web-dev-qa-db-ja.com

Windows 7でkill-switchをリモートで実行する方法は?

ADに接続されたWindows 7 Enterpriseコンピューターでリモートでkill-switchを実行する必要があります。具体的には、私はする必要があります

  • 目に見えるユーザー操作なしでマシンにリモートアクセスする(マシンの管理者であるドメインアカウントを持っている)
  • マシンが使用できないようにします(クラッシュ/再起動し、再起動しません)。
  • マシンの内容を保存する(変更内容を文書化できる)

マシンは、基本的なトラブルシューティングが失敗するほど損傷しており、会社のヘルプデスクに持っていく必要があります。

コメントを予測するために:私はこれは疑わしいように聞こえるが、このアクションは企業環境内で必要であり、認可され、合法であると理解しています。

Unixの背景から来たのですが、Windowsマシンでリモートで何が可能かわかりません。理想的には(また、UNIXの背景を念頭に置いて)、次のようなアクションを検討します。

  • mBRの消去と再起動の強制
  • セーフブート中に自動的に復元されないキー.dllsを削除する

次のコメントを編集:これは非常に特殊なフォレンジックのケースであり、この複雑な方法で処理する必要があります。

windowswindows-7remote-accessforensics
10
dareils

実際にマシンを破壊する必要はありません。強制的にシャットダウンしてユーザーをロックアウトします。

  • shutdown /m <machinename> /f /t 0を実行して、コンピュータを強制的にシャットダウンします。
  • ユーザーのActive Directoryユーザーアカウントを無効にします。
  • コンピューターのActive Directoryユーザーアカウントを無効にします。

コンピュータをシャットダウンすることを確認してくださいbeforeそのアカウントを無効にしてください。そうしないと、認証できなくなるため、リモート管理からロックアウトされます自分を含むドメインに対する誰でも

ユーザーがターゲットコンピューターにローカルユーザーアカウントも持っている場合は、上記の手順を実行する前にそれを無効にすることができます。コンピュータの管理MMCをドメイン管理者として他のコンピュータで開始し、管理するコンピュータにリモートで接続することにより、これを行うことができます。そこから、他の必要な手順を実行することもできます。ローカルユーザーアカウントを使用してマシンにログインできないようにします(アカウントの無効化やパスワードの変更など)。

補足:これが法的/コンプライアンスの問題である場合、これは変更または削除しないをオンにする非常に強い理由ですこの機械;そうでなければ、ユーザーは後で(おそらく正しく)マシンが改ざんされたと言う可能性があります。また、ファイルシステムで何かを削除すると、貴重なデータが失われる可能性があります(ユーザーが個人用のファイルまたはアプリケーションをシステムフォルダーに保存しているかどうかは誰が知ることができますか?)。

11
Massimo

私がすでに何度か言ったように、これがフォレンジックのケースである場合、私はstronglyそこに物理的に行くこと以外のことをしないようにアドバイスします機械を持ち上げます。 anyの方法でそれを改ざんすると、それに起因する可能性のある法的証明が無効になります。

とはいえ、システムが実際にインストールされている方法(システムがBIOSまたはUEFIベースであるかどうか、およびブートパーティションが使用されているかどうかによる主な違い)に応じて、マシンをできるだけ損傷せずにブートできないようにする方法はいくつかありますシステムパーティションに格納されているブートファイルとの違い);ここにいくつかのオプションがあります:

  • ブートパーティションやUEFIパーティション(通常は非表示ですが、マウントできます)の内容を削除します。または、ブートパーティションが使用されていない場合は、システムパーティションからブートファイルを削除します。
  • ファイルC:\bootmgrを削除します。
  • bcdedit.exeを使用して、ブートマネージャー構成を変更します。
  • アクティブなパーティションがないようにパーティションテーブルを変更します。

等々;ブートマネージャーをいじることは、システムを実際に損傷させない一方で、システムをブート不能にするための最良の方法です。しかし、最近のWindowsシステムにはいくつかの可能なブートパスがあるため、普遍的なアプローチはありません(つまり、UEFIシステムはMBRにまったく依存せず、アクティブパーティションがあってもそれを気にしません)。

ブートファイルへの介入を制限すると、実際のシステムは影響を受けず、すべての内容を回復できます(損傷を元に戻した場合は、再度ブートすることもできます)。

4
Massimo

いくつかの質問:

  • 破壊的なルートを進む必要がある理由はありますか?

はいの場合は、@ frupfrupの答えを使用してください。

  • ユーザーはドメインログオンしか持っていませんか、それともローカルログインも持っていますか?
  • これはどれぐらい早く実施する必要がありますか?

もう1つのことは、一般的なActive Directoryログインエラーを引き起こすことです。最初にそのマシンでキャッシュされたログインを無効にし、次にActive Directoryでcomputerアカウントを無効にするか削除します。コンピュータにフィットしたように見せるために、単純なget-process | stop-process -forceリモートPowerShellセッションで。あるいは taskkill /im csrss.exe /fリモートコマンドプロンプトで、psexecなどを使用。

「クラッシュ」してから再起動してユーザーがログインしようとすると、多少一般的な「このコンピューターはドメインに対して認証できませんでした」タイプのエラー、IIRCが表示されます。最初に、これらすべてを何かでテストします。認証の問題がすぐに有効にならない場合や、ウィンドウが十分にスマートであるため、これらのコマンドを実行できない場合があります。

3
Neil

ユーザーがコンピューターを使用できないようにするためにできることはたくさんあります。

ただし、それらのすべてがユーザーにヘルプデスクへの電話をかけるため、ユーザーに気付かれることはありません。それがデバイスを起動不可能にするかどうか、彼のアカウントを無効にするか、ADまたは上記すべてのコンピューターアカウントを無効にするかどうか。

リモートユーザーがコンプライアンスに準拠せず、交換されたラップトップを返却したときにも同様の問題が発生しますが、彼らはそれを使い続けます(怠惰なため)。しかし、私たちのケースでは、フォレンジックを行わないようにしているため、非常に簡単です。コンピューターにリモートで、ローカルユーザーのアカウントを削除し、ドメインから削除し、ADからコンピューターを削除します。ユーザーが使用できなくなったViolaと、ラップトップがまったく役に立たなくなったわけではありません。

私は正直に言って、ユーザーが知らない、またはヘルプデスクを呼び出して操作できるようにしていないユーザーにコンピューターを役に立たなくする方法を知りません。

1
Jane Doe