Windows 7でkill-switchをリモートで実行する方法は？

ADに接続されたWindows 7 Enterpriseコンピューターでリモートでkill-switchを実行する必要があります。具体的には、私はする必要があります

• 目に見えるユーザー操作なしでマシンにリモートアクセスする（マシンの管理者であるドメインアカウントを持っている）
• マシンが使用できないようにします（クラッシュ/再起動し、再起動しません）。
• マシンの内容を保存する（変更内容を文書化できる）

マシンは、基本的なトラブルシューティングが失敗するほど損傷していて、会社のヘルプデスクに持っていく必要があります。

コメントを予測するために：私はこれは怪しげに聞こえるが、この行動は企業環境内で必要であり、承認され、合法であると理解しています。

Unixの背景から来たのですが、Windowsマシンでリモートで何が可能かわかりません。理想的には（また、UNIXの背景を念頭に置いて）、次のようなアクションを検討します。

• MBRを消去して強制的に再起動する
• キーを削除します。dllセーフブート中に自動的に回復されないs

次のコメントを編集：これは非常に特殊なフォレンジックのケースであり、この複雑な方法で処理する必要があります。

実際にマシンを破壊する必要はありません。強制的にシャットダウンしてユーザーをロックアウトします。

• shutdown /m <machinename> /f /t 0コンピュータを強制的にシャットダウンするために実行します。
• ユーザーのActive Directoryユーザーアカウントを無効にします。
• コンピューターのActive Directoryユーザーアカウントを無効にします。

アカウントを無効にする前に必ずコンピューターをシャットダウンしてください。シャットダウンしないと、自分を含むドメインに対してだれも認証できなくなるため、リモート管理からロックアウトされます。

ユーザーがターゲットコンピュータにローカルユーザーアカウントも持っている場合は、上記の手順を実行する前にそれを無効にすることができます。これを行うには、ドメイン管理者として他の任意のコンピューターでコンピューター管理MMCを起動し、管理対象のコンピューターにリモートで接続します。そこから、他の必要な手順を実行して、ローカルユーザーアカウントを使用してマシンにログインできないようにすることもできます（それらを無効にする、パスワードを変更するなど）。

補足：これが法的/コンプライアンスの問題である場合、これはマシンの何も変更または削除しない非常に強い理由です。そうでなければ、ユーザーは後で（おそらく正しく）マシンが改ざんされたと言う可能性があります。また、ファイルシステムで何かを削除すると、貴重なデータが失われる可能性があります（ユーザーが個人用のファイルまたはアプリケーションをシステムフォルダーに保存しているかどうかは誰が知ることができますか？）。

すでに何度か言ったように、これがフォレンジックのケースである場合、実際にそこに行ってマシンを手に入れることとは異なることをしないことを強くお勧めします。何らかの方法でそれを改ざんすることは、それから生じる可能性のある法的証明を無効にすることにつながります。

とはいえ、システムが実際にインストールされている方法に応じて、マシンの損傷を最小限に抑えながらマシンを起動できないようにする方法がいくつかあります（主な違いは、システムがBIOSベースまたはUEFIベースであるかどうか、およびブートパーティションが使用されているかどうかです）システムパーティションに保存されているブートファイルとの違い）; ここにいくつかのオプションがあります：

• ブートパーティションやUEFIパーティションの内容を削除します（通常は非表示ですが、マウントできます）。または、ブートパーティションが使用されていない場合は、システムパーティションからブートファイルを削除します。
• ファイルを削除しますC:\bootmgr。
• を使用してブートマネージャの設定を変更しbcdedit.exeます。
• アクティブなパーティションがないようにパーティションテーブルを変更します。

等々; ブートマネージャーをいじるのは、実際にはシステムを損傷させない一方で、システムをブート不能にするための通常の最良の方法です。しかし、最近のWindowsシステムにはいくつかの可能なブートパスがあるため、普遍的なアプローチはありません（UEFIシステムはMBRにまったく依存せず、アクティブパーティションがあってもそれを気にしません）。

ブートファイルへの介入を制限すると、実際のシステムは変更されず、すべての内容を回復できます（損傷を元に戻した場合は、再度ブートすることもできます）。

いくつかの質問：

• 破壊的なルートを進む必要がある理由はありますか？

はいの場合は、@ frupfrupの答えを使用してください。

• ユーザーはドメインログオンしか持っていませんか、それともローカルログインも持っていますか？
• これはどれぐらい早く実施する必要がありますか？

もう1つのことは、一般的なActive Directoryログインエラーを引き起こすことです。最初にそのマシンでキャッシュされたログインを無効にし、次にActive Directoryのコンピューターアカウントを無効にするか削除します。コンピュータに適合したように見せるためget-process | stop-process -forceに、リモートPowerShellセッションで簡単な操作を行うことができます。またはtaskkill /im csrss.exe /f、psexecなどを使用して、リモートコマンドプロンプトでさえも。

「クラッシュ」してから再起動してユーザーがログインしようとすると、やや一般的な「このコンピューターはドメインに対して認証できませんでした」タイプのエラー、IIRCが表示されます。最初に、これらすべてを何かでテストします。認証の問題がすぐに有効にならない場合や、ウィンドウがスマートになっていて、これらのコマンドを実行できない場合があります。

ユーザーがコンピューターを使用できないようにするためにできることはたくさんあります。

ただし、それらのすべてがユーザーにヘルプデスクへの電話をかけるため、ユーザーに気付かれることはありません。それがデバイスを起動不可能にするかどうか、彼のアカウントを無効にするか、ADまたは上記すべてのコンピューターアカウントを無効にするかどうか。

リモートユーザーがコンプライアンスに準拠せず、交換されたラップトップを返却しても同様の問題が発生します。ただし、私たちのケースでは、フォレンジックを実行しようとしないため、非常に簡単です。コンピューターにリモートでアクセスし、ローカルユーザーのアカウントを削除し、ドメインから削除し、ADからコンピューターを削除します。ユーザーが使用できなくなったViolaと、ラップトップがまったく役に立たなくなったわけではありません。

私は正直に言って、ユーザーが知らない、またはヘルプデスクを呼び出して操作できるようにしていないユーザーにコンピューターを役に立たなくする方法を知りません。