Windows 7'de uzaktan bir kill-switch nasıl gerçekleştirilir?

Uzaktan AD'ye bağlı bir Windows 7 Enterprise bilgisayarında bir kill-switch gerçekleştirmem gerekiyor. Özellikle,

• görünür kullanıcı etkileşimi olmadan makineye uzaktan erişme (makinede yönetici olan bir etki alanı hesabım var)
• makinenin kullanılamayacağı şekilde ayarlayın (çöküyor / yeniden başlatılıyor ve önyükleme yapmıyor)
• makinenin içeriğini koruyun (neyin değiştiğini belgeleyebilme)

Makine, temel + sorun giderme işlemlerinin başarısız olacağı ve şirket yardım masasına getirilmesini gerektirecek kadar hasar görmüş olmalıdır.

Yorumları tahmin etmek için: Bunun gölgeli göründüğünü anlıyorum, ancak bu işlem kurumsal bir ortamda gerekli, yetkili ve yasal.

Bir Unix geçmişinden geliyor, bir Windows makinesinde neyin uzaktan mümkün olduğunu bilmiyorum. İdeal olarak (ve yine unix arka planı göz önünde bulundurarak)

• MBR'yi silme ve yeniden başlatmaya zorlama
• anahtar kaldırılıyor. dllgüvenli bir önyükleme sırasında otomatik olarak kurtarılamayacak s

Aşağıdaki yorumları DÜZENLE: Bu, bu kıvrımlı yolla ele alınması gereken çok spesifik bir adli tıp vakasıdır.

Makineyi gerçekten yok etmenize gerek yok; kullanıcıyı kapatmaya ve kilitlemeye zorlamanız yeterlidir.

• shutdown /m <machinename> /f /t 0Bilgisayarın kapanmasını zorlamak için çalıştırın .
• Kullanıcı için Active Directory kullanıcı hesabını devre dışı bırakın.
• Bilgisayar için Active Directory kullanıcı hesabını devre dışı bırakın.

Sadece hesabını devre dışı bırakmadan önce bilgisayarı kapattığınızdan emin olun , aksi takdirde kendiniz de dahil olmak üzere alan adında kimsenin kimliğini doğrulayamayacağı için uzaktan yönetimden kilitlenirsiniz .

Kullanıcının hedef bilgisayarda da yerel bir kullanıcı hesabı varsa, yukarıdaki adımları gerçekleştirmeden önce hesabı devre dışı bırakabilirsiniz; bunu, başka bir bilgisayarda Bilgisayar Yönetimi MMC'sini etki alanı yöneticisi olarak başlatarak ve yönetmek istediğiniz bilgisayara uzaktan bağlayarak yapabilirsiniz; buradan, hiç kimsenin yerel kullanıcı hesaplarını (makineyi devre dışı bırakmak veya şifrelerini değiştirmek gibi) kullanarak makinede oturum açamadığından emin olmak için gerekli diğer adımları da atabilirsiniz.

Yan not: Bu yasal / uyumluluk sorunları içinse, bu makinedeki hiçbir şeyi değiştirmemek veya silmemek için çok güçlü bir nedendir ; aksi takdirde kullanıcı daha sonra makinenin kurcalandığını (belki de doğru şekilde) söyleyebilir; ayrıca, dosya sistemindeki herhangi bir şeyi silerseniz, değerli verileri kaybedebilirsiniz (kullanıcının kişisel klasörleri veya uygulamaları sistem klasörlerinde saklayıp saklamadığını kim bilebilir?).

Daha önce de söylediğim gibi, eğer bu bir adli tıp vakası ise, fiziksel olarak oraya gitmekten ve makineyi almaktan farklı bir şey yapmamanızı şiddetle tavsiye ederim; onunla herhangi bir şekilde oynanması, ondan gelebilecek herhangi bir yasal kanıtı geçersiz kılmak zorundadır.

Bununla birlikte, sistemin gerçekte nasıl kurulduğuna bağlı olarak bir makineyi mümkün olduğunca az zarar verirken önyüklenemez hale getirmenin birkaç yolu vardır (temel farklar, sistemin BIOS veya UEFI tabanlı olması ve bir önyükleme bölümünün kullanılmasıdır vs. sistem bölümünde depolanan önyükleme dosyaları); İşte bazı seçenekler:

• Önyükleme bölümünün ve / veya UEFI bölümünün içeriğini silin (genellikle gizlidir, ancak takabilirsiniz); veya kullanımda önyükleme bölümü yoksa önyükleme dosyalarını sistem bölümünden silin.
• Dosyayı silin C:\bootmgr.
• Tuşunu kullanarak önyükleme yöneticisi yapılandırmasını değiştirin bcdedit.exe.
• Bölümleme tablosunu etkin bir bölüme sahip olmayacak şekilde değiştirin.

Ve bunun gibi; Önyükleme yöneticisi ile uğraşmak genellikle bir sistemi önyüklenemez hale getirmenin en iyi yoludur ve aslında zarar vermemektedir. Ancak, modern Windows sistemlerinin birkaç olası önyükleme yolu olduğundan, evrensel bir yaklaşım yoktur (bir UEFI sistemi MBR'ye hiç güvenmiyor ve eğer varsa aktif bölümü umursamıyor).

Müdahalenizi dosyaları önyükleme ile sınırlandırırsanız, gerçek sisteme dokunulmaz ve tüm içeriğini kurtarabilirsiniz (ve hatta hasarı geri alırsanız yeniden başlatabilirsiniz).

Birkaç soru:

• Yıkıcı bir rotaya gitmenizin bir nedeni var mı?

Evet ise, @ frupfrup'un cevabı ile devam edin.

• Kullanıcının yalnızca bir etki alanı oturumu var mı, yoksa yerel bir girişi var mı?
• Bunun etkili olması ne kadar hızlı?

Yapabileceğiniz başka bir şey, genel bir etkin dizin giriş hatasına neden olmasıdır. Öncelikle bu makinede önbelleğe alınan girişleri devre dışı bırakın, ardından etkin dizindeki bilgisayar hesabını devre dışı bırakın veya silin . Bilgisayarın uygun gibi görünmesini sağlamak için, get-process | stop-process -forceuzak bir powershell oturumunda basit bir işlem yapabilirsiniz . Veya taskkill /im csrss.exe /fuzaktan komut isteminde bile , psexec veya benzeri bir komut kullanarak.

"Çöküyor" sonra yeniden başlatılır ve kullanıcı giriş yapmaya çalıştığında, biraz genel "Bu bilgisayar etki alanı karşı kimlik doğrulaması olamazdı" hata, IIRC almalıdır. Bütün bunları önce bir şey üzerinde test ederdim; Kimlik doğrulama sorunu hemen etkili olmayabilir veya pencereler bu komutları çalıştırmanızı engelleyecek kadar akıllı olabilir.

Kullanıcının bilgisayarı kullanmasını önlemek için yapabileceğiniz birçok şey vardır.

Ancak, hiçbiri kullanıcı tarafından fark edilmeyecektir, çünkü hepsi Yardım Masası'nı aramasına neden olacaktır. Bunun cihazı önyükleme yapıp yapmadığı, hesabını devre dışı bırakma, AD'deki Bilgisayar Hesabını veya yukarıdakilerin tümünü devre dışı bırakma.

Uzak kullanıcılar, değiştirilen bir dizüstü bilgisayara uyup geri dönmediklerinde de benzer sorunlarımız var, ancak kullanmaya devam ediyorlar (tembellikten yoksun). Ancak, bizim durumumuzda çok basit çünkü adli tıp yapmaya çalışmıyoruz. Bilgisayara uzaktan, Yerel Kullanıcının hesabını silin, Etki Alanından kaldırın ve Bilgisayarı AD'den silin. Viola kullanıcı artık kullanıcı olamaz ve biz dizüstü tamamen yararsız yapmadık.

Dürüst olmak gerekirse, bir bilgisayarı bilmeden ve / veya operasyonel hale getirmek için Yardım Masası'nı aramalarını istemeden bir kullanıcı için işe yaramaz hale getirmenin bir yolunu bilmiyorum.