Question Comment effectuer à distance un kill-switch sur Windows 7?


Je dois effectuer un kill-switch à distance sur un ordinateur Windows 7 Enterprise connecté à un AD. Plus précisément, j'ai besoin de

  • accéder à distance à la machine sans interaction visible de l'utilisateur (j'ai un compte de domaine qui est administrateur sur la machine)
  • faire en sorte que la machine ne soit pas utilisable (plante / redémarre et ne redémarre pas)
  • conserver le contenu de la machine (pouvoir documenter ce qui a été changé)

La machine doit être suffisamment endommagée pour que le dépannage de base + échoue et nécessite son acheminement vers un centre d'assistance de l'entreprise.

Afin d'anticiper les commentaires: Je comprends que cela semble louche mais cette action est obligatoire, autorisée et légale - dans un environnement d'entreprise.

Venant d’un environnement Unix, je ne sais pas ce qui est réalisable à distance sur une machine Windows. Idéalement (et encore, avec un fond unix à l’esprit), j’examinerais des actions comme

  • effacer le MBR et forcer un redémarrage
  • retirer la clé.dlls qui ne seraient pas automatiquement récupérés lors d'un démarrage en toute sécurité

EDIT les commentaires suivants: il s’agit d’un cas de criminalistique très spécifique qui doit être traité de cette manière compliquée.


10
2017-11-27 08:18


origine


Bien que je n’ai pas voté négativement, cela semble un peu louche. Ne serait-il pas plus facile d'y aller et de prendre l'ordinateur? - MichelZ
Vous n'avez pas décrit les circonstances qui vous ont amené à essayer quelque chose comme cela, ce qui pourrait avoir conduit à votre vote négatif. Je peux imaginer quelques petites choses qui pourraient justifier une telle chose, mais si vous décrivez réellement la situation, vous obtiendrez de meilleures réponses. - Michael Hampton♦
S'il s'agit d'un cas de médecine légale, je fortement vous déconseillez de faire autre chose que d'aller physiquement là-bas et de prendre la machine. Tout le reste est tenu d'invalider toute preuve légale qui pourrait en découler. - Massimo
@frupfrup: personne ne panique ici; mais honnêtement, je pense que même si vous vraiment vouloir aller "rendons le système inutilisable", en essayant de supprimer C:\Windows ne fera que semer le trouble, peut-être même sans atteindre l'objectif fixé; Le blocage du gestionnaire de démarrage est beaucoup plus sûr, il est impossible de le perdre, et laissera le réel O.S. intacte (permettant ainsi l'analyse médico-légale). - Massimo
Voir aussi ici: meta.stackexchange.com/questions/66377/what-is-the-xy-problem. - Massimo


Réponses:


Vous n'avez pas besoin de détruire la machine; forcez-le simplement à fermer et à verrouiller l'utilisateur.

  • Courir shutdown /m <machinename> /f /t 0 forcer un arrêt de l'ordinateur.
  • Désactivez le compte d'utilisateur Active Directory pour l'utilisateur.
  • Désactivez le compte d'utilisateur Active Directory pour l'ordinateur.

Assurez-vous simplement d'éteindre l'ordinateur avant en désactivant son compte, sinon vous serez exclu de la gestion à distance car il ne sera plus en mesure de s'authentifier n'importe qui contre le domaine, y compris vous-même.

Si l'utilisateur a également un compte d'utilisateur local sur l'ordinateur cible, vous pouvez le désactiver avant d'effectuer les étapes ci-dessus. vous pouvez le faire en démarrant la console MMC Gestion de l'ordinateur sur tout autre ordinateur en tant qu'administrateur de domaine et en le connectant à distance à l'ordinateur que vous souhaitez gérer; à partir de là, vous pouvez également prendre toute autre mesure nécessaire pour vous assurer que personne ne peut se connecter à la machine à l'aide de comptes d'utilisateur locaux (tels que les désactiver ou modifier leurs mots de passe).


Note latérale: s’il s’agit de problèmes juridiques / de conformité, c’est une très bonne raison de ne pas changer ou supprimer quoi que ce soit sur la machine; sinon, l'utilisateur pourrait plus tard dire (peut-être correctement) que la machine a été altérée; de plus, si vous supprimez quelque chose sur le système de fichiers, vous risquez de perdre des données précieuses (qui peut savoir si l'utilisateur a stocké des fichiers personnels ou des applications dans des dossiers système?).


11
2017-11-27 09:47



C'est tout à fait correct et une bien meilleure façon. Mais l'OP a déclaré que l'utilisateur ne devrait pas en prendre connaissance ... s'il ne pouvait plus se connecter, il en prendrait note ... la plupart des utilisateurs appelleraient ensuite le service d'assistance et leur diraient de déverrouiller leur compte ... - frupfrup
Si la machine tombe brutalement en panne, l'utilisateur va certainement le remarquer quand même ... - Massimo
Peut-il prévenir par exemple l'utilisateur démarre-t-il à partir de l'USB et ajoute un compte d'administrateur local? (Je ne connais rien à Active Directory) - jingyu9575
@ jingyu9575 Si l'utilisateur est suffisamment familiarisé avec les technologies pour modifier une base de données d'utilisateurs hors connexion, il réinstallera probablement Windows lui-même au lieu de prendre la machine avec le support technique. Qu'essayons-nous exactement d'accomplir ici?!? - Massimo
Ces changements ne le font pas réellement. Tout ce qu'ils ont à faire est de démarrer sans brancher le câble réseau. - joshudson


Comme je l’ai déjà dit à plusieurs reprises, s’il s’agit d’un cas de médecine légale, fortement vous déconseille de faire autre chose que d'aller physiquement là-bas et de prendre la machine en main; falsifier dans tout manière à invalider toute preuve légale qui pourrait en découler.


Cela dit, il existe plusieurs façons de rendre une machine non amorçable tout en l'endommageant le moins possible, en fonction de la manière dont le système est réellement installé (les principales différences étant si le système est basé sur BIOS ou UEFI et si une partition de démarrage est utilisée fichiers de démarrage stockés sur la partition système); voici quelques options:

  • Supprimez le contenu de la partition de démarrage et / ou de la partition UEFI (généralement caché mais vous pouvez le monter); ou supprimez les fichiers de démarrage de la partition système si aucune partition de démarrage n'est en cours d'utilisation.
  • Supprimer le fichier C:\bootmgr.
  • Modifiez la configuration du gestionnaire de démarrage à l'aide de bcdedit.exe.
  • Modifier la table de partition pour ne pas avoir une partition active.

Etc; S'amuser avec le gestionnaire de démarrage est généralement le meilleur moyen de rendre un système non amorçable, sans pour autant l'endommager. Mais comme les systèmes Windows modernes ont plusieurs chemins de démarrage possibles, il n’ya pas d’approche universelle (par exemple, un système UEFI ne dépend pas du tout du MBR et ne se soucie tout simplement pas de la partition active, le cas échéant).

Si vous limitez votre intervention au démarrage des fichiers, le système actuel restera intact et vous pourrez récupérer tout son contenu (et même le redémarrer si vous annulez les dégâts).


4
2017-11-27 12:27





Quelques questions:

  • Y a-t-il une raison pour laquelle vous devez emprunter une voie destructive?

Si oui, allez avec la réponse de @ frupfrup.

  • L'utilisateur dispose-t-il uniquement d'une connexion de domaine ou d'un compte local? ainsi que?
  • À quelle vitesse cela doit-il prendre effet?

Vous pouvez également provoquer une erreur de connexion générique à Active Directory. Commencez par désactiver les connexions en cache sur cette machine, puis désactivez ou supprimez le fichier. ordinateur compte dans Active Directory. Pour que l’ordinateur ressemble à un ordinateur, vous pouvez faire un simple get-process | stop-process -force dans une session PowerShell à distance. Ou même taskkill /im csrss.exe /f dans une invite de commande à distance, en utilisant psexec ou similaire.

Lorsqu'il "se bloque" puis redémarre et que l'utilisateur essaie de se connecter, il doit obtenir un type d'erreur "Cet ordinateur ne peut pas être authentifié par rapport au domaine", IIRC. Je testerais tout cela sur quelque chose en premier; Le problème d'authentification peut ne pas prendre effet tout de suite, ou Windows peut être suffisamment intelligent pour vous empêcher d'exécuter ces commandes.


3
2017-11-27 09:34





Vous pouvez faire beaucoup pour empêcher l'utilisateur d'utiliser l'ordinateur.

Cependant, aucun d'entre eux ne passera inaperçu par l'utilisateur, car ils le feront tous appeler le service d'assistance. Qu'il s'agisse de rendre le périphérique non amorçable, de désactiver son compte, de désactiver le compte d'ordinateur dans l'ANNONCE ou tout ce qui précède.

Nous rencontrons des problèmes similaires lorsque des utilisateurs distants ne se conforment pas et renvoient un ordinateur portable qui a été remplacé, mais qu'ils continuent à l'utiliser (par paresse). Cependant, dans notre cas, c'est très simple, car nous n'essayons pas de faire de la médecine légale. À distance dans l'ordinateur, supprimez le compte de l'utilisateur local, supprimez du domaine et supprimez l'ordinateur de AD. Viola l'utilisateur ne peut plus utiliser et nous n'avons pas totalement rendu l'ordinateur portable inutile.

Honnêtement, je ne connais pas un moyen de rendre un ordinateur inutile à un utilisateur sans le savoir et / ou lui demander d'appeler le service d'assistance pour le rendre opérationnel, etc.


1
2018-05-18 14:40