Necesito realizar remotamente un interruptor de apagado en una computadora con Windows 7 Enterprise conectada a un AD. Específicamente, necesito
- acceder de forma remota a la máquina sin interacción visible del usuario (tengo una cuenta de dominio que es administrador en la máquina)
- hacer que la máquina no sea utilizable (se bloquea / reinicia y no se reinicia)
- preservar el contenido de la máquina (poder documentar lo que se cambió)
La máquina debe estar lo suficientemente dañada como para que la solución de problemas básicos + falle y requiera llevarla a la mesa de ayuda de la compañía.
Para anticipar comentarios: entiendo que esto suena sombrío, pero esta acción es obligatoria, autorizada y legal, dentro de un entorno corporativo.
Viniendo de un fondo Unix, no sé qué es factible remotamente en una máquina con Windows. Idealmente (y de nuevo, con un fondo de Unix en mente) estaría mirando acciones como
- borrar el MBR y forzar un reinicio
- quitando la llave.
dlls que no se recuperarían automáticamente durante un arranque seguro
EDITE los siguientes comentarios: este es un caso forense muy específico que debe manejarse de esta manera complicada.
windows
windows-7
remote-access
forensics
dareils
fuente
fuente
C:\Windowssolo hará un desastre, posiblemente sin siquiera alcanzar el objetivo establecido; bloquear el gestor de arranque es mucho más seguro, se puede deshacer y dejará intacto el sistema operativo real (lo que permite el análisis forense).Respuestas:
No necesita destruir realmente la máquina; simplemente forzarlo a cerrar y bloquear al usuario.
shutdown /m <machinename> /f /t 0para forzar el apagado de una computadora.Solo asegúrese de apagar la computadora antes de deshabilitar su cuenta, de lo contrario quedará bloqueado de la administración remota porque ya no podrá autenticar a nadie contra el dominio, incluido usted.
Si el usuario también tiene una cuenta de usuario local en la computadora de destino, puede deshabilitarla antes de realizar los pasos anteriores; puede hacerlo iniciando el MMC de Administración de Computadoras en cualquier otra computadora como administrador de dominio y conectándolo de forma remota a la computadora que desea administrar; a partir de ahí, también puede tomar cualquier otro paso necesario para asegurarse de que nadie pueda iniciar sesión en la máquina utilizando cuentas de usuario locales (como deshabilitarlas o cambiar sus contraseñas).
Nota al margen: si esto es por problemas legales / de cumplimiento, esta es una razón muy fuerte para no cambiar o eliminar nada en la máquina; de lo contrario, el usuario podría decir más tarde (tal vez correctamente) que la máquina ha sido manipulada; Además, si elimina algo en el sistema de archivos, podría perder datos valiosos (¿quién puede saber si el usuario ha almacenado archivos personales o aplicaciones en las carpetas del sistema?).
fuente
Como ya dije varias veces, si este es un caso forense, le recomiendo encarecidamente que no haga nada diferente a ir físicamente allí y recoger la máquina; alterarlo de cualquier manera está obligado a invalidar cualquier prueba legal que pueda derivarse de él.
Dicho esto, hay varias formas de hacer que una máquina no se pueda arrancar mientras se daña lo menos posible, dependiendo de cómo esté realmente instalado el sistema (las principales diferencias son si el sistema está basado en BIOS o UEFI y si se usa una partición de arranque vs. los archivos de arranque que se almacenan en la partición del sistema); Aquí hay algunas opciones:
C:\bootmgr.bcdedit.exe.Y así; jugar con el gestor de arranque suele ser la mejor manera de hacer que un sistema no se pueda arrancar, sin dañarlo. Pero dado que los sistemas Windows modernos tienen varias vías de arranque posibles, no existe un enfoque universal (por ejemplo, un sistema UEFI no depende en absoluto del MBR y simplemente no le importa la partición activa, si la hay).
Si limita su intervención a los archivos de arranque, el sistema real no se verá afectado y podrá recuperar todo su contenido (e incluso reiniciarlo nuevamente si repara el daño).
fuente
Unas cuantas preguntas:
En caso afirmativo, vaya con la respuesta de @frupfrup.
Otra cosa que podría hacer es causar un error genérico de inicio de sesión en el directorio activo. Primero desactive los inicios de sesión en caché en esa máquina, luego desactive o elimine la cuenta de la computadora en el directorio activo. Para que parezca que la computadora tuvo un ajuste, puede hacer un simple
get-process | stop-process -forceen una sesión remota de PowerShell. O inclusotaskkill /im csrss.exe /fen un símbolo del sistema remoto, utilizando psexec o similar.Cuando se "bloquea" y luego se reinicia y el usuario intenta iniciar sesión, debería obtener un error genérico "Esta computadora no pudo ser autenticada contra el dominio", IIRC. Primero probaría todo esto en algo; Es posible que el problema de autenticación no surta efecto de inmediato o que Windows sea lo suficientemente inteligente como para evitar que ejecute esos comandos.
fuente
Hay muchas cosas que puede hacer para evitar que el usuario use la computadora.
Sin embargo, ninguno de ellos pasará desapercibido para el usuario, ya que todos harán que llame a la mesa de ayuda. Si eso hace que el dispositivo no sea de arranque, deshabilite su cuenta, deshabilite la cuenta de computadora en el AD o todo lo anterior.
Tenemos problemas similares cuando los usuarios remotos no cumplen y devuelven una computadora portátil que fue reemplazada pero continúan usándola (por pereza). Sin embargo, en nuestro caso es muy simple ya que no estamos tratando de hacer ningún análisis forense. Remoto en la computadora, elimine la cuenta del usuario local, elimine del dominio y elimine la computadora de AD. Viola el usuario ya no puede usar y no hemos hecho que la computadora portátil sea totalmente inútil.
Honestamente, no conozco una forma de hacer que una computadora sea inútil para un usuario sin que ellos lo sepan y / o les pida que llamen a la Mesa de Ayuda para que funcione, etc.
fuente