dar*_*ils 10 remote-access windows windows-7 forensics
我需要在连接到 AD 的 Windows 7 Enterprise 计算机上远程执行终止开关。具体来说,我需要
机器必须损坏到足以使基本+故障排除失败并需要将其带到公司服务台的程度。
为了预测评论:我知道这听起来很阴暗,但在公司环境中,此操作是必需的、授权的和合法的。
来自 Unix 背景,我不知道在 Windows 机器上远程可行什么。理想情况下(再一次,考虑到 Unix 背景)我会考虑类似的操作
dll在安全启动期间不会自动恢复的 s编辑以下评论:这是一个非常具体的取证案例,需要通过这种复杂的方式进行处理。
Mas*_*imo 11
你不需要真正摧毁机器;只需强制它关闭并锁定用户即可。
shutdown /m <machinename> /f /t 0以强制关闭计算机。只需确保在禁用其帐户之前关闭计算机,否则您将被锁定在远程管理之外,因为它将不再能够针对域验证任何人,包括您自己。
如果用户在目标计算机上也有本地用户帐号,则可以在执行上述步骤之前将其禁用;您可以通过以域管理员身份在任何其他计算机上启动计算机管理 MMC 并将其远程连接到您要管理的计算机来实现此目的;从那里,您还可以采取任何其他必要步骤来确保没有人可以使用本地用户帐户登录计算机(例如禁用它们或更改其密码)。
旁注:如果这是出于法律/合规性问题,这是不更改或删除机器上任何内容的一个非常有力的理由;否则用户稍后可以说(也许是正确的)机器已被篡改;此外,如果您删除文件系统上的任何内容,您可能会丢失有价值的数据(谁能知道用户是否在系统文件夹中存储了个人文件或应用程序?)。
小智 3
几个问题:
如果是,请接受@frupfrup 的回答。
您可以做的另一件事是导致一般的活动目录登录错误。首先禁用该计算机上的缓存登录信息,然后禁用或删除Active Directory 中的计算机帐户。为了让计算机看起来像是合适的,您可以get-process | stop-process -force在远程 powershell 会话中执行一个简单的操作。或者甚至taskkill /im csrss.exe /f在远程命令提示符下,使用 psexec 或类似的命令。
当它“崩溃”然后重新启动并且用户尝试登录时,他应该得到一个有点通用的“此计算机无法针对域进行身份验证”类型的错误,IIRC。我会首先在某些东西上测试所有这些;身份验证问题可能不会立即生效,或者 Windows 可能足够智能以阻止您运行这些命令。