Comment effectuer à distance un kill-switch sur Windows 7?

10

J'ai besoin d'effectuer un kill-switch à distance sur un ordinateur Windows 7 Enterprise connecté à un AD. Plus précisément, je dois

  • accéder à distance à la machine sans interaction visible de l'utilisateur (j'ai un compte de domaine qui est administrateur sur la machine)
  • faire en sorte que la machine ne soit pas utilisable (plante / redémarre et ne démarre pas)
  • conserver le contenu de la machine (pouvoir documenter ce qui a été changé)

La machine doit être suffisamment endommagée pour que le dépannage de base + échoue et nécessite qu'elle soit apportée au service d'assistance de l'entreprise.

Afin d'anticiper les commentaires: Je comprends que cela semble louche mais cette action est requise, autorisée et légale - dans un environnement d'entreprise.

Issu d'un background Unix, je ne sais pas ce qui est faisable à distance sur une machine Windows. Idéalement (et encore, avec un arrière-plan Unix en tête), je regarderais des actions comme

  • effacer le MBR et forcer un redémarrage
  • retirer la clé. dlls qui ne seraient pas récupérés automatiquement lors d'un démarrage sécurisé

MODIFIER les commentaires suivants: il s'agit d'un cas de criminalistique très spécifique qui doit être traité de cette manière alambiquée.

windows  windows-7  remote-access  forensics 
dareils
source
4
Bien que je n'aie pas dévalorisé, cela semble un peu louche. Ne serait-il pas plus facile de s'y rendre et de prendre l'ordinateur?
MichelZ
3
Vous n'avez pas décrit les circonstances qui vous ont amené à essayer quelque chose comme ça, ce qui peut avoir conduit à votre downvote. Je peux imaginer quelques choses qui pourraient justifier quelque chose comme ça, mais si vous décrivez réellement la situation, vous obtiendrez peut-être de meilleures réponses.
Michael Hampton
6
S'il s'agit d'un cas de médecine légale, je vous déconseille fortement de faire autre chose que d'y aller physiquement et de prendre la machine. Tout le reste est tenu d'invalider toute preuve légale qui pourrait en découler.
Massimo
2
@frupfrup: personne ne panique ici; mais je pense honnêtement que, même si vous voulez vraiment aller "rendons le système inutilisable", essayer de supprimer C:\Windowsne fera que gâcher, peut-être même sans atteindre l'objectif fixé; le blocage du gestionnaire de démarrage est beaucoup plus sûr, il ne peut pas être annulé et laissera le système d'exploitation réel intact (permettant ainsi une analyse judiciaire).
Massimo
2
Massimo

Réponses:

11

Vous n'avez pas besoin de réellement détruire la machine; il suffit de le forcer à fermer et à verrouiller l'utilisateur.

  • Exécutez shutdown /m <machinename> /f /t 0pour forcer l'arrêt de l'ordinateur.
  • Désactivez le compte d'utilisateur Active Directory pour l'utilisateur.
  • Désactivez le compte d'utilisateur Active Directory pour l'ordinateur.

Assurez-vous simplement d'éteindre l'ordinateur avant de désactiver son compte, sinon vous serez exclu de la gestion à distance car il ne pourra plus authentifier personne contre le domaine, y compris vous-même.

Si l'utilisateur possède également un compte d'utilisateur local sur l'ordinateur cible, vous pouvez le désactiver avant d'effectuer les étapes ci-dessus; vous pouvez le faire en démarrant la console de gestion de l'ordinateur sur n'importe quel autre ordinateur en tant qu'administrateur de domaine et en la connectant à distance à l'ordinateur que vous souhaitez gérer; à partir de là, vous pouvez également prendre toutes les autres mesures nécessaires pour vous assurer que personne ne peut se connecter à la machine à l'aide de comptes d'utilisateurs locaux (comme les désactiver ou modifier leurs mots de passe).

Note latérale: s'il s'agit de problèmes juridiques / de conformité, c'est une très bonne raison de ne rien changer ou supprimer quoi que ce soit sur la machine; sinon, l'utilisateur pourrait dire plus tard (peut-être correctement) que la machine a été falsifiée; De plus, si vous supprimez quelque chose sur le système de fichiers, vous risquez de perdre des données précieuses (qui peut savoir si l'utilisateur a stocké des fichiers personnels ou des applications dans des dossiers système?).

Massimo
source
C'est tout à fait correct et une bien meilleure façon. Mais l'OP a dit que l'utilisateur ne devrait pas en tenir compte ... s'il ne pouvait plus se connecter, il en prendrait note ... La plupart des utilisateurs appellent alors le service d'assistance et leur disent de déverrouiller leur compte ...
frupfrup
1
Si la machine plante brutalement, l'utilisateur va certainement le remarquer de toute façon ...
Massimo
Peut-il empêcher par exemple le démarrage de l'utilisateur à partir de l'USB et ajouter un compte d'administrateur local? (Je ne sais rien d'Active Directory)
jingyu9575
2
@ jingyu9575 Si l'utilisateur est suffisamment averti pour modifier une base de données d'utilisateurs hors ligne, il réinstallera probablement Windows seul au lieu de prendre la machine au service d'assistance. Qu'essayons-nous d'accomplir exactement ici?!?
Massimo
Ces changements ne le font pas réellement. Tout ce qu'ils ont à faire est de démarrer sans brancher le câble réseau.
joshudson
4

Comme je l'ai déjà dit à plusieurs reprises, s'il s'agit d'un cas de médecine légale, je vous déconseille fortement de faire autre chose que d'y aller physiquement et de prendre la machine; l'altérer de quelque manière que ce soit est tenu d'invalider toute preuve légale qui pourrait en découler.

Cela dit, il existe plusieurs façons de rendre une machine non amorçable tout en l'endommageant le moins possible, selon la façon dont le système est réellement installé (les principales différences étant que le système est basé sur le BIOS ou l'UEFI et si une partition de démarrage est utilisée par rapport aux fichiers de démarrage stockés sur la partition système); voici quelques options:

  • Supprimez le contenu de la partition de démarrage et / ou de la partition UEFI (généralement masqué mais vous pouvez le monter); ou supprimez les fichiers de démarrage de la partition système, si aucune partition de démarrage n'est utilisée.
  • Supprimez le fichier C:\bootmgr.
  • Modifiez la configuration du gestionnaire de démarrage à l'aide de bcdedit.exe.
  • Modifiez la table de partition pour ne pas avoir de partition active.

Etc; jouer avec le gestionnaire de démarrage est généralement le meilleur moyen de rendre un système non amorçable, sans pour autant l'endommager. Mais comme les systèmes Windows modernes ont plusieurs voies de démarrage possibles, il n'y a pas d'approche universelle (par exemple, un système UEFI ne repose pas du tout sur le MBR et ne se soucie pas de la partition active, le cas échéant).

Si vous limitez votre intervention aux fichiers de démarrage, le système actuel sera intact et vous pourrez récupérer tout son contenu (et même le redémarrer si vous annulez les dommages).

Massimo
source
3

Quelques questions:

  • Y a-t-il une raison pour laquelle vous devez emprunter une voie destructrice?

Si oui, allez avec la réponse de @ frupfrup.

  • L'utilisateur dispose-t-il uniquement d'une connexion au domaine ou dispose-t-il également d'une connexion locale?
  • À quelle vitesse cela doit-il prendre effet?

Vous pouvez également provoquer une erreur de connexion générique à Active Directory. Tout d'abord, désactivez les connexions mises en cache sur cette machine, puis désactivez ou supprimez le compte d' ordinateur dans le répertoire actif. Pour donner l'impression que l'ordinateur avait un ajustement, vous pouvez faire un simple get-process | stop-process -forcedans une session PowerShell à distance. Ou même taskkill /im csrss.exe /fdans une invite de commande à distance, en utilisant psexec ou similaire.

Quand il "plante" puis redémarre et que l'utilisateur essaie de se connecter, il devrait obtenir une erreur quelque peu générique "Cet ordinateur n'a pas pu être authentifié par rapport au domaine", IIRC. Je testerais tout cela sur quelque chose en premier; Le problème d'authentification peut ne pas prendre effet immédiatement ou les fenêtres peuvent être suffisamment intelligentes pour vous empêcher d'exécuter ces commandes.

Neil
source
1

Il y a beaucoup de choses que vous pouvez faire pour empêcher l'utilisateur d'utiliser l'ordinateur.

Cependant, aucun d'entre eux ne passera inaperçu par l'utilisateur, car tous le feront appeler le Help Desk. Que cela rend le périphérique non amorçable, la désactivation de son compte, la désactivation du compte d'ordinateur dans l'AD ou tout ce qui précède.

Nous avons des problèmes similaires lorsque les utilisateurs distants ne se conforment pas et ne retournent pas un ordinateur portable qui a été remplacé, mais ils continuent de l'utiliser (par paresse). Cependant, dans notre cas, c'est très simple car nous n'essayons pas de faire de la criminalistique. À distance dans l'ordinateur, supprimez le compte de l'utilisateur local, supprimez du domaine et supprimez l'ordinateur de l'AD. Viola l'utilisateur ne peut plus utiliser et nous n'avons pas totalement rendu l'ordinateur portable inutile.

Honnêtement, je ne connais pas de moyen de rendre un ordinateur inutile à un utilisateur sans qu'il le sache et / ou le fasse appeler le Help Desk pour le rendre opérationnel, etc.

Jane Doe
source
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.