Wie führe ich einen Kill-Switch unter Windows 7 aus der Ferne durch?

10

Ich muss einen Kill-Switch auf einem Windows 7 Enterprise-Computer ausführen, der mit einem AD verbunden ist. Insbesondere muss ich

  • Remotezugriff auf den Computer ohne sichtbare Benutzerinteraktion (Ich habe ein Domänenkonto, das Administrator auf dem Computer ist).
  • Stellen Sie sicher, dass der Computer nicht verwendet werden kann (stürzt ab / startet neu und startet nicht zurück).
  • Bewahren Sie den Inhalt der Maschine auf (dokumentieren Sie, was geändert wurde)

Das Gerät muss so beschädigt sein, dass die grundlegende + Fehlerbehebung fehlschlägt und an einen Helpdesk des Unternehmens gebracht werden muss.

Um Kommentare vorwegzunehmen: Ich verstehe, dass dies zwielichtig klingt, aber diese Aktion ist erforderlich, autorisiert und legal - in einem Unternehmensumfeld.

Ich komme aus einem Unix-Hintergrund und weiß nicht, was auf einem Windows-Computer remote möglich ist. Idealerweise (und wieder mit Blick auf einen Unix-Hintergrund) würde ich Aktionen wie betrachten

  • Löschen des MBR und Erzwingen eines Neustarts
  • Schlüssel entfernen. dlls, die bei einem sicheren Start nicht automatisch wiederhergestellt werden

BEARBEITEN Sie folgende Kommentare: Dies ist ein sehr spezifischer forensischer Fall, der auf diese verschlungene Weise behandelt werden muss.

windows windows-7 remote-access forensics Dareils
quelle
4
Ich habe zwar nicht abgestimmt, aber das sieht ein bisschen zwielichtig aus. Wäre es nicht einfacher, einfach dorthin zu gehen und sich den Computer zu schnappen?
MichelZ
3
Sie haben die Umstände nicht beschrieben, die Sie dazu veranlasst haben, so etwas zu versuchen, was möglicherweise zu Ihrer Ablehnung geführt hat. Ich kann mir ein paar Dinge vorstellen, die so etwas rechtfertigen könnten, aber wenn Sie die Situation tatsächlich beschreiben, erhalten Sie möglicherweise bessere Antworten.
Michael Hampton
6
Wenn es sich um einen forensischen Fall handelt, rate ich Ihnen dringend davon ab , etwas anderes zu tun, als physisch dorthin zu gehen und die Maschine abzuholen. Alles andere ist verpflichtet, alle daraus resultierenden rechtlichen Beweise ungültig zu machen.
Massimo
2
@frupfrup: hier flippt niemand aus; Aber ich denke ehrlich, dass der Versuch, das System zu löschen , selbst dann ein Chaos verursachen wird, wenn Sie wirklich "das System unbrauchbar machen" wollen C:\Windows, möglicherweise ohne das angegebene Ziel zu erreichen. Das Blockieren des Boot-Managers ist viel sicherer, kann nicht rückgängig gemacht werden und lässt das eigentliche Betriebssystem unberührt (was eine forensische Analyse ermöglicht).
Massimo
2
Siehe auch hier: meta.stackexchange.com/questions/66377/what-is-the-xy-problem .
Massimo

Antworten:

11

Sie müssen die Maschine nicht wirklich zerstören. Erzwingen Sie einfach das Herunterfahren und Sperren des Benutzers.

  • Ausführen shutdown /m <machinename> /f /t 0, um ein Herunterfahren des Computers zu erzwingen.
  • Deaktivieren Sie das Active Directory-Benutzerkonto für den Benutzer.
  • Deaktivieren Sie das Active Directory-Benutzerkonto für den Computer.

Stellen Sie einfach sicher, dass Sie den Computer herunterfahren, bevor Sie sein Konto deaktivieren. Andernfalls werden Sie von der Remoteverwaltung ausgeschlossen, da er niemanden mehr gegen die Domäne authentifizieren kann , auch Sie nicht.

Wenn der Benutzer auch ein lokales Benutzerkonto auf dem Zielcomputer hat, können Sie es deaktivieren, bevor Sie die obigen Schritte ausführen. Sie können dies tun, indem Sie die Computerverwaltungs-MMC auf einem anderen Computer als Domänenadministrator starten und remote mit dem Computer verbinden, den Sie verwalten möchten. Von dort aus können Sie auch andere erforderliche Schritte ausführen, um sicherzustellen, dass sich niemand mit lokalen Benutzerkonten am Computer anmelden kann (z. B. Deaktivieren oder Ändern der Kennwörter).

Randnotiz: Wenn dies aus rechtlichen / Compliance-Gründen geschieht, ist dies ein sehr wichtiger Grund, nichts an der Maschine zu ändern oder zu löschen . Andernfalls könnte der Benutzer später (möglicherweise richtig) sagen, dass die Maschine manipuliert wurde. Wenn Sie etwas im Dateisystem löschen, können wertvolle Daten verloren gehen (wer kann feststellen, ob der Benutzer persönliche Dateien oder Anwendungen in Systemordnern gespeichert hat?).

Massimo
quelle
Das ist völlig richtig und ein viel besserer Weg. Aber das OP sagte, dass der Benutzer keine Notiz nehmen sollte ... wenn er sich nicht mehr anmelden könnte, würde er es bemerken ... Die meisten Benutzer würden dann den Helpdesk anrufen und ihnen sagen, dass sie ihr Konto entsperren sollen ...
frupfrup
1
Wenn die Maschine plötzlich abstürzt, wird der Benutzer es auf jeden Fall bemerken ...
Massimo
Kann es beispielsweise verhindern, dass der Benutzer von USB startet und ein lokales Administratorkonto hinzufügt? (Ich weiß nichts über Active Directory)
jingyu9575
2
@ jingyu9575 Wenn der Benutzer technisch versiert genug ist, um eine Offline-Benutzerdatenbank zu bearbeiten, würde er Windows wahrscheinlich selbst neu installieren, anstatt den Computer zum Helpdesk zu bringen. Was genau wollen wir hier erreichen?!?
Massimo
Diese Änderungen machen es nicht wirklich. Sie müssen lediglich booten, ohne das Netzwerkkabel anzuschließen.
Joshudson
4

Wie ich bereits mehrmals gesagt habe, rate ich Ihnen dringend davon ab , etwas anderes zu tun, als physisch dorthin zu gehen und die Maschine abzuholen , wenn dies ein forensischer Fall ist . Manipulationen in irgendeiner Weise führen dazu, dass alle rechtlichen Beweise, die daraus entstehen könnten, ungültig werden.

Es gibt jedoch verschiedene Möglichkeiten, einen Computer nicht mehr bootfähig zu machen, während er so wenig wie möglich beschädigt wird, je nachdem, wie das System tatsächlich installiert ist (die Hauptunterschiede bestehen darin, ob das System BIOS- oder UEFI-basiert ist und eine Boot-Partition verwendet wird im Vergleich zu den Boot-Dateien, die auf der Systempartition gespeichert sind); Hier sind einige Optionen:

  • Löschen Sie den Inhalt der Startpartition und / oder der UEFI-Partition (normalerweise ausgeblendet, aber Sie können ihn bereitstellen). oder löschen Sie die Startdateien von der Systempartition, wenn keine Startpartition verwendet wird.
  • Löschen Sie die Datei C:\bootmgr.
  • Ändern Sie die Boot Manager-Konfiguration mit bcdedit.exe.
  • Ändern Sie die Partitionstabelle so, dass keine aktive Partition vorhanden ist.

Und so weiter; Das Durcheinander mit dem Boot-Manager ist normalerweise der beste Weg, um ein System nicht mehr bootfähig zu machen, ohne es tatsächlich zu beschädigen. Da moderne Windows-Systeme jedoch mehrere mögliche Startpfade haben, gibt es keinen universellen Ansatz (z. B. ein UEFI-System ist überhaupt nicht auf den MBR angewiesen und kümmert sich nur nicht um die aktive Partition, falls vorhanden).

Wenn Sie Ihren Eingriff auf das Booten von Dateien beschränken, bleibt das eigentliche System unberührt, und Sie können den gesamten Inhalt wiederherstellen (und ihn sogar erneut booten, wenn Sie den Schaden rückgängig machen).

Massimo
quelle
3

Ein paar Fragen:

  • Gibt es einen Grund, warum Sie einen zerstörerischen Weg gehen müssen?

Wenn ja, fahren Sie mit der Antwort von @ frupfrup fort.

  • Hat der Benutzer nur eine Domänenanmeldung oder hat er auch eine lokale Anmeldung?
  • Wie schnell muss dies wirksam werden?

Sie können auch einen generischen Active Directory-Anmeldefehler verursachen. Deaktivieren Sie zuerst die zwischengespeicherten Anmeldungen auf diesem Computer und deaktivieren oder löschen Sie dann das Computerkonto im Active Directory. Damit es so aussieht, als hätte der Computer einen Anfall, können Sie eine einfache get-process | stop-process -forcePowerShell-Sitzung durchführen. Oder sogar taskkill /im csrss.exe /fin einer Remote-Eingabeaufforderung mit psexec oder ähnlichem.

Wenn es "abstürzt", dann neu startet und der Benutzer versucht, sich anzumelden, sollte er einen etwas generischen IIRC-Fehlertyp "Dieser Computer konnte nicht gegen die Domäne authentifiziert werden" erhalten. Ich würde das alles zuerst an etwas testen; Das Authentifizierungsproblem wird möglicherweise nicht sofort wirksam, oder Windows ist möglicherweise intelligent genug, um zu verhindern, dass Sie diese Befehle ausführen.

Neil
quelle
1

Es gibt viele Möglichkeiten, um zu verhindern, dass der Benutzer den Computer verwendet.

Keiner von ihnen wird jedoch vom Benutzer unbemerkt bleiben, da alle ihn veranlassen, den Helpdesk anzurufen. Unabhängig davon, ob das Gerät dadurch nicht mehr bootfähig ist, sein Konto deaktiviert, das Computerkonto im AD deaktiviert wird oder alle oben genannten Punkte.

Wir haben ähnliche Probleme, wenn Remotebenutzer einen ersetzten Laptop nicht einhalten und zurückgeben, ihn aber weiterhin verwenden (aus Faulheit). In unserem Fall ist dies jedoch sehr einfach, da wir keine Forensik durchführen. Remote auf dem Computer, löschen Sie das Konto des lokalen Benutzers, entfernen Sie es aus der Domäne und löschen Sie den Computer aus AD. Viola der Benutzer kann nicht mehr Benutzer und wir haben den Laptop nicht völlig unbrauchbar gemacht.

Ich kenne ehrlich gesagt keine Möglichkeit, einen Computer für einen Benutzer unbrauchbar zu machen, ohne dass er es weiß und / oder den Helpdesk anruft, um ihn betriebsbereit zu machen usw.

Jane Doe
quelle