如何在Windows 7上远程执行kill-switch？

10

我需要在连接到AD的Windows 7 Enterprise计算机上远程执行kill-switch。具体来说，我需要

无需可见的用户交互即可远程访问计算机（我有一个域帐户，该帐户是计算机上的管理员）
使其无法使用机器（崩溃/重新引导并且不重新引导）
保留机器的内容（能够记录更改的内容）

机器必须损坏得足以使基本故障排除失败，并要求将其带到公司服务台。

为了预料到评论：我知道这听起来很可疑，但是在公司环境中，此操作是必需的，经过授权的和合法的。

来自Unix背景，我不知道在Windows计算机上远程可行的方法。理想情况下（再次考虑到Unix背景），我会考虑以下操作

擦除MBR并强制重新启动
拔出钥匙。dll不会在安全启动期间自动恢复的s

编辑以下评论：这是一个非常特殊的取证案例，需要通过这种复杂的方式进行处理。

— 胆小鬼
source

4

虽然我没有投票，但看起来有点阴暗。只去那里拿电脑会不会更容易？

— MichelZ

3

您没有描述导致您尝试类似情况的情况，这可能导致您的投票不足。我可以想象一些事情可以证明这样的说法是正确的，但是如果您实际描述这种情况，则可能会得到更好的答案。

— 迈克尔·汉普顿

6

如果是法医案件，我强烈建议您不要做任何与实际去那里并拿起机器不同的事情。其他所有内容都将使可能由此产生的任何法律证据无效。

— Massimo 2015年

2

@frupfrup：这里没有人吓到；但老实说，即使您真的想“让系统无法使用”，尝试删除C:\Windows也只会使事情变得一团糟，甚至可能达不到既定目标。阻止启动管理器更加安全，这是无法撤消的，并且不会影响实际的操作系统（因此可以进行取证分析）。

— Massimo 2015年

2

另请参阅此处：meta.stackexchange.com/questions/66377/what-is-the-xy-problem。

— Massimo 2015年

11

您无需真正销毁机器。只需强制其关闭并锁定用户即可。

运行shutdown /m <machinename> /f /t 0以强制关闭计算机。
禁用该用户的Active Directory用户帐户。
禁用计算机的Active Directory用户帐户。

只需确保在禁用计算机帐户之前先关闭计算机，否则您将无法进行远程管理，因为该计算机将无法再针对该域对任何人（包括您自己）进行身份验证。

如果该用户在目标计算机上也具有本地用户帐户，则可以在执行上述步骤之前将其禁用；您可以通过以域管理员身份在任何其他计算机上启动“计算机管理” MMC并将其远程连接到要管理的计算机上来进行操作；从那里，您还可以采取任何其他必要步骤，以确保没有人可以使用本地用户帐户登录到计算机（例如，禁用它们或更改其密码）。

旁注：如果这是出于法律/合规性问题，这是不更改或删除计算机上任何内容的非常有力的理由；否则，用户以后可能会说（也许正确）机器已被篡改；同样，如果删除文件系统上的任何内容，则可能会丢失宝贵的数据（谁能分辨出用户是否已将个人文件或应用程序存储在系统文件夹中？）。

— 马西莫
source

那是完全正确的，也是更好的方法。但是OP表示，用户应该不注意...如果他再也无法登录，则会引起注意...大多数用户然后会致电服务台并告诉他们解锁帐户...

— frupfrup

1

如果机器突然崩溃，用户肯定会注意到……

— Massimo 2015年

是否可以防止用户从USB启动并添加本地管理员帐户？（我对Active Directory一无所知）

— jingyu9575 2015年

2

@ jingyu9575如果用户精通技术以编辑脱机用户数据库，则他可能会自己重新安装Windows，而不是将计算机带到帮助台。我们到底要在这里完成什么？！？

— Massimo 2015年

这些更改实际上并没有执行。他们所要做的就是不插入网络电缆进行引导。

— joshudson

4

正如我已经说过几次，如果是法医案件，我强烈建议您不要做任何其他事情，而不必亲自去那里取机器。以任何方式篡改它必然会使它可能产生的任何法律证据无效。

就是说，有几种方法可以使计算机无法启动，同时尽可能减少对计算机的损坏，具体取决于系统的实际安装方式（主要区别是系统是否基于BIOS或UEFI，以及是否使用了引导分区）与存储在系统分区上的启动文件）；这里有一些选择：

删除启动分区和/或UEFI分区的内容（通常是隐藏的，但您可以挂载它）；或从系统分区中删除引导文件（如果未使用引导分区）。
删除文件C:\bootmgr。
使用更改引导管理器配置bcdedit.exe。
更改分区表以使其没有活动分区。

等等; 通常，使引导管理器混乱是使系统无法引导，同时又不损坏系统的最佳方法。但是，由于现代Windows系统具有几种可能的引导路径，因此没有一种通用的方法（UEFI系统根本不依赖MBR，并且根本不关心活动分区（如果有））。

如果将干预仅限于引导文件，则实际的系统将保持不变，并且您将能够恢复其所有内容（甚至在撤消损坏后再次引导它）。

— 马西莫
source

3

几个问题：

您是否需要采取任何破坏性的措施？

如果是，请使用@frupfrup的答案。

用户是否仅具有域登录名，或者他们也具有本地登录名？
这需要多长时间才能生效？

您可能要做的另一件事是导致一般的活动目录登录错误。首先在该计算机上禁用缓存的登录名，然后在活动目录中禁用或删除计算机帐户。为了使计算机看起来合适，您可以get-process | stop-process -force在远程powershell会话中进行简单的设置。甚至taskkill /im csrss.exe /f在远程命令提示符下，使用psexec或类似命令。

当它“崩溃”然后重新启动并且用户尝试登录时，他应该得到某种通用的“此计算机无法针对域进行身份验证”错误类型IIRC。我将首先对所有这些进行测试；身份验证问题可能不会立即生效，或者窗口可能足够聪明，无法阻止您运行这些命令。

— 尼尔
source

1

您可以采取许多措施来防止用户使用计算机。

但是，它们都不会让用户忽略，因为它们都会导致他致电帮助台。是否使设备无法启动，禁用其帐户，禁用AD中的计算机帐户或上述所有功能。

当远程用户不遵从并退回一台被替换但仍继续使用笔记本电脑（懒惰）的笔记本电脑时，我们也会遇到类似的问题。但是，在我们的案例中，这非常简单，因为我们不尝试进行任何取证。远程进入计算机，删除本地用户帐户，从域中删除，然后从AD中删除计算机。中提琴用户不再能使用，并且我们还没有完全使笔记本电脑变得无用。

老实说，我不知道一种使用户无法使用计算机的方法，而无需他们知道和/或让他们致电帮助台以使其正常运行等。

— 简·多伊
source