¿Cómo realizar remotamente un interruptor de interrupción en Windows 7?

10

Necesito realizar remotamente un interruptor de apagado en una computadora con Windows 7 Enterprise conectada a un AD. Específicamente, necesito

  • acceder de forma remota a la máquina sin interacción visible del usuario (tengo una cuenta de dominio que es administrador en la máquina)
  • hacer que la máquina no sea utilizable (se bloquea / reinicia y no se reinicia)
  • preservar el contenido de la máquina (poder documentar lo que se cambió)

La máquina debe estar lo suficientemente dañada como para que la solución de problemas básicos + falle y requiera llevarla a la mesa de ayuda de la compañía.

Para anticipar comentarios: entiendo que esto suena sombrío, pero esta acción es obligatoria, autorizada y legal, dentro de un entorno corporativo.

Viniendo de un fondo Unix, no sé qué es factible remotamente en una máquina con Windows. Idealmente (y de nuevo, con un fondo de Unix en mente) estaría mirando acciones como

  • borrar el MBR y forzar un reinicio
  • quitando la llave. dlls que no se recuperarían automáticamente durante un arranque seguro

EDITE los siguientes comentarios: este es un caso forense muy específico que debe manejarse de esta manera complicada.

windows  windows-7  remote-access  forensics 
dareils
fuente
44
Si bien no he votado mal, esto se ve un poco sombrío. ¿No sería más fácil ir allí y agarrar la computadora?
MichelZ
3
No describió las circunstancias que lo llevaron a intentar algo como esto, lo que puede haber llevado a su voto negativo. Puedo imaginar algunas cosas que podrían justificar algo como esto, pero si realmente describe la situación, puede obtener mejores respuestas.
Michael Hampton
66
Si este es un caso forense, le recomiendo encarecidamente que no haga nada diferente a ir físicamente allí y recoger la máquina. Todo lo demás está obligado a invalidar cualquier prueba legal que pueda provenir de él.
Massimo
2
@frupfrup: nadie está volviendo loco aquí; pero honestamente creo que, incluso si realmente quieres "dejar el sistema inutilizable", intentar eliminarlo C:\Windowssolo hará un desastre, posiblemente sin siquiera alcanzar el objetivo establecido; bloquear el gestor de arranque es mucho más seguro, se puede deshacer y dejará intacto el sistema operativo real (lo que permite el análisis forense).
Massimo
2
Massimo

Respuestas:

11

No necesita destruir realmente la máquina; simplemente forzarlo a cerrar y bloquear al usuario.

  • Ejecutar shutdown /m <machinename> /f /t 0para forzar el apagado de una computadora.
  • Deshabilite la cuenta de usuario de Active Directory para el usuario.
  • Deshabilite la cuenta de usuario de Active Directory para la computadora.

Solo asegúrese de apagar la computadora antes de deshabilitar su cuenta, de lo contrario quedará bloqueado de la administración remota porque ya no podrá autenticar a nadie contra el dominio, incluido usted.

Si el usuario también tiene una cuenta de usuario local en la computadora de destino, puede deshabilitarla antes de realizar los pasos anteriores; puede hacerlo iniciando el MMC de Administración de Computadoras en cualquier otra computadora como administrador de dominio y conectándolo de forma remota a la computadora que desea administrar; a partir de ahí, también puede tomar cualquier otro paso necesario para asegurarse de que nadie pueda iniciar sesión en la máquina utilizando cuentas de usuario locales (como deshabilitarlas o cambiar sus contraseñas).

Nota al margen: si esto es por problemas legales / de cumplimiento, esta es una razón muy fuerte para no cambiar o eliminar nada en la máquina; de lo contrario, el usuario podría decir más tarde (tal vez correctamente) que la máquina ha sido manipulada; Además, si elimina algo en el sistema de archivos, podría perder datos valiosos (¿quién puede saber si el usuario ha almacenado archivos personales o aplicaciones en las carpetas del sistema?).

Massimo
fuente
Eso es totalmente correcto y una forma mucho mejor. Pero el OP dijo que el usuario no debería prestar atención ... si no podía iniciar sesión más, se daría cuenta ... La mayoría de los usuarios llamarían al servicio de asistencia y les dirían que desbloqueen su cuenta ...
frupfrup
1
Si la máquina se bloquea abruptamente, el usuario definitivamente se dará cuenta de todos modos ...
Massimo
¿Puede evitar, por ejemplo, que el usuario arranque desde USB y agregar una cuenta de administrador local? (No sé nada sobre Active Directory)
jingyu9575
2
@ jingyu9575 Si el usuario es lo suficientemente experto en tecnología como para editar una base de datos de usuarios sin conexión, probablemente reinstale Windows por su cuenta en lugar de llevar la máquina al servicio de asistencia. ¿Qué es exactamente lo que estamos tratando de lograr aquí?
Massimo
Estos cambios en realidad no lo hacen. Todo lo que tienen que hacer es arrancar sin enchufar el cable de red.
joshudson
4

Como ya dije varias veces, si este es un caso forense, le recomiendo encarecidamente que no haga nada diferente a ir físicamente allí y recoger la máquina; alterarlo de cualquier manera está obligado a invalidar cualquier prueba legal que pueda derivarse de él.

Dicho esto, hay varias formas de hacer que una máquina no se pueda arrancar mientras se daña lo menos posible, dependiendo de cómo esté realmente instalado el sistema (las principales diferencias son si el sistema está basado en BIOS o UEFI y si se usa una partición de arranque vs. los archivos de arranque que se almacenan en la partición del sistema); Aquí hay algunas opciones:

  • Elimine el contenido de la partición de arranque y / o la partición UEFI (generalmente oculto pero puede montarlo); o elimine los archivos de arranque de la partición del sistema, si no hay una partición de arranque en uso.
  • Eliminar el archivo C:\bootmgr.
  • Modifique la configuración del gestor de arranque mediante bcdedit.exe.
  • Modifique la tabla de particiones para que no tenga una partición activa.

Y así; jugar con el gestor de arranque suele ser la mejor manera de hacer que un sistema no se pueda arrancar, sin dañarlo. Pero dado que los sistemas Windows modernos tienen varias vías de arranque posibles, no existe un enfoque universal (por ejemplo, un sistema UEFI no depende en absoluto del MBR y simplemente no le importa la partición activa, si la hay).

Si limita su intervención a los archivos de arranque, el sistema real no se verá afectado y podrá recuperar todo su contenido (e incluso reiniciarlo nuevamente si repara el daño).

Massimo
fuente
3

Unas cuantas preguntas:

  • ¿Hay alguna razón por la que deba tomar una ruta destructiva?

En caso afirmativo, vaya con la respuesta de @frupfrup.

  • ¿El usuario solo tiene un inicio de sesión de dominio o también tiene un inicio de sesión local?
  • ¿Qué tan rápido necesita surtir efecto?

Otra cosa que podría hacer es causar un error genérico de inicio de sesión en el directorio activo. Primero desactive los inicios de sesión en caché en esa máquina, luego desactive o elimine la cuenta de la computadora en el directorio activo. Para que parezca que la computadora tuvo un ajuste, puede hacer un simple get-process | stop-process -forceen una sesión remota de PowerShell. O incluso taskkill /im csrss.exe /fen un símbolo del sistema remoto, utilizando psexec o similar.

Cuando se "bloquea" y luego se reinicia y el usuario intenta iniciar sesión, debería obtener un error genérico "Esta computadora no pudo ser autenticada contra el dominio", IIRC. Primero probaría todo esto en algo; Es posible que el problema de autenticación no surta efecto de inmediato o que Windows sea lo suficientemente inteligente como para evitar que ejecute esos comandos.

Neil
fuente
1

Hay muchas cosas que puede hacer para evitar que el usuario use la computadora.

Sin embargo, ninguno de ellos pasará desapercibido para el usuario, ya que todos harán que llame a la mesa de ayuda. Si eso hace que el dispositivo no sea de arranque, deshabilite su cuenta, deshabilite la cuenta de computadora en el AD o todo lo anterior.

Tenemos problemas similares cuando los usuarios remotos no cumplen y devuelven una computadora portátil que fue reemplazada pero continúan usándola (por pereza). Sin embargo, en nuestro caso es muy simple ya que no estamos tratando de hacer ningún análisis forense. Remoto en la computadora, elimine la cuenta del usuario local, elimine del dominio y elimine la computadora de AD. Viola el usuario ya no puede usar y no hemos hecho que la computadora portátil sea totalmente inútil.

Honestamente, no conozco una forma de hacer que una computadora sea inútil para un usuario sin que ellos lo sepan y / o les pida que llamen a la Mesa de Ayuda para que funcione, etc.

fulano de tal
fuente
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.