล่งที่มา
4
ในขณะที่ฉันไม่ได้ลงคะแนนนี่ดูค่อนข้างร่มรื่น การไปที่นั่นแล้วหยิบคอมพิวเตอร์นั้นง่ายกว่าไหม
MichelZ
3
คุณไม่ได้อธิบายสถานการณ์ที่ทำให้คุณลองแบบนี้ซึ่งอาจนำไปสู่การลงคะแนนเสียงของคุณ ฉันสามารถจินตนาการถึงบางสิ่งบางอย่างที่สามารถแสดงให้เห็นถึงสิ่งนี้ แต่ถ้าคุณอธิบายสถานการณ์คุณอาจได้คำตอบที่ดีกว่า
Michael Hampton
6
หากเป็นกรณีนิติวิทยาศาสตร์ฉันขอแนะนำให้คุณทำสิ่งที่แตกต่างจากการไปที่นั่นและหยิบเครื่องขึ้นมา ทุกสิ่งทุกอย่างถูกผูกมัดว่าจะทำให้หลักฐานทางกฎหมายใด ๆ
Massimo
2
@frupfrup: ไม่มีใครกลัวที่นี่; แต่ผมคิดว่าแม้ว่าคุณจริงๆต้องการที่จะไป "ขอให้ระบบใช้ไม่ได้" พยายามที่จะลบC:\Windowsเป็นเพียงจะเลอะอาจจะเป็นโดยไม่ได้ถึงเป้าหมายที่กำหนดไว้; การปิดกั้นตัวจัดการการบูตนั้นปลอดภัยกว่ามากยกเลิกไม่ได้และจะปล่อยให้ระบบปฏิบัติการที่แท้จริงไม่มีการแตะต้อง (ดังนั้นการวิเคราะห์นิติวิทยาศาสตร์)
Massimo
2
ดูเพิ่มเติมที่นี่: meta.stackexchange.com/questions/66377/what-is-the-xy-problem
Massimo

คำตอบ:

11

คุณไม่จำเป็นต้องทำลายเครื่องจริงๆ เพียงแค่บังคับให้ปิดและล็อคผู้ใช้

  • เรียกใช้shutdown /m <machinename> /f /t 0เพื่อบังคับให้ปิดเครื่องคอมพิวเตอร์
  • ปิดใช้งานบัญชีผู้ใช้ Active Directory สำหรับผู้ใช้
  • ปิดใช้งานบัญชีผู้ใช้ Active Directory สำหรับคอมพิวเตอร์

เพียงตรวจสอบให้แน่ใจว่าได้ปิดเครื่องคอมพิวเตอร์ก่อนที่จะปิดการใช้งานบัญชีมิฉะนั้นคุณจะถูกล็อคจากการจัดการระยะไกลเพราะจะไม่สามารถรับรองความถูกต้องของใครก็ตามกับโดเมนรวมถึงตัวคุณเอง

หากผู้ใช้มีบัญชีผู้ใช้ภายในบนคอมพิวเตอร์เป้าหมายคุณสามารถปิดใช้งานได้ก่อนดำเนินการตามขั้นตอนด้านบน คุณสามารถทำได้โดยเริ่มต้น MMC การจัดการคอมพิวเตอร์บนคอมพิวเตอร์เครื่องอื่น ๆ ในฐานะผู้ดูแลโดเมนและเชื่อมต่อกับคอมพิวเตอร์ที่คุณต้องการจัดการจากระยะไกล จากตรงนั้นคุณสามารถทำตามขั้นตอนที่จำเป็นอื่น ๆ เพื่อให้แน่ใจว่าไม่มีใครสามารถเข้าสู่เครื่องโดยใช้บัญชีผู้ใช้ในท้องถิ่น (เช่นปิดการใช้งานหรือเปลี่ยนรหัสผ่าน)

หมายเหตุด้านข้าง: หากนี่เป็นปัญหาด้านกฎหมาย / การปฏิบัติตามกฎนี่เป็นเหตุผลที่ดีมากที่จะไม่เปลี่ยนแปลงหรือลบอะไรบนเครื่อง มิฉะนั้นผู้ใช้สามารถพูดในภายหลัง (อาจถูกต้อง) เครื่องได้รับการดัดแปลง; นอกจากนี้หากคุณลบสิ่งใด ๆ ในระบบไฟล์คุณอาจสูญเสียข้อมูลที่มีค่า (ใครจะบอกได้ว่าผู้ใช้จัดเก็บไฟล์ส่วนบุคคลหรือแอปพลิเคชันในโฟลเดอร์ระบบหรือไม่)

มัสซิโม
แหล่งที่มา
นั่นคือทั้งหมดที่ถูกต้องและเป็นวิธีที่ดีกว่ามาก แต่ OP กล่าวว่าผู้ใช้ไม่ควรแจ้งให้ทราบ ... หากเขาไม่สามารถเข้าสู่ระบบได้อีกต่อไปเขาจะแจ้งให้ทราบ ... ผู้ใช้ส่วนใหญ่จะโทรไปยังฝ่ายช่วยเหลือและบอกให้ปลดล็อคบัญชีของพวกเขา ...
frupfrup
1
หากเครื่องขัดข้องกะทันหันผู้ใช้ก็จะสังเกตเห็นได้อย่างแน่นอน ...
4462 Massimo
มันสามารถป้องกันเช่นผู้ใช้บูตจาก USB และเพิ่มบัญชีผู้ดูแลท้องถิ่น (ฉันไม่รู้อะไรเลยเกี่ยวกับ Active Directory)
jingyu9575
2
@ jingyu9575 หากผู้ใช้มีความชำนาญด้านเทคโนโลยีพอที่จะแก้ไขฐานข้อมูลผู้ใช้แบบออฟไลน์ได้เขาอาจติดตั้ง Windows ด้วยตัวเองแทนที่จะนำเครื่องไปที่แผนกช่วยเหลือ เราพยายามทำอะไรให้สำเร็จตรงนี้?!?
Massimo
การเปลี่ยนแปลงเหล่านี้ไม่ได้ทำจริง สิ่งที่พวกเขาต้องทำคือการบูตโดยไม่ต้องเสียบสายเคเบิลเครือข่าย
joshudson
4

อย่างที่ฉันพูดไปแล้วหลายครั้งถ้าเป็นกรณีนิติเวชฉันขอแนะนำให้คุณทำสิ่งที่แตกต่างจากการไปที่นั่นและหยิบเครื่องขึ้นมา การดัดแปลงด้วยวิธีการใด ๆนั้นมีผลผูกพันต่อการพิสูจน์หลักฐานทางกฎหมายใด ๆ ที่อาจเกิดขึ้นได้

ที่กล่าวว่ามีหลายวิธีในการแสดงผลเครื่องที่ไม่สามารถบูทได้ในขณะที่สร้างความเสียหายให้น้อยที่สุดทั้งนี้ขึ้นอยู่กับวิธีการติดตั้งระบบจริง (ความแตกต่างที่สำคัญคือถ้าระบบเป็นแบบ BIOS หรือ UEFI เทียบกับไฟล์บูตที่เก็บไว้ในพาร์ติชันระบบ); นี่คือตัวเลือกบางส่วน:

  • ลบเนื้อหาของพาร์ติชันสำหรับเริ่มระบบและ / หรือพาร์ติชัน UEFI (มักจะซ่อนอยู่ แต่คุณสามารถเมาท์ได้); หรือลบไฟล์สำหรับบู๊ตออกจากพาร์ติชั่นระบบหากไม่มีพาร์ติชั่นสำหรับบู๊ตเครื่องอยู่.
  • C:\bootmgrลบไฟล์
  • bcdedit.exeปรับเปลี่ยนการกำหนดค่าใช้จัดการการบูต
  • แก้ไขตารางพาร์ติชันเพื่อไม่มีพาร์ติชันที่ใช้งานอยู่

และอื่น ๆ ; messing กับ boot manager เป็นวิธีที่ดีที่สุดในการเรนเดอร์ระบบโดยไม่สามารถบูทได้ในขณะที่ไม่ได้ทำให้ระบบเสียหาย แต่เนื่องจากระบบ Windows ที่ทันสมัยมีเส้นทางการบู๊ตที่เป็นไปได้หลายวิธีจึงไม่มีวิธีที่เป็นสากล (เช่นระบบ UEFI ไม่ได้ใช้ MBR เลยและไม่สนใจพาร์ติชันที่ใช้งานอยู่ถ้ามี)

หากคุณ จำกัด การแทรกแซงของคุณในการบูตไฟล์ระบบจริงจะไม่ถูกแตะต้องและคุณจะสามารถกู้คืนเนื้อหาทั้งหมดของมันได้ (และแม้กระทั่งการบู๊ตอีกครั้งหากคุณยกเลิกความเสียหาย)

มัสซิโม
แหล่งที่มา
3

คำถามเล็กน้อย:

  • มีเหตุผลใดบ้างที่คุณต้องไปในเส้นทางที่อันตราย?

ถ้าใช่ไปด้วยคำตอบของ @ frupfrup

  • ผู้ใช้มีเพียงการเข้าสู่ระบบโดเมนหรือมีการเข้าสู่ระบบภายในด้วยหรือไม่
  • สิ่งนี้จะต้องมีผลเร็วแค่ไหน?

อีกสิ่งที่คุณสามารถทำได้คือทำให้เกิดข้อผิดพลาดในการเข้าสู่ไดเรกทอรีทั่วไป ก่อนอื่นให้ปิดการใช้งานการเข้าสู่ระบบแคชบนเครื่องนั้นจากนั้นปิดการใช้งานหรือลบบัญชีคอมพิวเตอร์ในไดเรกทอรีที่ใช้งานอยู่ เพื่อให้ดูเหมือนว่าคอมพิวเตอร์มีขนาดพอดีคุณสามารถทำได้ง่ายget-process | stop-process -forceในเซสชัน PowerShell ระยะไกล หรือแม้กระทั่งtaskkill /im csrss.exe /fในพรอมต์คำสั่งระยะไกลโดยใช้ psexec หรือคล้ายกัน

เมื่อมัน "ขัดข้อง" จากนั้นรีบูตและผู้ใช้พยายามเข้าสู่ระบบเขาควรจะได้รับข้อผิดพลาดทั่วไป "คอมพิวเตอร์เครื่องนี้ไม่สามารถรับรองความถูกต้องกับโดเมน" ประเภท IIRC ฉันจะทดสอบทั้งหมดนี้กับบางสิ่งก่อน ปัญหาการตรวจสอบอาจไม่ส่งผลทันทีหรือหน้าต่างอาจฉลาดพอที่จะป้องกันไม่ให้คุณเรียกใช้คำสั่งเหล่านั้น

นีล
แหล่งที่มา
1

มีหลายสิ่งหลายอย่างที่คุณสามารถทำได้เพื่อป้องกันผู้ใช้จากการใช้คอมพิวเตอร์

อย่างไรก็ตามผู้ใช้จะไม่ถูกสังเกตเพราะพวกเขาทั้งหมดจะทำให้เขาโทรไปที่ฝ่ายช่วยเหลือ ไม่ว่าจะเป็นการทำให้อุปกรณ์ไม่สามารถบู๊ตได้ปิดการใช้งานบัญชีของเขาปิดการใช้งานบัญชีคอมพิวเตอร์ในโฆษณาหรือทั้งหมดข้างต้น

เรามีปัญหาที่คล้ายกันเมื่อผู้ใช้ระยะไกลไม่สามารถปฏิบัติตามและส่งคืนแล็ปท็อปที่ถูกแทนที่ แต่พวกเขายังคงใช้งานได้ (หมดความเกียจคร้าน) อย่างไรก็ตามในกรณีของเรามันง่ายมากเนื่องจากเราไม่ได้พยายามทำนิติเวช รีโมตลงคอมพิวเตอร์ลบบัญชีผู้ใช้โลคัลลบออกจากโดเมนและลบคอมพิวเตอร์จาก AD Viola ผู้ใช้ไม่สามารถใช้งานได้อีกต่อไปและเราไม่ได้ทำให้แล็ปท็อปทั้งหมดไร้ประโยชน์

ฉันไม่ทราบวิธีที่จะทำให้คอมพิวเตอร์ไร้ประโยชน์แก่ผู้ใช้โดยที่พวกเขาไม่รู้และ / หรือให้พวกเขาโทรไปที่ Help Desk เพื่อให้มันทำงานได้ ฯลฯ

Jane Doe
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.